Zosobnění
Zosobnění je schopnost vlákna spustit v kontextu zabezpečení, který se liší od kontextu procesu, který vlastní vlákno. Když běží v kontextu zabezpečení klienta, server "je" klientem do určité míry. Vlákno serveru používá přístupový token představující přihlašovací údaje klienta k získání přístupu k objektům, ke kterým má klient přístup.
Primárním důvodem zosobnění je provedení kontrol přístupu vůči identitě klienta. Použití identity klienta pro kontroly přístupu může způsobit omezení nebo rozšíření přístupu v závislosti na tom, k čemu má klient oprávnění. Předpokládejme například, že souborový server obsahuje soubory obsahující důvěrné informace a že každý z těchto souborů je chráněn seznamem ACL. Aby se zabránilo tomu, že klient získá neoprávněný přístup k informacím v těchto souborech, může server před přístupem k souborům zosobnit klienta.
Přístupové tokeny pro zosobnění
Přístupové tokeny jsou objekty, které popisují kontext zabezpečení procesu nebo vlákna. Poskytují informace, které zahrnují identitu uživatelského účtu a podmnožinu oprávnění dostupných pro uživatelský účet. Každý proces má primární přístupový token, který popisuje kontext zabezpečení uživatelského účtu přidruženého k procesu. Ve výchozím nastavení systém používá primární token, když vlákno procesu komunikuje se zabezpečitelným objektem. Pokud však vlákno zosobní klienta, zosobnění vlákna má primární přístupový token i token zosobnění. Token zosobnění představuje kontext zabezpečení klienta a tento přístupový token se používá k kontrolám přístupu během zosobnění. Po zosobnění se vlákno vrátí k použití pouze primárního přístupového tokenu.
Pomocí funkce OpenProcessToken můžete získat popisovač primárního tokenu procesu. Pomocí funkce OpenThreadToken získejte popisovač tokenu zosobnění vlákna.
Související témata