Построение ролевой защиты.NET приложений на основе Windows Server Authorization Manager ДокладчикMicrosoft

О чем пойдет речь Авторизация приложений Authorization Manager КонцепцииАдминистрирование Модель разработки URL Авторизация IIS 6.0 РазвертываниеДемонстрация

Авторизация приложений Классические менеджеры ресурсов Определенные, персистные ресурсы. Файловая система, системный реестр Специализированные приложения Ресурсы не являются определенными и персистными Включают множественные менеджеры ресурсов Полномочия происходят от организационных ролей

Роли в COM+ COM+ предоставляет простую инфраструктуру ролевой авторизации для COM-серверов. Серверные ресурсы доверяют серверу приложений авторизацию запросов. Отпала необходимость в делегировании клиентских удостоверений серверам.

Концепции лежащие в основе Authorization Manager Операция Низкоуровневая единица приложения выраженная в коде Процедура, функция, метод, LDAP или SQL запрос … Задача Высокоуровневая единица приложения выраженная в UI Отправить отчет, Утвердить отчет, Удалить отчет … Роль Набор задач соответствующих описанию должностной инструкции Определяет полномочия необходимые для выполнения работы Бизнес правило (Biz Rule) Сценарий для принятия динамического решения Области (Scope) Возможность задавать разные параметры авторизации для разных частей приложения Группы приложения (Application groups) Определение групп на уровне приложения; типы групп Статические или LDAP запросов

Authorization Manager Хранилище Приложение Область (Роли, Задачи, Группы) Клиент. контекст Группа приложения AccessCheck Статические, Запрос Операция ЗадачаРоль Группа приложения BizRule AD XML

Администрирование

Приложение Web Expense Роль={Задачи}, Задача={Операции} Операция с БД Web операция Операции с хранилищем Операция с платежной системой Администратор Утверждающее лицо Отправитель Изменить Утверждающее лицо Утвердить Отказать Оплатить Утвердить Отклонить Отчет Отправить Отчет Отменить Отчет Проверить Статус

Определение и назначение ролей, Области ОтправительАдминистратор Утв. Лицо : QueryGroup_D1Mgrs Утв. Лицо : QueryGroup_D1Mgrs Администратор: Jane, Lizzy Утв. лицо: ADGroup_D2Mgrs Администратор: Jane, Charlie Отправитель: Everyone Область: Отдел 01 Область: Отдел 02 Определение ролей Утверждающее лицо Отдел 01 : Назначение ролей: Отдел 02 Назначение ролей: Web Expense Назначение ролей: Область: App Приложение Web Expense

Интерфейс администратора Множественность приложений Группы приложения На уровне хранилища (Global to Apps in Store ) Использование групп уровня хранилища при назначении ролей

Интерфейс администратора Создание новой группы приложения

Интерфейс администратора Режим разработки Позволяет создавать новое хранилище XML-файл Часть Active Directory Create Apps/Operations

Корпоративные Роли AD Приложение Web Expense Приложение 2Приложение 3 Возможность делегирования прав на администрирование отдельных приложений в рамках AD; Ведение аудита Сотрудник (AD Group) Сотрудник

Модель разработки приложений

Модель разработки Хранилище Результаты аудита сохраняются в журнале событий безопасности Запрос Проверки прав доступа осуществ. на основании контекста защиты клиента Ответ AzManAPP

Модель разработки Разработка приложений Реализация операций Методы или функции Проектирование задач Высокого уровня. Д.б. понятны бизнес аналитикам Сценарии авторизации Результаты выполнения сценариев кэшируются в объекте клиентского контеста AzBizRuleContext.BusinessRuleResult = FALSE Amnt = AzBizRuleContext.GetParameter("Amt") if Amnt < 100 then AzBizRuleContext.BusinessRuleResult = TRUE

