Je pense que vous devriez vraiment regarder l'authentification basée sur la revendication.
Microsoft a fait beaucoup récemment. Vous avez probablement entendu parler de Geneva Server (officiellement appelé ADFS 2.0 maintenant) et de Geneva Framework (officiellement appelé Windows Identity Foundation maintenant). L'idée est que l'authentification se fait à un point/serveur central (le Geneva Server ou un serveur de jeton de sécurité (STS) en général), un jeton de sécurité (basé sur SAML 2.0) est attribué à l'utilisateur authentifié qu'il présente à la ressource il/elle veut accéder. L'authentification peut être effectuée par différents moyens, y compris nom d'utilisateur/mot de passe, carte à puce, certificats, ou - dans votre cas - en traduisant un jeton déjà présent comme l'authentification Windows (appelée Windows Integrated Authentication).
Le jeton est basé sur SAML 2.0 (standard de l'industrie qui est important pour une bonne interopérabilité avec les produits STS d'autres fournisseurs). Il contient des revendications concernant une personne qui sont utilisées dans une application ou une ressource (y compris les services Web) pour effectuer l'autorisation (octroi de droits). À cette fin, il est bien sûr essentiel que la demande fasse confiance aux revendications du STS. D'un autre côté, l'application n'a besoin d'aucune authentification. Le Framework de Genève est une bibliothèque (.NET) utilisée pour traiter des jetons dans une application. C'est assez simple à utiliser.
Pour plus d'informations, veuillez consulter les livres blancs qui donnent une bonne introduction à ce sujet. Le site officiel est here.
Bien sûr, il ya beaucoup plus de problèmes qui sont abordés avec ces concepts qui est vraiment la partie intéressante à mon humble avis. Cela inclut l'authentification unique (SSO), l'authentification unique fédérée (sur plusieurs limites d'organisation), la délégation (une application utilise un service Web avec vos droits d'utilisateur). J'espère que cette info vous aide!
Vive
PS: Bien sûr, ce n'est pas du tout un problème de Microsoft. Il existe d'autres produits STS tels que Sun OpenSSO, Ping Identity et Thinktecture Identity Server qui offrent des fonctionnalités similaires. Je viens de mettre en évidence les choses Microsoft parce que c'est une bonne interopérabilité avec AD et l'authentification Windows mentionné dans la question.
Demandez à l'application d'emprunter l'identité d'un principal de domaine créé à cette fin. –
Cherchez-vous spécifiquement une réponse de programmation, car le paquetage Kerberos peut être spécifiquement configuré pour activer ce type de comportement. –