Implémenter l’emprunt d’identité dans une application ASP.NET
Cet article décrit différentes façons d’implémenter l’emprunt d’identité dans une application ASP.NET.
Version d’origine du produit : ASP.NET
Numéro de la base de connaissances d’origine : 306158
Résumé
Cet article explique comment implémenter l’emprunt d’identité en modifiant le fichier Web.config et en exécutant une section particulière de code.
Il fait référence aux espaces de noms de bibliothèque de classes Microsoft .NET Framework suivants :
System.Web.SecuritySystem.Security.PrincipalSystem.Runtime.InteropServices
Vous pouvez utiliser le code suivant pour déterminer l’utilisateur sous lequel le thread s’exécute :
System.Security.Principal.WindowsIdentity.GetCurrent().Name
Emprunter l’identité d’un compte ou d’un utilisateur authentifié IIS
Pour emprunter l’identité de l’utilisateur d’authentification IIS (Internet Information Services) à chaque demande pour chaque page d’une application ASP.NET, vous devez inclure une <identity> balise dans le fichier Web.config de cette application et définir l’attribut impersonate sur true. Par exemple :
<identity impersonate="true" />
Emprunter l’identité d’un utilisateur spécifique pour toutes les demandes d’une application ASP.NET
Pour emprunter l’identité d’un utilisateur spécifique pour toutes les demandes sur toutes les pages d’une application ASP.NET, vous pouvez spécifier les userName attributs et password dans la <identity> balise du fichier Web.config pour cette application. Par exemple :
<identity impersonate="true" userName="accountname" password="password" />
Remarque
L’identité du processus qui emprunte l’identité d’un utilisateur spécifique sur un thread doit avoir l’élément Act dans le cadre du privilège du système d’exploitation . Par défaut, le processus Aspnet_wp.exe s’exécute sous un compte d’ordinateur nommé ASPNET. Toutefois, ce compte ne dispose pas des privilèges requis pour emprunter l’identité d’un utilisateur spécifique. Vous recevez un message d’erreur si vous essayez d’emprunter l’identité d’un utilisateur spécifique. Ces informations s’appliquent uniquement au .NET Framework 1.0. Ce privilège n’est pas requis pour .NET Framework 1.1.
Pour contourner ce problème, utilisez l’une des méthodes suivantes :
Accordez l’acte dans le cadre du privilège de système d’exploitation au compte ASPNET (le compte avec privilèges minimum).
Remarque
Bien que vous puissiez utiliser cette méthode pour contourner le problème, Microsoft ne recommande pas cette méthode.
Remplacez le compte sous lequel le processus Aspnet_wp.exe s’exécute par le compte système dans la
<processModel>section configuration du fichier Machine.config.
Emprunter l’identité de l’utilisateur d’authentification dans le code
Pour emprunter l’identité de l’utilisateur d’authentification (User.Identity) uniquement lorsque vous exécutez une section particulière de code, vous pouvez utiliser le code à suivre. Cette méthode nécessite que l’identité de l’utilisateur d’authentification soit de type WindowsIdentity.
Visual Basic .NET
Dim impersonationContext As System.Security.Principal.WindowsImpersonationContext Dim currentWindowsIdentity As System.Security.Principal.WindowsIdentity currentWindowsIdentity = CType(User.Identity, System.Security.Principal.WindowsIdentity) impersonationContext = currentWindowsIdentity.Impersonate() 'Insert your code that runs under the security context of the authenticating user here. impersonationContext.Undo()Visual C# .NET
System.Security.Principal.WindowsImpersonationContext impersonationContext; impersonationContext = ((System.Security.Principal.WindowsIdentity)User.Identity).Impersonate(); //Insert your code that runs under the security context of the authenticating user here. impersonationContext.Undo();
Emprunter l’identité d’un utilisateur spécifique dans le code
Pour emprunter l’identité d’un utilisateur spécifique uniquement lorsque vous exécutez une section particulière de code, utilisez le code suivant :
Visual Basic .NET
<%@ Page Language="VB" %>
<%@ Import Namespace = "System.Web" %>
<%@ Import Namespace = "System.Web.Security" %>
<%@ Import Namespace = "System.Security.Principal" %>
<%@ Import Namespace = "System.Runtime.InteropServices" %>
<script runat=server>
Dim LOGON32_LOGON_INTERACTIVE As Integer = 2
Dim LOGON32_PROVIDER_DEFAULT As Integer = 0
Dim impersonationContext As WindowsImpersonationContext
Declare Function LogonUserA Lib "advapi32.dll" (ByVal lpszUsername As String, _
ByVal lpszDomain As String, _
ByVal lpszPassword As String, _
ByVal dwLogonType As Integer, _
ByVal dwLogonProvider As Integer, _
ByRef phToken As IntPtr) As Integer
Declare Auto Function DuplicateToken Lib "advapi32.dll" ( _
ByVal ExistingTokenHandle As IntPtr, _
ByVal ImpersonationLevel As Integer, _
ByRef DuplicateTokenHandle As IntPtr) As Integer
Declare Auto Function RevertToSelf Lib "advapi32.dll" () As Long
Declare Auto Function CloseHandle Lib "kernel32.dll" (ByVal handle As IntPtr) As Long
Public Sub Page_Load(ByVal s As Object, ByVal e As EventArgs)
If impersonateValidUser("username", "domain", "password") Then
'Insert your code that runs under the security context of a specific user here.
undoImpersonation()
Else
'Your impersonation failed. Therefore, include a fail-safe mechanism here.
