Tôi có dịch vụ xác thực cửa sổ. Sử dụng mã sau đây, tôi có thể nhận được Windows Identity của người dùng (bằng cách sử dụng máy khách) tiêu thụ dịch vụ.Hiểu về Xác thực Windows WCF
String currentUser = OperationContext.Current.ServiceSecurityContext.WindowsIdentity.Name;
Cấu hình trong máy chủ là:
<binding name="messageSecurity">
<security mode="Message">
<message clientCredentialType="Windows"/>
</security>
</binding>
Tôi cũng đọc rằng trong máy chủ, nó được sử dụng Kerberos để làm việc này.
Bây giờ, tôi đang cố gắng hiểu tầm quan trọng của nó trong mạng công ty của chúng tôi. Trong văn phòng, người dùng sẽ đăng nhập vào máy tính để bàn của họ bằng thông tin đăng nhập thư mục hoạt động của họ. Dịch vụ của chúng tôi được lưu trữ trong máy chủ Windows có tên "SERV1".
Chỉ những người dùng có quyền truy cập (để đăng nhập) vào "SERV1" mới có thể truy cập dịch vụ? Hoặc tất cả người dùng có thể đăng nhập vào mạng văn phòng (suing thông tin thư mục hoạt động) sẽ có thể sử dụng dịch vụ?
Có cách nào để đảm bảo rằng chỉ các ứng dụng được CIO phê duyệt mới có quyền truy cập dịch vụ, giữ cho dịch vụ như cửa sổ được xác thực không?
Kiểm tra xác thực này có xảy ra cho mỗi cuộc gọi hoạt động dịch vụ hay chỉ cho cuộc gọi đầu tiên?
Có cách nào dịch vụ có thể biết thông tin đăng nhập cửa sổ của người dùng không?
Lưu ý: Điều tôi hiểu là WindowsAuthentication có thể được so sánh với nhà cung cấp thành viên - cung cấp tên người dùng và mật khẩu từ vị trí tập trung. Nó có thể được so sánh với ASP.Net Membership Provider hoặc Active Directory Membership Provider.
Đọc thêm:
ASP.NET Active Directory Membership Provider and SQL Profile Provider
http://www.theserverside.net/tt/articles/showarticle.tss?id=ClaimsBasedSecurityModel
Đây là một bài đăng rất hay minh họa cách bạn có thể sử dụng các Nhóm AD để hạn chế quyền truy cập vào dịch vụ: http://stackoverflow.com/a/5136551/29407 –
@Darin. Cảm ơn. Tôi hy vọng rằng liên kết là cho câu hỏi thứ hai của tôi. Bạn có thể vui lòng trả lời các câu hỏi khác không? Ngoài ra (đối với câu hỏi số 2), tôi không cố gắng hạn chế quyền truy cập dựa trên vai trò; nhưng khách hàng. – Lijo