Implémenter l’emprunt d’identité dans une application ASP.NET

Cet article décrit différentes façons d’implémenter l’emprunt d’identité dans une application ASP.NET.

Version du produit d’origine :   ASP.NET
Numéro de la base de connaissances initiale :   306158

Résumé

Cet article explique comment implémenter l’emprunt d’identité en modifiant le fichier Web.config et en exécutant une section particulière de code.

Il fait référence aux espaces de noms de la bibliothèque de classes Microsoft .NET Framework suivants :

  • System.Web.Security
  • System.Security.Principal
  • System.Runtime.InteropServices

Vous pouvez utiliser le code suivant pour déterminer l’utilisateur qui exécute le thread comme suit :

System.Security.Principal.WindowsIdentity.GetCurrent().Name

Emprunter l’identité d’un utilisateur ou d’un compte authentifié IIS

Pour emprunter l’identité de l’utilisateur d’authentification IIS (Internet Information Services) sur chaque demande pour chaque page dans une application ASP.NET, vous devez inclure une <identity> balise dans le fichier Web.config de cette application et définir l’attribut IMPERSONATE sur true. Par exemple :

<identity impersonate="true" />

Emprunter l’identité d’un utilisateur spécifique pour toutes les demandes d’une application ASP.NET

Pour emprunter l’identité d’un utilisateur spécifique pour toutes les demandes sur toutes les pages d’une application ASP.NET, vous pouvez spécifier les userName password attributs et dans la <identity> balise du fichier Web.config de cette application. Par exemple :

<identity impersonate="true" userName="accountname" password="password" />

Notes

L’identité du processus qui emprunte l’identité d’un utilisateur spécifique sur un thread doit disposer du privilège agir en tant que partie du système d’exploitation . Par défaut, le processus d' Aspnet_wp.exe s’exécute sous un compte d’ordinateur nommé ASPNET. Toutefois, ce compte ne dispose pas des privilèges requis pour emprunter l’identité d’un utilisateur spécifique. Vous recevez un message d’erreur si vous essayez d’emprunter l’identité d’un utilisateur spécifique. Ces informations s’appliquent uniquement à .NET Framework 1,0. Ce privilège n’est pas requis pour .NET Framework 1,1.

Pour contourner ce problème, utilisez l’une des méthodes suivantes :

  • Accordez le privilège agir en tant que partie du système d’exploitation au compte ASPNET (compte le moins privilégié).

    Notes

    Bien que vous puissiez utiliser cette méthode pour contourner le problème, Microsoft ne recommande pas cette méthode.

  • Modifiez le compte sous lequel le processus de Aspnet_wp.exe s’exécute sous le compte système dans la <processModel> section Configuration du fichier Machine.config.

Emprunter l’identité de l’utilisateur d’authentification dans le code

Pour emprunter l’identité de l’utilisateur d’authentification ( User.Identity ) uniquement lorsque vous exécutez une section de code particulière, vous pouvez utiliser le code suivant. Cette méthode nécessite que l’identité de l’utilisateur d’authentification soit de type WindowsIdentity .

  • Visual Basic .NET

    Dim impersonationContext As System.Security.Principal.WindowsImpersonationContext
    Dim currentWindowsIdentity As System.Security.Principal.WindowsIdentity
    currentWindowsIdentity = CType(User.Identity, System.Security.Principal.WindowsIdentity)
    impersonationContext = currentWindowsIdentity.Impersonate()
    'Insert your code that runs under the security context of the authenticating user here.
    impersonationContext.Undo()
    
  • Visual C# .NET

    System.Security.Principal.WindowsImpersonationContext impersonationContext;
    impersonationContext = ((System.Security.Principal.WindowsIdentity)User.Identity).Impersonate();
    //Insert your code that runs under the security context of the authenticating user here.
    impersonationContext.Undo();
    

Emprunter l’identité d’un utilisateur spécifique dans le code

Pour emprunter l’identité d’un utilisateur spécifique uniquement lorsque vous exécutez une section de code particulière, utilisez le code suivant :

Visual Basic .NET

<%@ Page Language="VB" %>
<%@ Import Namespace = "System.Web" %>
<%@ Import Namespace = "System.Web.Security" %>
<%@ Import Namespace = "System.Security.Principal" %>
<%@ Import Namespace = "System.Runtime.InteropServices" %>

<script runat=server>
Dim LOGON32_LOGON_INTERACTIVE As Integer = 2
Dim LOGON32_PROVIDER_DEFAULT As Integer = 0
Dim impersonationContext As WindowsImpersonationContext

Declare Function LogonUserA Lib "advapi32.dll" (ByVal lpszUsername As String, _
                        ByVal lpszDomain As String, _
                        ByVal lpszPassword As String, _
                        ByVal dwLogonType As Integer, _
                        ByVal dwLogonProvider As Integer, _
                        ByRef phToken As IntPtr) As Integer

Declare Auto Function DuplicateToken Lib "advapi32.dll" ( _
                        ByVal ExistingTokenHandle As IntPtr, _
                        ByVal ImpersonationLevel As Integer, _
                        ByRef DuplicateTokenHandle As IntPtr) As Integer

Declare Auto Function RevertToSelf Lib "advapi32.dll" () As Long
Declare Auto Function CloseHandle Lib "kernel32.dll" (ByVal handle As IntPtr) As Long

