Wir verwenden WCF-Dienste. Im Moment verwenden wir Windows Auth, aber das ist nicht von Dauer. Einige Dienste werden außerhalb der Firewall sitzen und in der Datenbank verifizierte Benutzernamen/Passwörter verwenden.
Mein technischer Leiter ist "erschrocken" darüber, wie einfach jeder Benutzer einen Verweis zu den Diensten, die wir haben, "hinzufügen" und einfach weiterfeiern kann. Er möchte die Dienste "bewachen", indem er eine weitere Identität hinzufügt - die Anwendung. Er möchte, dass der Dienst Anfragen von bestimmten Anwendungen akzeptiert, so dass bestimmte Benutzer den Dienst nicht einfach nutzen können - indem sie einen Verweis darauf hinzufügen und ihn aufrufen. Der Gedanke, dass die Anwendung eine Identität + Anmeldeinformationen hat, ist hier das entscheidende Prinzip, da die Dienste im Netz diese Anmeldeinformationen vor der Ausführung einer Anfrage authentifizieren müssen, um zu verhindern, dass bösartiger Code innerhalb des Netzes (d. h. NICHT die Anwendung) mit den Anmeldeinformationen des Endbenutzers "Joe User" auf Dienste zugreift.
Ergibt das einen Sinn?
Dann glaubt er, dass das Buch von Juval Lowy in einem Anhang, der das Senden von mehr als einer Identität während eines WCF-Aufrufs (Security Interceptor) diskutiert, hat. Es wird nicht ausdrücklich vorgeschlagen, dass alle diese Identitäten Endbenutzeridentitäten sein müssen, und wenn das der Fall ist, könnte eine davon die Identität der Anwendung sein, die die Anfrage stellt.
Wie lässt sich das bewerkstelligen?
Danke, Sam
