統合 Windows 認証についてもっと学ぼうとしていますが、読んだものすべてに 3 つの新しい頭字語が紹介されており、その多くには他の頭字語が組み込まれており、その仕組みについて何も知らないと感じています。
HTTP クライアントが統合 Windows 認証をサポートしていない場合、クライアントを識別できる一連のフォールバックがあり、ユーザー名とパスワードの入力を求めるプロンプトが表示される可能性があることを理解しています。HTTP 基本認証またはその他のプレーン テキストのユーザー名/パスワード通信にフォールバックするケースはありますか?
ユーザー資格情報を保護するために SSL を提供する必要があるかどうかを判断しようとしています。すべての認証が何らかの方法で保護されることを望んでいます。
デフォルトのインストール (NTLM および Kerberos) では、IWA で使用できる SSP のプレーンテキスト資格情報はありません。原則として、他の SSP を展開し、NegoEx を介して IWA で利用できるようにすることもできます。その SSP は、暗号化されていないパスワード チェックを実装する可能性がありますが、その可能性はほとんどありません。
もちろん、IWA とは関係なく、Web アプリケーションが HTTP 基本認証またはフォーム認証を要求する応答を返すのを止めるものは何もないため、アプリケーションがそれを行っていないことを確認する必要があります。
ユーザー資格情報を保護するために SSL を提供する必要があるかどうかを判断しようとしています。すべての認証が何らかの方法で保護されることを望んでいます。
平文のパスワードに対する企業ポリシーに準拠することのみに関心がある場合は、IWA で十分です。
実際の脅威モデルがあり、ネットワーク上にスヌーパーが含まれている場合は、さらに心配する必要があります。そのような攻撃者は、アクティブな中間者攻撃を簡単に実行し、Web アプリケーションをそのように見せかけることができます。パスワードを漏らす偽の NTLM ログイン ボックスを作成するようなものです。そのため、SSL が必要になる場合があります。