Impersonation

Impersonation is the ability of a thread to execute in a security context that is different from the context of the process that owns the thread. When running in the client’s security context, the server «is» the client, to some degree. The server thread uses an access token representing the client’s credentials to obtain access to the objects to which the client has access.

The primary reason for impersonation is to cause access checks to be performed against the client’s identity. Using the client’s identity for access checks can cause access to be either restricted or expanded, depending on what the client has permission to do. For example, suppose a file server has files containing confidential information and that each of these files is protected by an ACL. To help prevent a client from obtaining unauthorized access to information in these files, the server can impersonate the client before accessing the files.

Access Tokens for Impersonation

Access tokens are objects that describe the security context of a process or thread. They provide information that includes the identity of a user account and a subset of the privileges available to the user account. Every process has a primary access token that describes the security context of the user account associated with the process. By default, the system uses the primary token when a thread of the process interacts with a securable object. However, when a thread impersonates a client, the impersonating thread has both a primary access token and an impersonation token. The impersonation token represents the client’s security context, and this access token is the one that is used for access checks during impersonation. When impersonation is over, the thread reverts to using only the primary access token.

You can use the OpenProcessToken function to get a handle to the primary token of a process. Use the OpenThreadToken function to get a handle to the impersonation token of a thread.

Client Impersonation (Authorization)

Impersonation is the ability of a thread to execute using different security information than the process that owns the thread. Typically, a thread in a server application impersonates a client. This allows the server thread to act on behalf of that client to access objects on the server or validate access to the client’s own objects.

The Microsoft Windows API provides the following functions to begin an impersonation:

• A DDE server application can call the DdeImpersonateClient function to impersonate a client.
• A named-pipe server can call the ImpersonateNamedPipeClient function.
• You can call the ImpersonateLoggedOnUser function to impersonate the security context of a logged-on user’s access token.
• The ImpersonateSelf function enables a thread to generate a copy of its own access token. This is useful when an application needs to change the security context of a single thread. For example, sometimes only one thread of a process needs to enable a privilege.
• You can call the SetThreadToken function to cause the target thread to run in the security context of a specified impersonation token.
• A Microsoft Remote Procedure Call (RPC) server application can call the RpcImpersonateClient function to impersonate a client.
• A security package or application server can call the ImpersonateSecurityContext function to impersonate a client.

For most of these impersonations, the impersonating thread can revert to its own security context by calling the RevertToSelf function. The exception is the RPC impersonation, in which the RPC server application calls RpcRevertToSelf or RpcRevertToSelfEx to revert to its own security context.

Использование олицетворения при обеспечении безопасности транспорта Using Impersonation with Transport Security

Олицетворение — это способность серверного приложения принимать на себя удостоверение клиента. Impersonation is the ability of a server application to take on the identity of the client. Обычно службы используют олицетворение при проверке доступа к ресурсам. It is common for services to use impersonation when validating access to resources. Серверное приложение выполняется с использованием учетной записи службы, но когда сервер принимает клиентское подключение, он олицетворяет клиента для выполнения проверки доступа с использованием учетных данных клиента. The server application runs using a service account, but when the server accepts a client connection, it impersonates the client so that access checks are performed using the client’s credentials. Безопасность транспорта — это механизм, используемый как для передачи учетных данных, так и для обеспечения безопасности связи с использованием этих учетных данных. Transport security is a mechanism both for passing credentials and securing communication using those credentials. В этом разделе описывается использование безопасности транспорта в Windows Communication Foundation (WCF) с функцией олицетворения. This topic describes using transport security in Windows Communication Foundation (WCF) with the impersonation feature. Дополнительные сведения об олицетворении с использованием безопасности сообщений см. в разделе Делегирование и олицетворение. For more information about impersonation using message security, see Delegation and Impersonation.

Пять уровней олицетворения Five Impersonation Levels

В безопасности транспорта используется пять уровней олицетворения, как описано в приведенной ниже таблице. Transport security makes use of five levels of impersonation, as described in the following table.

