Implémenter l’emprunt d’identité dans une application ASP.NET

Cet article décrit différentes façons d’implémenter l’emprunt d’identité dans une application ASP.NET.

Version du produit d’origine : ASP.NET
Numéro de base de connaissances d’origine : 306158

Résumé

Cet article explique comment implémenter l’emprunt d’identité en modifiant le fichier Web.config et en exécutant une section particulière du code.

Il fait référence aux espaces de noms de bibliothèque de classes Microsoft .NET Framework suivants :

• System.Web.Security
• System.Security.Principal
• System.Runtime.InteropServices

Vous pouvez utiliser le code suivant pour déterminer l’utilisateur en cours d’exécution du thread comme suit :

System.Security.Principal.WindowsIdentity.GetCurrent().Name

Emprunter l’identité d’un compte ou d’un utilisateur authentifié IIS

Pour emprunter l’identité de l’utilisateur authentifiant Internet Information Services (IIS) sur chaque demande de chaque page d’une application ASP.NET, vous devez inclure une <identity> balise dans le fichier Web.config de cette application et définir l’attribut d’emprunt d’identité sur true. Par exemple :

<identity impersonate="true" />

Emprunter l’identité d’un utilisateur spécifique pour toutes les demandes d’une application ASP.NET

Pour emprunter l’identité d’un utilisateur spécifique pour toutes les requêtes sur toutes les pages d’une application ASP.NET, vous pouvez spécifier les attributs et les userName attributs dans la <identity> balise du fichier Web.config pour cette password application. Par exemple :

<identity impersonate="true" userName="<accountName>" password="<credentialPlaceholder>"/>

Pour contourner ce problème, utilisez l’une des méthodes suivantes :

• Accordez la Loi dans le cadre du privilège du système d’exploitation au compte ASPNET (le compte le moins privilégié).

  Note

  Bien que vous puissiez utiliser cette méthode pour contourner le problème, Microsoft ne recommande pas cette méthode.

• Modifiez le compte sous lequel le processus Aspnet_wp.exe s’exécute sous le compte système dans la <processModel> section configuration du fichier Machine.config.

Emprunter l’identité de l’utilisateur d’authentification dans le code

Pour emprunter l’identité de l’utilisateur d’authentification (User.Identity) uniquement lorsque vous exécutez une section de code particulière, vous pouvez utiliser le code à suivre. Cette méthode nécessite que l’identité utilisateur d’authentification soit de type WindowsIdentity.

• Visual Basic .NET

  Dim impersonationContext As System.Security.Principal.WindowsImpersonationContext
  Dim currentWindowsIdentity As System.Security.Principal.WindowsIdentity
  currentWindowsIdentity = CType(User.Identity, System.Security.Principal.WindowsIdentity)
  impersonationContext = currentWindowsIdentity.Impersonate()
  'Insert your code that runs under the security context of the authenticating user here.
  impersonationContext.Undo()
  

• Visual C# .NET

  System.Security.Principal.WindowsImpersonationContext impersonationContext;
  impersonationContext = ((System.Security.Principal.WindowsIdentity)User.Identity).Impersonate();
  //Insert your code that runs under the security context of the authenticating user here.
  impersonationContext.Undo();
  

Emprunter l’identité d’un utilisateur spécifique dans le code

Pour emprunter l’identité d’un utilisateur spécifique uniquement lorsque vous exécutez une section de code particulière, utilisez le code suivant :

Visual Basic .NET

<%@ Page Language="VB" %>
<%@ Import Namespace = "System.Web" %>
<%@ Import Namespace = "System.Web.Security" %>
<%@ Import Namespace = "System.Security.Principal" %>
<%@ Import Namespace = "System.Runtime.InteropServices" %>

<script runat=server>
Dim LOGON32_LOGON_INTERACTIVE As Integer = 2
Dim LOGON32_PROVIDER_DEFAULT As Integer = 0
Dim impersonationContext As WindowsImpersonationContext

Declare Function LogonUserA Lib "advapi32.dll" (ByVal lpszUsername As String, _
                        ByVal lpszDomain As String, _
                        ByVal lpszPassword As String, _
                        ByVal dwLogonType As Integer, _
                        ByVal dwLogonProvider As Integer, _
                        ByRef phToken As IntPtr) As Integer

Declare Auto Function DuplicateToken Lib "advapi32.dll" ( _
                        ByVal ExistingTokenHandle As IntPtr, _
                        ByVal ImpersonationLevel As Integer, _
                        ByRef DuplicateTokenHandle As IntPtr) As Integer

Declare Auto Function RevertToSelf Lib "advapi32.dll" () As Long
Declare Auto Function CloseHandle Lib "kernel32.dll" (ByVal handle As IntPtr) As Long

Public Sub Page_Load(ByVal s As Object, ByVal e As EventArgs)
    If impersonateValidUser("username", "domain", "password") Then
         'Insert your code that runs under the security context of a specific user here.
         undoImpersonation()
    Else
         'Your impersonation failed. Therefore, include a fail-safe mechanism here.
    End If
End Sub