Public Sub Page_Load(ByVal s As Object, ByVal e As EventArgs)
    If impersonateValidUser("username", "domain", "password") Then
         'Insert your code that runs under the security context of a specific user here.
         undoImpersonation()
    Else
         'Your impersonation failed. Therefore, include a fail-safe mechanism here.
    End If
End Sub

Private Function impersonateValidUser(ByVal userName As String, _
ByVal domain As String, ByVal password As String) As Boolean

    Dim tempWindowsIdentity As WindowsIdentity
    Dim token As IntPtr = IntPtr.Zero
    Dim tokenDuplicate As IntPtr = IntPtr.Zero
    impersonateValidUser = False

    If RevertToSelf() Then
        If LogonUserA(userName, domain, password, LOGON32_LOGON_INTERACTIVE,
                    LOGON32_PROVIDER_DEFAULT, token) <> 0 Then
            If DuplicateToken(token, 2, tokenDuplicate) <> 0 Then
                tempWindowsIdentity = New WindowsIdentity(tokenDuplicate)
                impersonationContext = tempWindowsIdentity.Impersonate()
                If Not impersonationContext Is Nothing Then
                    impersonateValidUser = True
                End If
            End If
        End If
    End If
    If Not tokenDuplicate.Equals(IntPtr.Zero) Then
        CloseHandle(tokenDuplicate)
    End If
    If Not token.Equals(IntPtr.Zero) Then
        CloseHandle(token)
    End If
End Function

Private Sub undoImpersonation()
    impersonationContext.Undo()
End Sub
</script>

Visual C# .NET

<%@ Page Language="C#"%>
<%@ Import Namespace = "System.Web" %>
<%@ Import Namespace = "System.Web.Security" %>
<%@ Import Namespace = "System.Security.Principal" %>
<%@ Import Namespace = "System.Runtime.InteropServices" %>

<script runat=server>
public const int LOGON32_LOGON_INTERACTIVE = 2;
public const int LOGON32_PROVIDER_DEFAULT = 0;

WindowsImpersonationContext impersonationContext;

[DllImport("advapi32.dll")]
public static extern int LogonUserA(String lpszUserName,
String lpszDomain,
String lpszPassword,
int dwLogonType,
int dwLogonProvider,
ref IntPtr phToken);
[DllImport("advapi32.dll", CharSet=CharSet.Auto, SetLastError=true)]
public static extern int DuplicateToken(IntPtr hToken,
int impersonationLevel,
ref IntPtr hNewToken);

[DllImport("advapi32.dll", CharSet=CharSet.Auto, SetLastError=true)]
public static extern bool RevertToSelf();

[DllImport("kernel32.dll", CharSet=CharSet.Auto)]
public static extern bool CloseHandle(IntPtr handle);

public void Page_Load(Object s, EventArgs e)
{
    if(impersonateValidUser("username", "domain", "password"))
    {
        //Insert your code that runs under the security context of a specific user here.
        undoImpersonation();
    }
    else
    {
        //Your impersonation failed. Therefore, include a fail-safe mechanism here.
    }
}

private bool impersonateValidUser(String userName, String domain, String password)
{
    WindowsIdentity tempWindowsIdentity;
    IntPtr token = IntPtr.Zero;
    IntPtr tokenDuplicate = IntPtr.Zero;

    if(RevertToSelf())
    {
        if(LogonUserA(userName, domain, password, LOGON32_LOGON_INTERACTIVE,
        LOGON32_PROVIDER_DEFAULT, ref token)!= 0)
        {
            if(DuplicateToken(token, 2, ref tokenDuplicate)!= 0) 
            {
                tempWindowsIdentity = new WindowsIdentity(tokenDuplicate);
                impersonationContext = tempWindowsIdentity.Impersonate();
                if (impersonationContext != null)
                {
                    CloseHandle(token);
                    CloseHandle(tokenDuplicate);
                    return true;
                }
            }
        }
    }
    if(token!= IntPtr.Zero)
        CloseHandle(token);
    if(tokenDuplicate!=IntPtr.Zero)
        CloseHandle(tokenDuplicate);
    return false;
}

private void undoImpersonation()
{
    impersonationContext.Undo();
}
</script>

L’identité du processus qui emprunte l’identité d’un utilisateur spécifique sur un thread doit avoir le privilège agir en tant que partie du système d’exploitation si le processus de Aspnet_wp.exe est en cours d’exécution sur un ordinateur Windows 2000. Le privilège agir en tant que partie du système d’exploitation n’est pas obligatoire si le processus de Aspnet_wp.exe est en cours d’exécution sur un ordinateur Windows XP ou windows Server 2003. Par défaut, le processus d' Aspnet_wp.exe s’exécute sous un compte d’ordinateur nommé ASPNET. Toutefois, ce compte ne dispose pas des privilèges requis pour emprunter l’identité d’un utilisateur spécifique. Vous recevez un message d’erreur si vous essayez d’emprunter l’identité d’un utilisateur spécifique.

Pour contourner ce problème, utilisez l’une des méthodes suivantes :

  • Octroyez le privilège agir en tant que partie du système d’exploitation au compte ASPNET.

    Notes

    Il n’est pas recommandé d’utiliser cette méthode pour contourner le problème.

  • Modifiez le compte sous lequel le processus de Aspnet_wp.exe s’exécute sous le compte système dans la <processModel> section Configuration du fichier Machine.config.

Références

Vue d’ensemble de la sécurité ASP.NET