Уровень олицетворения Impersonation level	Описание Description
None None	Серверное приложение не пытается олицетворить клиент. The server application does not attempt to impersonate the client.
Анонимный Anonymous	Серверное приложение может выполнять проверки доступа с использованием учетных данных клиента, но не получает никакой информации об идентификации клиента. The server application can perform access checks against the client’s credentials, but does not receive any information about the client’s identity. Использовать этот уровень олицетворения имеет смысл только при обмене данными на компьютере, например по именованным каналам. This impersonation level is meaningful only for on-machine communication, such as named pipes. Если уровень Anonymous используется при удаленном подключении, он повышается до уровня олицетворения «Identify». Using Anonymous with a remote connection promotes the impersonation level to Identify.
Identify Identify	Серверное приложение знает идентификацию клиента и может выполнить проверку доступа с использованием учетных данных клиента, но не может олицетворить клиент. The server application knows the client’s identity and can perform access validation against the client’s credentials, but cannot impersonate the client. Identify — это уровень олицетворения по умолчанию, используемый с учетными данными SSPI в WCF, если поставщик токенов не предоставляет другой уровень олицетворения. Identify is the default impersonation level used with SSPI credentials in WCF unless the token provider provides a different impersonation level.
Impersonate Impersonate	Серверное приложение может получить доступ к ресурсам на компьютере-сервере в качестве клиента помимо выполнения проверок доступа. The server application can access resources on the server machine as the client in addition to performing access checks. Серверное приложение не может получить доступ к ресурсам на удаленных компьютерах, используя идентификацию клиента, поскольку олицетворяемый маркер не имеет сетевых учетных данных. The server application cannot access resources on remote machines using the client’s identity because the impersonated token does not have network credentials
Делегат Delegate	Уровень олицетворения «Delegate» предоставляет те же возможности, что уровень Impersonate , а также позволяет серверному приложению получить доступ к ресурсам на удаленных компьютерах с использованием идентификации клиента и передавать эту идентификацию другим приложениям. In addition to having the same capabilities as Impersonate , the Delegate impersonation level also enables the server application to access resources on remote machines using the client’s identity and to pass the identity to other applications. Важно! Для использования этих дополнительных функций учетная запись домена сервера должна быть помечена как доверенная для делегирования на контроллере домена. Important The server domain account must be marked as trusted for delegation on the domain controller to use these additional features. Этот уровень олицетворения нельзя использовать с учетными записями домена клиента, отмеченными как конфиденциальные. This level of impersonation cannot be used with client domain accounts marked as sensitive.

Уровни, наиболее часто используемые при обеспечении безопасности транспорта, — это Identify и Impersonate . The levels most commonly used with transport security are Identify and Impersonate . Не рекомендуется использовать уровни None и Anonymous в стандартных ситуациях, большинство транспортов не поддерживает использование этих уровней с проверкой подлинности. The levels None and Anonymous are not recommended for typical use, and many transports do not support using those levels with authentication. Уровень Delegate — это функция с широкими возможностями, которую следует использовать осторожно. The Delegate level is a powerful feature that should be used with care. Разрешение на делегирование учетных записей следует предоставлять только доверенным серверным приложениям. Only trusted server applications should be given the permission to delegate credentials.

Для использования уровней Impersonate или Delegate необходимо, чтобы серверные приложения имели привилегию SeImpersonatePrivilege . Using impersonation at the Impersonate or Delegate levels requires the server application to have the SeImpersonatePrivilege privilege. Приложение имеет эту привилегию по умолчанию, если оно выполняется от имени учетной записи в группе «Администраторы» или от имени учетной записи с идентификатором безопасности службы (сетевая служба, локальная служба или локальная система). An application has this privilege by default if it is running on an account in the Administrators group or on an account with a Service SID (Network Service, Local Service, or Local System). Для олицетворения не требуется проведения взаимной проверки подлинности клиента и сервера. Impersonation does not require mutual authentication of the client and server. Некоторые схемы проверки подлинности, поддерживающие олицетворение, такие как NTLM, нельзя использовать при проведении взаимной проверки подлинности. Some authentication schemes that support impersonation, such as NTLM, cannot be used with mutual authentication.