Private Function impersonateValidUser(ByVal userName As String, _
ByVal domain As String, ByVal password As String) As Boolean

    Dim tempWindowsIdentity As WindowsIdentity
    Dim token As IntPtr = IntPtr.Zero
    Dim tokenDuplicate As IntPtr = IntPtr.Zero
    impersonateValidUser = False

    If RevertToSelf() Then
        If LogonUserA(userName, domain, password, LOGON32_LOGON_INTERACTIVE,
                    LOGON32_PROVIDER_DEFAULT, token) <> 0 Then
            If DuplicateToken(token, 2, tokenDuplicate) <> 0 Then
                tempWindowsIdentity = New WindowsIdentity(tokenDuplicate)
                impersonationContext = tempWindowsIdentity.Impersonate()
                If Not impersonationContext Is Nothing Then
                    impersonateValidUser = True
                End If
            End If
        End If
    End If
    If Not tokenDuplicate.Equals(IntPtr.Zero) Then
        CloseHandle(tokenDuplicate)
    End If
    If Not token.Equals(IntPtr.Zero) Then
        CloseHandle(token)
    End If
End Function

Private Sub undoImpersonation()
    impersonationContext.Undo()
End Sub
</script>

Visual C# .NET

<%@ Page Language="C#"%>
<%@ Import Namespace = "System.Web" %>
<%@ Import Namespace = "System.Web.Security" %>
<%@ Import Namespace = "System.Security.Principal" %>
<%@ Import Namespace = "System.Runtime.InteropServices" %>

<script runat=server>
public const int LOGON32_LOGON_INTERACTIVE = 2;
public const int LOGON32_PROVIDER_DEFAULT = 0;

WindowsImpersonationContext impersonationContext;

[DllImport("advapi32.dll")]
public static extern int LogonUserA(String lpszUserName,
String lpszDomain,
String lpszPassword,
int dwLogonType,
int dwLogonProvider,
ref IntPtr phToken);
[DllImport("advapi32.dll", CharSet=CharSet.Auto, SetLastError=true)]
public static extern int DuplicateToken(IntPtr hToken,
int impersonationLevel,
ref IntPtr hNewToken);

[DllImport("advapi32.dll", CharSet=CharSet.Auto, SetLastError=true)]
public static extern bool RevertToSelf();

[DllImport("kernel32.dll", CharSet=CharSet.Auto)]
public static extern bool CloseHandle(IntPtr handle);

public void Page_Load(Object s, EventArgs e)
{
    if(impersonateValidUser("username", "domain", "password"))
    {
        //Insert your code that runs under the security context of a specific user here.
        undoImpersonation();
    }
    else
    {
        //Your impersonation failed. Therefore, include a fail-safe mechanism here.
    }
}

private bool impersonateValidUser(String userName, String domain, String password)
{
    WindowsIdentity tempWindowsIdentity;
    IntPtr token = IntPtr.Zero;
    IntPtr tokenDuplicate = IntPtr.Zero;

    if(RevertToSelf())
    {
        if(LogonUserA(userName, domain, password, LOGON32_LOGON_INTERACTIVE,
        LOGON32_PROVIDER_DEFAULT, ref token)!= 0)
        {
            if(DuplicateToken(token, 2, ref tokenDuplicate)!= 0) 
            {
                tempWindowsIdentity = new WindowsIdentity(tokenDuplicate);
                impersonationContext = tempWindowsIdentity.Impersonate();
                if (impersonationContext != null)
                {
                    CloseHandle(token);
                    CloseHandle(tokenDuplicate);
                    return true;
                }
            }
        }
    }
    if(token!= IntPtr.Zero)
        CloseHandle(token);
    if(tokenDuplicate!=IntPtr.Zero)
        CloseHandle(tokenDuplicate);
    return false;
}

private void undoImpersonation()
{
    impersonationContext.Undo();
}
</script>

L’identité du processus qui emprunte l’identité d’un utilisateur spécifique sur un thread doit avoir la Loi dans le cadre du privilège du système d’exploitation si le processus Aspnet_wp.exe s’exécute sur un ordinateur Windows 2000. La Loi dans le cadre du privilège du système d’exploitation n’est pas nécessaire si le processus Aspnet_wp.exe s’exécute sur un ordinateur Windows XP ou sur un ordinateur Windows Server 2003. Par défaut, le processus Aspnet_wp.exe s’exécute sous un compte d’ordinateur nommé ASPNET. Toutefois, ce compte n’a pas les privilèges requis pour emprunter l’identité d’un utilisateur spécifique. Vous recevez un message d’erreur si vous essayez d’emprunter l’identité d’un utilisateur spécifique.

Pour contourner ce problème, utilisez l’une des méthodes suivantes :

• Accordez la Loi dans le cadre du privilège du système d’exploitation au compte ASPNET.

  Note

  Nous vous déconseillons cette méthode pour contourner le problème.

• Modifiez le compte sous lequel le processus Aspnet_wp.exe s’exécute sous le compte système dans la <processModel> section configuration du fichier Machine.config.

References

Vue d’ensemble de la sécurité ASP.NET