Délegation

1️⃣ Unconstrained Delegation (sans contrainte)

« Le service source peut se faire passer pour des utilisateurs auprès de n’importe quel service du domaine sans restriction. »

---

2️⃣ Constrained Delegation (avec contrainte)

« Le service source ne peut se faire passer pour des utilisateurs qu’auprès des services explicitement autorisés par son SPN. »

---

3️⃣ Constrained Delegation + Protocol Transition (S4U2Self)

« Le service source peut créer une identité Kerberos pour un utilisateur qui ne s’est pas authentifié en Kerberos et la déléguer uniquement vers les services autorisés. »

---

4️⃣ Resource-Based Constrained Delegation (RBCD)

« Le service cible décide quels comptes (service/machine) sont autorisés à se faire passer pour des utilisateurs auprès de lui. »