Проблемы соответствия транспорта и олицетворения Transport-Specific Issues with Impersonation

Выбор транспорта в WCF влияет на возможные варианты олицетворения. The choice of a transport in WCF affects the possible choices for impersonation. В этом разделе описываются проблемы, влияющие на стандартные транспорты HTTP и именованных каналов в WCF. This section describes issues affecting the standard HTTP and named pipe transports in WCF. Пользовательские транспорты имеют свои собственные ограничения поддержки олицетворения. Custom transports have their own restrictions on support for impersonation.

Транспорт именованных каналов Named Pipe Transport

К транспорту именованных каналов применяются следующие положения. The following items are used with the named pipe transport:

Транспорт именованных каналов предназначен для использования только на локальном компьютере. The named pipe transport is intended for use only on the local machine. Транспорт именованных каналов в WCF явным образом запрещает подключения между компьютерами. The named pipe transport in WCF explicitly disallows cross-machine connections.

Именованные каналы невозможно использовать с уровнем олицетворения Impersonate или Delegate . Named pipes cannot be used with the Impersonate or Delegate impersonation level. Именованный канал не может обеспечить выполнение гарантии на компьютере на этих уровнях олицетворения. The named pipe cannot enforce the on-machine guarantee at these impersonation levels.

Дополнительные сведения об именованных каналах см. в разделе Выбор транспорта. For more information about named pipes, see Choosing a Transport.

Транспорт HTTP HTTP Transport

Привязки, использующие транспорт HTTP ( WSHttpBinding и BasicHttpBinding ), поддерживают несколько схем проверки подлинности, как описано в описании проверки подлинности HTTP. The bindings that use the HTTP transport (WSHttpBinding and BasicHttpBinding) support several authentication schemes, as explained in Understanding HTTP Authentication. Поддерживаемый уровень олицетворения зависит от схемы проверки подлинности. The impersonation level supported depends on the authentication scheme. К транспорту HTTP применяются следующие положения. The following items are used with the HTTP transport:

Схема проверки подлинности Anonymous игнорирует олицетворение. The Anonymous authentication scheme ignores impersonation.

Basic Схема проверки подлинности поддерживает только Delegate уровень. The Basic authentication scheme supports only the Delegate level. Все более низкие уровни олицетворения обновляются. All lower impersonation levels are upgraded.

Схема проверки подлинности Digest поддерживает только уровни Impersonate и Delegate . The Digest authentication scheme supports only the Impersonate and Delegate levels.

Схема проверки подлинности NTLM , которую можно выбрать как прямо, так и посредством согласования, поддерживает только уровень Delegate на локальном компьютере. The NTLM authentication scheme, selectable either directly or through negotiation, supports only the Delegate level on the local machine.

Схема проверки подлинности Kerberos, которую можно выбрать только посредством согласования, используется на любом поддерживаемом уровне олицетворения. The Kerberos authentication scheme, which can only be selected through negotiation, can be used with any supported impersonation level.

Дополнительные сведения о транспорте HTTP см. в разделе Выбор транспорта. For more information about the HTTP transport, see Choosing a Transport.

