第 54 章在 IdM 中使用基于资源的受限委托

您可以使用基于资源的受限委托(RBCD)允许访问服务。使用 RBCD 可以在资源级别上进行精细控制。访问权限可以由委派凭据的服务的所有者来设置。例如，这在身份管理(IdM)和活动目录(AD)之间的集成中很有用。

自 2019 起，当目标和代理服务都属于不同的林时，Microsoft AD 强制使用 RBCD。

54.1. IdM 中基于资源的受限委托
复制链接

RBCD 允许更好地控制访问委派。本章论述了 RBCD 和常规受限委托之间的主要区别。

RBCD 与常规受限委托

基于资源的受限委托(RBCD)与常规受限委托在多个方面有所不同：

在常规受限委托中，用户到代理的服务(S4U2proxy)扩展代表用户获取其他服务的服务票据。第二个服务通常是在用户的授权上下文下，代表第一个服务执行任务的代理。使用受限委托无需用户委派其完整票据授予票 (TGT)。

IdM 如何使用受限委托: 身份管理(IdM)通常使用 Kerberos S4U2proxy 功能来允许 Web 服务器框架代表用户获取 LDAP 服务票据。

当 IdM 与 Active Directory (AD)集成时，IdM 框架也使用受限委托代表用户对各种服务进行操作，包括 IdM 和 AD 端的 SMB 和 DCE RPC 端点。

IdM 如何使用 RBCD: 当 IdM 域中的某个应用程序代表针对不同服务的用户运行时，它需要委托权限。在常规受限委托中，这需要域管理员明确创建一个规则，以允许第一个服务将用户凭据委托给下一个服务。使用 RBCD 时，可由委托凭据的服务的所有者创建委托权限。

对于 IdM-AD 集成，当两个服务都属于同一 IdM 域的一部分时，可以在 IdM 端授予 RBCD 权限。

重要

目前，只有 IdM 域中的服务才能使用 RBCD 规则进行配置。如果目标服务是 AD 域的一部分，则只能在 AD 端授予权限。因为 AD 域控制器无法解析 IdM 服务信息来创建规则，这目前还不支持。

返回顶部