Discussion :

[micka132]

Bonjour, j'ai une application silverlight qui se connecte à un data services, qui lui meme se connecte à une base oracle.
Lorsque je met en dur, dans la chaine de connexion d'entity framework, l'user et le password, tout fonctionne parfaitement.
Le soucis vient lorsque j'essai d'utiliser l'authentification OS.
Si j'ouvre mon client silverlight depuis un navigateur local à mon data service, l'authentification fonctionne, le data service se connecte bien a la base oracle.
Maintenant si j'accede depuis un ordinateur distant à mon application silverlight, l'authentification ne fonctionne plus.
La où c'est étrange c'est que si, dans oracle ma session est ouverte (je me connecte en local avec mon apli), et bien depuis mon ordinateur distant mon application silverlight utilise parfaitement le data services, comme si j'etais en local.

Des suggestions?
Merci.

[Skyounet]

Et tu utilises quoi comme credentials ? HttpContext.Current.User ? Tu as regardé les valeurs avec le debugger ?

[davrous]

Hello,

Tu as confronté au problème classique du double saut avec l'authentification NTLM Windows Intégré. En gros, le jeton d'authentification ne peut être passé de ton serveur web vers ta base de données. J'ai expliqué ce mécanisme dans un vieux document ici : http://download.microsoft.com/downlo...ecuritycdo.doc . Le principe est exactement le même dans ton cas.

Si tu veux absolument que l'identité de ton utilisateur traverse les tiers jusqu'à ta base de données, tu as une seule solution : la delegation de ticket Kerberos.

Sinon, si n'est pas nécessaire de projeter le jeton initial (celui de l'utilisateur sur le 1er tier à travers le navigateur), tu peux faire une impersonnation sur le tier du milieur avec plusieurs méthodes:

- très crade et très mal: mot de passe en dur dans la chaîne de connexion
- utilisation d'un service tournant sous l'identité d'un compte adapté (identité de l'Application Pool)
- utilisation des Enterprises Services (ex. COM+)

Voilà, il te reste plus qu'à chercher sur le net avec tous ces mots clés. ;-)

Bye,

David Rousset
Microsoft France

[davrous]

Ah, j'oubliais, tu peux également mettre en place une authentification en "Basic Clear/text" sécurité par un canal SSL entre le 1er tier (navigateur) et le second (serveur web). Comme ça, le serveur web aura le mot de passe et pourra résoudre le challenge du serveur de base de données pour franchir le dernier tiers. Par contre, cela ne fonctionne qu'avec une architecture 3-tiers. Au dela, il te faudra obligatoirement Kerberos pour franchir tous les tiers de bout en bout.

David

[micka132]

Merci de vos réponse.
Skyounet je débute dans tout ce qui est sécurité, alors meme si j'ai lu des tas de choses sur ce que tu me racontes j'ai toujours pas bien saisi.

Davrous effectivement il semble bien que ce soit un probleme de "double hop", l'authentification fonctionnant bien avec une authentification "basic".
Je vais regarder de plus près tes solutions .