使用 ASP.NET 和 TFS api 的直通（模拟）身份验证

Posted 2023-03-22

技术标签:

【中文标题】使用 ASP.NET 和 TFS api 的直通（模拟）身份验证【英文标题】：Passthrough (impersonation) authentication with ASP.NET and TFS api 【发布时间】：2011-04-30 02:38:41 【问题描述】：

我正在尝试在使用 TFS2010 API 的 ASP.NET 网站内启用直通或模拟身份验证。

我在 Cassini 中可以正常工作，但是在 IIS 7.5 (Windows 7) 中出现了问题。

我在这个主题上找到了this blog post，并尝试了以下方法：

private static void Test()

    TfsTeamProjectCollection baseUserTpcConnection = 
            new TfsTeamProjectCollection(new Uri(Settings.TfsServer));
    
    // Fails as 'baseUserTpcConnection' isn't authenticated
    IIdentityManagementService ims = 
            baseUserTpcConnection.GetService<IIdentityManagementService>();
    
    // Read out the identity of the user we want to impersonate
    TeamFoundationIdentity identity = ims.ReadIdentity(
            IdentitySearchFactor.AccountName, 
            HttpContext.Current.User.Identity.Name,
            MembershipQuery.None, 
            ReadIdentityOptions.None);

    TfsTeamProjectCollection impersonatedTpcConnection = new 
            TfsTeamProjectCollection(new Uri(Settings.TfsServer), 
            identity.Descriptor);

当我使用 Cassini 时，除此之外什么都不需要

collection = new TfsTeamProjectCollection(new Uri(server));

我已启用 web.config 设置（并安装了 Windows Auth 模块）：

<authentication mode="Windows"/>
<identity impersonate="true" />

我错过了什么明显的东西吗？

【问题讨论】：

【参考方案1】：

我想知道您是否在这里遇到了旧的Double-Hop 问题？

【讨论】：

很可能是双跳。我是，但 2010 年的新 API 旨在解决这个问题（测试方法）除非您部署 Kerberos，否则不会“绕过”双跳问题。您的解决方案在 Cassini 中有效，因为 Web 开发服务器以“您”的身份运行，而 IIS 以服务帐户的身份运行。你得到了我的投票，但我很迂腐，说这是原因而不是解决方案 :) 从阅读那篇文章来看，配置 kerberos 委托对于我的应用程序来说并不是一件容易的事。从记忆中开始（几年前）-我认为它只是针对 AD 中的服务器的设置（委托信任？）-假设您的网络已经在运行 Kerberos-如果不，为什么不;o)【参考方案2】：