問題タブ [windows-identity]

次のエラーが発生します。

これは、 WindowsIdentity.Groupsプロパティを使用して、現在のユーザーが属するグループのID参照を表示するコードです。このコードは、WindowsIdentityクラスに提供されているより大きな例の一部です。

次のように入力して、このエラーを修正してみました。

しかし、次のエラーが発生しました：

次のように WindowsIdentity Impersonation を使用すると:

(私のコンピューターから winCE マシンにファイルをコピーするために使用されています。)

Name Before と Name After は同じものを返し続けます。なりすましの後に @ newId トークンを見ると、なりすましに使用するものと同じではありません。私がなりすましているトークンは、私がログインしているユーザーとは絶対に同じではありません。

私のトークンを使用したくない理由について誰か提案がありますか? （ええ、昨日は魔法のように機能しました:s)

これが私のトークンを生成する方法です：

それは成功したブール値を与えるので、私のトークンには何も問題はないと思います

背景: 現在ログインしているユーザーの Active Directory グループ名をすべて出力するコードを書きました。IdentityReference.Value を介して返される現在のユーザーの SID (例: S-1-5-32-544) の代わりに、IdentityReference.Translate を介してグループ名 (例: Acomp_user_BIG) が必要です。

私が使用したコードは次のとおりです。

残念ながら、「End Get」でエラーが発生します。

このエラーを修正するための提案はありますか?

複数のセキュリティトークンサービス（STS）でWindows Identity Foundation（WIF）を使用する場合、ユーザーが最初にアプリケーションにアクセスする前にプロビジョニングすることはできますか？

たとえば、ユーザーがログインして質問に答えることができるBufferOverrunというWebサイトがあり、外部のGoogleアカウントでの認証をサポートしたいとします。ユーザーが最初にページにアクセスするときは、Googleアカウントで認証する必要があります。その後、ユーザーはWebアプリケーションにアクセスできます。このシナリオでは、Google（ID認証用）とアプリケーション用（承認用）の2つのSTSがあります。

ユーザーがシステムにアクセスする前に、クレームをユーザーに割り当てるにはどうすればよいですか？

IDはアプリケーションの外部で所有されているため、そのIDに直接クレームを割り当てることはできません（アプリケーション固有であるため、とにかく割り当てたくありません）。しかし、ユーザーがシステムにアクセスしていないため、クレームを割り当てるための内部IDがありません。私は2つの可能な解決策を見ます：

1. ユーザーがシステムにアクセスするのを待ってから（デフォルトのアプリケーション固有のクレームを作成します）、内部プロビジョニングツールを使用して、必要に応じてそれらのクレームを変更します。
2. プロビジョニングツールを使用して、ユーザーがデフォルトのIDクレーム（電子メールアドレスなど）を手動でマッピングしてから、IDを手動で入力して認証できるようにします。これにより、最初のアクセス時にIDがそのクレームを表明した場合に、特定のアプリケーションクレームのセットが付与されます。 。

1と2の両方にいくつかの問題があります。1の場合、デフォルトのアプリケーションクレームで機能が許可されていない場合でも、すべてのユーザーがシステムに暗黙的にアクセスできます。これは、最初のアカウントに特定の権限が設定されているstackoverflowのようなものに適しているようで、ユーザーがシステムを使用すると、新しいクレームが付与されます。ただし、これはすべてのアプリケーションにとって望ましいとは限りません。2は、管理者が手動でクレームを指定する必要があるため、エラーが発生しやすくなります。

上記のどちらの場合も、プロビジョニングツール（つまり、管理者アカウント）を実際に使用するためのアクセス権を持つIDをプロビジョニングするにはどうすればよいですか？

このため、アプリケーションのインストール時に、ユーザーが認証を行い、そのIDのアプリケーションクレームを「管理」特権を持つように設定する必要があると思います。これは良い実装ですか？

歴史的に（私は現在、既存のアプリケーションを参照しています）、アプリケーションは特にActiveDirectoryとのみインターフェイスしていました。これを処理する方法は、管理者ユーザーが最初にログインできるようにする組み込みの管理者アカウント（ADとは関係ありません）があったことでした。管理アプリケーションで認証した後、そのユーザーはADでユーザー/グループを検索し、それらを個別にプロビジョニングできます。管理者によってプロビジョニングされていないユーザー/グループは、システムにまったくアクセスできません。このパラダイムがGoogleなどの外部STSの使用に適用できるとは思わないので、外部STSシステムを有効にするアーキテクチャを考えようとしています。必須ではありませんが、STSを検索する機能を保持することが望まれます。実際には、関係する2つのSTSは、両方ともフェデレーションサービスを使用するActiveDirectoryである可能性があります。

注：これは、この質問とこの質問に似ています。

現在のユーザーの WindowsIdentity を使用してユーザー情報を取得するサイトを構築しています。これから得られる主な情報はssidです。

次のように現在のユーザーに対してこれを行います

私が今しなければならないこと、そして失敗していることは、ドメインに存在する任意のユーザー名の ssid を取得することです。

WindowsIdentity(string) を試しましたが、SecurityException が発生しました

指定された名前は、適切な形式のアカウント名ではありません。

次のコードを使用して、Kerberos 経由で認証しています。

これは、Web サーバーで .NET アプリケーションを実行しようとしたときにのみ発生します。デバッグのために自分のマシンでローカルにコードを実行すると、Name プロパティに自分のユーザー ID が表示されます。これをWebサーバーで機能させる方法について何か提案はありますか?

Federated Identity は、STS (セキュリティ トークン サービス) への最初の要求の後、セキュリティ トークンを Cookie に保存することがわかります。その場合、ブラウザで Cookie を無効にすると、どのように機能しますか?

STS 問題のアプリにリダイレクトされないことがわかりました。この状況をどのように克服できますか?

もう私たちと一緒にいない開発者からコードを引き継ぎました。これは、渡されたユーザー名を使用していた WCF Web サービスですが、代わりに WindowsIdentity を使用する必要があります。

そのコードは、空の文字列を返すことになります。安全な (wsHttpSecure) バインディングを使用しているため、ServiceSecurityContext.Current は null などではありません。私は一日中解決策を探していましたが、まだ何も見つかりませんでした。

私は WCF を初めて使用するため、他にどのような情報が関連するかわかりません。IIS で Web サービスに対して有効な認証設定は次のとおりです。

Web サービスの web.config は次のとおりです。

bindings.config と同様:

Behaviors.config:

Service.config:

前もって感謝します。

WindowsIDが追加されたすべてのSQLACLを知る必要がありますか？

私はこの質問に行き詰まっています。

私は UNC 共有を持っており、アカウントの詳細を知っています。これにはフルアクセスがありますが、ローカル システムにはアクセスできません。次のコマンドでリモート UNC にアクセスできます。

しかし、アカウントがローカル システムにアクセスできないため、なりすまし中にローカル システムにアクセスできません。

この状況でファイルをコピーするにはどうすればよいですか? バッファのようなものを使用して、偽装をオン/オフにする必要がありますか?