Практическое руководство. Олицетворение клиента в рамках службы How to: Impersonate a Client on a Service

Олицетворение клиента в службе Windows Communication Foundation (WCF) позволяет службе выполнять действия от имени клиента. Impersonating a client on a Windows Communication Foundation (WCF) service enables the service to perform actions on behalf of the client. В случае действий, для которых предусмотрены проверки списка управления доступом (ACL), таким как доступ к каталогам и файлам на компьютере или доступ к базе данных SQL Server, проверка ACL выполняется с использованием клиентской учетной записи пользователя. For actions subject to access control list (ACL) checks, such as access to directories and files on a machine or access to a SQL Server database, the ACL check is against the client user account. В данном разделе представлены основные этапы установки клиентом уровня олицетворения клиента в домене Windows. This topic shows the basic steps required to enable a client in a Windows domain to set a client impersonation level. Рабочий пример см. в разделе Impersonating the Client. For a working example of this, see Impersonating the Client. Дополнительные сведения о олицетворении клиента см. в разделе Делегирование и олицетворение. For more information about client impersonation, see Delegation and Impersonation.

Если клиент и служба выполняются на одном компьютере и клиент выполняется от имени системной учетной записи (например, Local System или Network Service ), клиент невозможно олицетворить, если установлен безопасный сеанс с маркерами контекста безопасности с отслеживанием состояния. When the client and service are running on the same computer and the client is running under a system account (that is, Local System or Network Service ), the client cannot be impersonated when a secure session is established with stateful Security Context tokens. WinForms или консольное приложение, как правило, выполняется от имени текущей зарегистрированной учетной записи, что позволяет олицетворить учетную запись по умолчанию. A WinForms or console application typically is run under the currently logged in account, so that account can be impersonated by default. Однако если клиент является страницей ASP.NET и эта страница размещается в IIS 6,0 или IIS 7,0, то клиент по Network Service умолчанию работает под учетной записью. However, when the client is an ASP.NET page and that page is hosted in IIS 6.0 or IIS 7.0, then the client does run under the Network Service account by default. Все предоставляемые системой привязки, поддерживающие защищенные сеансы, по умолчанию используют маркер контекста безопасности без отслеживания состояния. All of the system-provided bindings that support secure sessions use a stateless Security Context token by default. Однако если клиент является страницей ASP.NET и используются безопасные сеансы с токенами контекста безопасности с отслеживанием состояния, то клиент не сможет выполнить олицетворение. However, if the client is an ASP.NET page and secure sessions with stateful Security Context tokens are used, the client cannot be impersonated. Дополнительные сведения об использовании токенов контекста безопасности с отслеживанием состояния в безопасном сеансе см. в разделе как создать маркер контекста безопасности для безопасного сеанса. For more information about using stateful Security Context tokens in a secure session, see How to: Create a Security Context Token for a Secure Session.

Включение олицетворения клиента из кэшированного маркера Windows в службе To enable impersonation of a client from a cached Windows token on a service

Создайте службу. Create the service. Дополнительные сведения по этой базовой процедуре см. в разделе Getting Started Tutorial. For a tutorial of this basic procedure, see Getting Started Tutorial.

Используйте привязку, использующую проверку подлинности Windows, и создайте сеанс, такой как NetTcpBinding или WSHttpBinding. Use a binding that uses Windows authentication and creates a session, such as NetTcpBinding or WSHttpBinding.

При создании реализации интерфейса службы примените класс OperationBehaviorAttribute к методу, требующему олицетворения клиента. When creating the implementation of the service’s interface, apply the OperationBehaviorAttribute class to the method that requires client impersonation. Задайте для свойства Impersonation значение Required. Set the Impersonation property to Required.

Установка допустимого уровня олицетворения на стороне клиента To set the allowed impersonation level on the client

После создания клиента WCF задайте AllowedImpersonationLevel WindowsClientCredential для свойства класса одно из TokenImpersonationLevel значений перечисления. After creating the WCF client, set the AllowedImpersonationLevel property of the WindowsClientCredential class to one of the TokenImpersonationLevel enumeration values.

Для использования Delegationнеобходимо использовать согласованную проверку подлинности Kerberos (иногда называемую многоступенчатой или многоэтапной проверкой Kerberos). To use Delegation, negotiated Kerberos authentication (sometimes called multi-leg or multi-step Kerberos) must be used. Описание того, как это реализовать, см. в статье рекомендации по обеспечению безопасности. For a description of how to implement this, see Best Practices for Security.