End If
End Sub
Private Function impersonateValidUser(ByVal userName As String, _
ByVal domain As String, ByVal password As String) As Boolean
Dim tempWindowsIdentity As WindowsIdentity
Dim token As IntPtr = IntPtr.Zero
Dim tokenDuplicate As IntPtr = IntPtr.Zero
impersonateValidUser = False
If RevertToSelf() Then
If LogonUserA(userName, domain, password, LOGON32_LOGON_INTERACTIVE,
LOGON32_PROVIDER_DEFAULT, token) <> 0 Then
If DuplicateToken(token, 2, tokenDuplicate) <> 0 Then
tempWindowsIdentity = New WindowsIdentity(tokenDuplicate)
impersonationContext = tempWindowsIdentity.Impersonate()
If Not impersonationContext Is Nothing Then
impersonateValidUser = True
End If
End If
End If
End If
If Not tokenDuplicate.Equals(IntPtr.Zero) Then
CloseHandle(tokenDuplicate)
End If
If Not token.Equals(IntPtr.Zero) Then
CloseHandle(token)
End If
End Function
Private Sub undoImpersonation()
impersonationContext.Undo()
End Sub
</script>
Visual C# .NET
<%@ Page Language="C#"%>
<%@ Import Namespace = "System.Web" %>
<%@ Import Namespace = "System.Web.Security" %>
<%@ Import Namespace = "System.Security.Principal" %>
<%@ Import Namespace = "System.Runtime.InteropServices" %>
<script runat=server>
public const int LOGON32_LOGON_INTERACTIVE = 2;
public const int LOGON32_PROVIDER_DEFAULT = 0;
WindowsImpersonationContext impersonationContext;
[DllImport("advapi32.dll")]
public static extern int LogonUserA(String lpszUserName,
String lpszDomain,
String lpszPassword,
int dwLogonType,
int dwLogonProvider,
ref IntPtr phToken);
[DllImport("advapi32.dll", CharSet=CharSet.Auto, SetLastError=true)]
public static extern int DuplicateToken(IntPtr hToken,
int impersonationLevel,
ref IntPtr hNewToken);
[DllImport("advapi32.dll", CharSet=CharSet.Auto, SetLastError=true)]
public static extern bool RevertToSelf();
[DllImport("kernel32.dll", CharSet=CharSet.Auto)]
public static extern bool CloseHandle(IntPtr handle);
public void Page_Load(Object s, EventArgs e)
{
if(impersonateValidUser("username", "domain", "password"))
{
//Insert your code that runs under the security context of a specific user here.
undoImpersonation();
}
else
{
//Your impersonation failed. Therefore, include a fail-safe mechanism here.
}
}
private bool impersonateValidUser(String userName, String domain, String password)
{
WindowsIdentity tempWindowsIdentity;
IntPtr token = IntPtr.Zero;
IntPtr tokenDuplicate = IntPtr.Zero;
if(RevertToSelf())
{
if(LogonUserA(userName, domain, password, LOGON32_LOGON_INTERACTIVE,
LOGON32_PROVIDER_DEFAULT, ref token)!= 0)
{
if(DuplicateToken(token, 2, ref tokenDuplicate)!= 0)
{
tempWindowsIdentity = new WindowsIdentity(tokenDuplicate);
impersonationContext = tempWindowsIdentity.Impersonate();
if (impersonationContext != null)
{
CloseHandle(token);
CloseHandle(tokenDuplicate);
return true;
}
}
}
}
if(token!= IntPtr.Zero)
CloseHandle(token);
if(tokenDuplicate!=IntPtr.Zero)
CloseHandle(tokenDuplicate);
return false;
}
private void undoImpersonation()
{
impersonationContext.Undo();
}
</script>
L’identité du processus qui emprunte l’identité d’un utilisateur spécifique sur un thread doit avoir l’élément Act dans le cadre du privilège du système d’exploitation si le processus Aspnet_wp.exe s’exécute sur un ordinateur Windows 2000. L’élément Act dans le cadre du privilège du système d’exploitation n’est pas requis si le processus Aspnet_wp.exe s’exécute sur un ordinateur Windows XP ou sur un ordinateur Windows Server 2003. Par défaut, le processus Aspnet_wp.exe s’exécute sous un compte d’ordinateur nommé ASPNET. Toutefois, ce compte ne dispose pas des privilèges requis pour emprunter l’identité d’un utilisateur spécifique. Vous recevez un message d’erreur si vous essayez d’emprunter l’identité d’un utilisateur spécifique.
Pour contourner ce problème, utilisez l’une des méthodes suivantes :
Accordez le privilège Act dans le cadre du système d’exploitation au compte ASPNET.
Remarque
Nous vous déconseillons cette méthode pour contourner le problème.
Remplacez le compte sous lequel le processus Aspnet_wp.exe s’exécute par le compte système dans la
<processModel>section configuration du fichier Machine.config.
References
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour