Authentification Windows intégrée
par Mike Wasson
Le Authentification Windows intégré permet aux utilisateurs de se connecter avec leurs informations d’identification Windows à l’aide de Kerberos ou NTLM. Le client envoie des informations d’identification dans l’en-tête d’autorisation. Elle est idéale pour un environnement intranet. Pour plus d'informations, consultez Authentification Windows.
| Avantages | Inconvénients |
|---|---|
| Intégré à IIS. | Non recommandé pour les applications Internet. |
| N’envoie pas les informations d’identification de l’utilisateur dans la demande. | Nécessite la prise en charge kerberos ou NTLM dans le client. |
| Si l’ordinateur client appartient au domaine (par exemple, l’application intranet), l’utilisateur n’a pas besoin d’entrer d’informations d’identification. | Le client doit se trouver dans le domaine Active Directory. |
Remarque
Si votre application est hébergée sur Azure et que vous disposez d’un domaine Active Directory local, envisagez de fédérer votre ad local avec Azure Active Directory. Ainsi, les utilisateurs peuvent se connecter avec leurs informations d’identification locales, mais l’authentification est effectuée par Azure AD. Pour plus d’informations, consultez Authentification Azure.
Pour créer une application qui utilise des Authentification Windows intégrées, sélectionnez le modèle « Application intranet » dans l’Assistant projet MVC 4. Ce modèle de projet place le paramètre suivant dans le fichier Web.config :
<system.web>
<authentication mode="Windows" />
</system.web>
Côté client, l’Authentification Windows intégré fonctionne avec n’importe quel navigateur qui prend en charge le schéma d’authentification Negotiate, qui inclut la plupart des navigateurs principaux. Pour les applications clientes .NET, la classe HttpClient prend en charge Authentification Windows :
HttpClientHandler handler = new HttpClientHandler()
{
UseDefaultCredentials = true
};
HttpClient client = new HttpClient(handler);
Authentification Windows est vulnérable aux attaques par falsification de requête intersite (CSRF). Voir Prévention des attaques par falsification de requête intersite (CSRF).