Integrované ověřování systému Windows

  • Článek

Mike Wasson

Integrované ověřování systému Windows umožňuje uživatelům přihlásit se pomocí přihlašovacích údajů systému Windows pomocí protokolu Kerberos nebo NTLM. Klient odešle přihlašovací údaje v autorizační hlavičce. Ověřování systému Windows je nejvhodnější pro prostředí intranetu. Další informace najdete v tématu Integrované ověřování Windows.

Výhody Nevýhody
Integrovaná do služby IIS. Nedoporučuje se pro internetové aplikace.
Neodesílá přihlašovací údaje uživatele v požadavku. Vyžaduje podporu protokolu Kerberos nebo NTLM v klientovi.
Pokud klientský počítač patří do domény (například intranetová aplikace), uživatel nemusí zadávat přihlašovací údaje. Klient musí být v doméně služby Active Directory.

Poznámka

Pokud je vaše aplikace hostovaná v Azure a máte místní doménu Active Directory, zvažte federování místní služby AD s Azure Active Directory. Uživatelé se tak můžou přihlásit pomocí svých místních přihlašovacích údajů, ale ověřování provádí Azure AD. Další informace najdete v tématu Ověřování Azure.

Pokud chcete vytvořit aplikaci, která používá integrované ověřování systému Windows, vyberte v průvodci projektem MVC 4 šablonu Intranetová aplikace. Tato šablona projektu vloží do souboru Web.config následující nastavení:

<system.web>
    <authentication mode="Windows" />
</system.web>

Integrované ověřování systému Windows na straně klienta funguje s libovolným prohlížečem, který podporuje schéma ověřování Negotiate , které zahrnuje většinu hlavních prohlížečů. U klientských aplikací .NET podporuje třída HttpClient ověřování systému Windows:

HttpClientHandler handler = new HttpClientHandler()
{
    UseDefaultCredentials = true
};

HttpClient client = new HttpClient(handler);

Ověřování Systému Windows je zranitelné vůči útokům csrf (cross-site request forgery). Viz Prevence útoků CSRF (Cross-Site Request Forgery).