我需要从UPN(通过声明检索)创建Windows令牌,以使用kerberos模拟用户到后端系统。这是由多个内部应用程序(以及将来可能的其他外部应用程序)使用的API。
到目前为止,我已成功设法完成所有步骤以实现此功能:
当我在WindowsIdentity上调用Impersonate()并调用后端服务时,这很有用。
但是,从安全角度来看,我现在遇到一个问题,即我不希望我的API服务帐户具有“作为操作系统的一部分”权限。
最初我找到了c2WTS服务,但是这不再是自.NET 4.5以来的WIF的一部分所以我不想使用它,如果可能的话获得令牌(因为它将是一个单独的功能来安装和运行使用。 NET 3.5)。
我已经看过它的实现,它几乎与我想做的一样
所以我的问题归结为两件事:
根据史蒂夫的评论,我已经安装了Windows功能,并且按预期工作。