Я создаю простой сервис WCF, вероятно, предоставляемый через HTTPS, с использованием безопасности NTLM. Поскольку не все пользователи смогут использовать сервис напрямую, мы пишем простой веб-интерфейс для сервиса. Пользователи будут авторизоваться с помощью HTML в веб-интерфейсе.
То, что мы хотим, - это способ делегировать пользователя веб-сайта полностью службе WCF. Я понимаю, что делегация Kerberos может сделать это, но это нам недоступно.
Я хочу сделать интерфейсную учетную запись веб-сайта специально доверенной учетной записью, чтобы при запросе службы WCF, аутентифицированной как «DOMAIN \ WebApp», мы читали заголовок сообщения WCF, содержащий реальную личность, а затем переключите основной на это и продолжайте как обычно.
Есть ли какой-нибудь "простой" способ добиться этого? Должен ли я полностью отказаться от этой идеи и вместо этого сделать так, чтобы пользователи «входили» в приложение WCF, а затем выполняли полную пользовательскую аутентификацию?
Возможности расширения и безопасности WCF кажутся настолько обширными, что мне хотелось бы узнать, какой путь начать двигаться вниз.
Редактировать: Конечно, я хочу, чтобы только WindowsIdentity выполняла проверки членства в группах. Мне не нужен полный токен для подражания, просто идентификационный токен.