SAMLアサーションからWindows Identity(Kerberosトークン?)への変換
これは私がカバーする必要があるシナリオです:
Ws-Trustなどを使用してIdPを信頼し、SAMLトークンを受信してユーザーを認証するWebServiceは、SQL ServerまたはWindows統合認証を使用するあらゆる種類のサービスを呼び出す必要があり、呼び出し元ユーザーの同じID。
これに対する解決策はありますか?数年前に.NETプラットフォームにSAML2Kerberosなどがあったことは知っていますが、廃止されたと思います...
問題は、SAML IDをActive Directoryによって提供されるIDに変換する必要があり、Active DirectoryがSAMLを理解しないことです。そこで登場したのが、C2WTSサービスです。これは非推奨ではありませんが、サービスアカウントに十分な権限を付与していると想定してユーザーのなりすましを許可し、それらの権限により基本的にrootと同等の権限が付与されるため、使用は推奨されません。
おそらく望ましいオプションであるそのサービスを使用するか、ユーザーを偽装するためにWindowsサブシステムを呼び出す独自のメカニズムを構築することができます。これに沿ったもの: https://stackoverflow.com/questions/559719/windows-impersonation-from-c-sharp 。