我需要从UPN(通过索赔检索)创建Windows令牌,以使用kerberos将用户模拟到后端系统。这是为了使API可以被多个内部应用程序使用(将来可能还会使用其他外部应用程序)。
到目前为止,我已经成功地完成了所有步骤以使该工作正常进行:
当我随后在WindowsIdentity上调用Impersonate()并调用后端服务时,此方法非常有用。
但是,从安全角度来看,我现在有一个问题,我不希望我的API服务帐户具有“充当操作系统的一部分”特权。
最初我找到了c2WTS服务,但是自.NET 4.5开始,它不再是WIF的一部分,因此,我根本不希望使用它来获取令牌(因为这是安装和安装的一项单独功能,使用.NET 3.5运行)。
我已经看过它的实现,它几乎与我想做的事情
所以我的问题实际上可以归结为两点:
答案 0 :(得分:0)
根据史蒂夫的评论,我已经安装了Windows功能,并且可以按预期工作。