NTLMセキュリティを使用して、おそらくHTTPS経由で公開される単純なWCFサービスを構築しています。すべてのユーザーがサービスを直接使用できるわけではないため、サービス用の単純な Web フロントエンドを作成しています。ユーザーは Web フロントエンドに対して HTML で認証します。
私たちが必要としているのは、Web サイトのユーザーを WCF サービスに委任する方法です。Kerberos 委任がこれを行うことができることは理解していますが、それは私たちには利用できません。
私がやりたいことは、Web フロントエンド アカウントを特別に信頼できるアカウントにすることです。これにより、要求が "DOMAIN\WebApp" として認証された WCF サービスにヒットした場合、実際の ID を含む WCF メッセージ ヘッダーを読み取り、プリンシパルを切り替えます。それに、通常どおり続行します。
これを達成する「簡単な」方法はありますか?このアイデアを完全にあきらめて、代わりにユーザーを WCF アプリに「サインイン」させてから、完全なカスタム認証を行う必要がありますか?
WCF の拡張性とセキュリティ オプションは非常に広範囲に及ぶように思われるので、どの道を進むべきかについて頭を悩ませたいと思います。
編集:確かに、WindowsIdentity だけがグループ メンバーシップ チェックを実行するようにします。完全な偽装トークンは必要ありません。ID トークンだけが必要です。