Создание BizRules программным образом COM интерфейс для доступа к хранилищу; создание ролей, задач и бизнес правил Dim Task1 Set Task1 = App1.CreateTask("Submit Expense") Task1.BizRuleLanguage = CStr("VBScript") Task1.AddOperation CStr("Submit") Task1.BizRule = "Dim Amount" & vbnewline & _ "AzBizRuleContext.BusinessRuleResult = FALSE" & vbnewline &_ "Amount = AzBizRuleContext.GetParameter( " & Chr(34) & "ExpAmount" & Chr(34) & ")" & vbNewLine & _ "If Amount < 450 Then" & vbNewLine & " AzBizRuleContext.BusinessRuleResult = TRUE" & vbNewLine _ "End If" _ Task1.Submit Dim Task2 Set Task2 = App1.CreateTask("Approve Expense") Task2.BizRuleLanguage = CStr("VBScript") Task2.AddOperation CStr("Approve") Task2.BizRuleImportedPath = "C:\Approve.vbs" Task2.Submit Модель разработки Установка

Модель разработки Runtime ' в момент загрузки приложения Set AzPol = CreateObject("Azroles.AzAuthorizationStore") AzPol.Initialize 0,"msldap://CN=MyStore,DC=… set App = AzStore.OpenApplication("Expense") ' при соединении -- Set Ctxt = App.InitializeClientContextFrom ' во время запроса Ctxt.AccessCheck(audit", Scope, Operations, Names, Values)

URL Авторизация IIS 6.0

URL Авторизация Операции Статические: AccessUrl Динамические (сценарии авторизации) Роли Определены администрато- рами и приложениями Имперсонация Позволяет ASP запускать как рабочий процесс URL Исполняющая среда (Azroles.dll) Web приложение Исполняющая среда (Azroles.dll) IIS Управление Web доступом WebApp Хранилище политик Хранилище политик Интерфейс администратора

IIS 6.0 URL авторизация Менеджеравторизации IIS Url Auth WebApp1 WebApp2 VDirs/Urls (области) Конкретные для приложения Роли, Задачи, Операции, Группы Store-level Groups for all Apps in store

Развертывание

Поддерживаемые платформы Windows Server 2003 Windows 2000 Service Pack 4 Windows XP (только для администрирования) Необходимо установить Windows 2003 Admin Pack for XP Использование для разработки (сборки проектов и простого тестирования) Управляемый код (Managed Code) Требуется interop assembly

Размещение хранилища AzMan в Active Directory Требует права администратора домена Windows Server 2003 Функциональный уровень Использует новые типы групп Не может быть сохранено в Application Partition Группы не могут быть в application partition

Интеграция с.Net Framework Использование управляемый кода Interop Assembly в Windows Server 2003 Интерфейс на управляемом коде появится для выпуска.Net Framework в ОС Longhorn Роли ASP.net Расширение модели ASP.Net Интеграция планируется в реализации.Net Framework для VS.NET Whidbey

Passport Accounts Поддерживает маппирование учетной записи passport IIS может маппировать PUID на учетную запись поддерживает altsecId маппирование IAZApplication. InitializeClientContextFromName

Авторизация основанная на ролях

Демонстрация Приложение Web Expense Хранилище политик Хранилище политик Действие выполняется в контексте сервера от имени клиента, аудита сохраняются в журнале событий безопасности Клиентское Web приложение предъявляет затраты Сервер проверяет права доступа на основании политик из хранилища WebExpense Менеджер утверждает затраты

Выгоды от использования Authorization Manager

Для разработчика Простота и естественность разработки Простота и естественность разработки Определяй операции, Задачи, Роли, Бизнес Правила Расширяет концепцию ролевой защиты, появившуюся в MTS и COM+ Применима в любом серверном приложении (ASP.NET, Web- сервисах,.NET Remoting) Гибкость Flexible Application scoped groups Гибкость Flexible Application scoped groups Администраторы приложения не должны иметь права администратора домена для создания групп Вся тяжелая работа переложена на сервисы предоставляемые платформой Вся тяжелая работа переложена на сервисы предоставляемые платформой Хранилище политик безопасности, Административный интерфейс (UI) Кэширование, поддержка позднего связывания Аудит проверок доступа в исполняющей среде

Для администратора Инициализация пользователей на основе ролей Организационные роли> роли в приложении Управление ролями и области Без объектов и иерархий Делегирование (хранилища в AD) Общая простота администрирования Скрыта сложность операций Определение ролей и задач редкая операция Поддержка ролей и групп

Дальнейшие действия Не пишите ваши собственные подсистемы управления доступом! Затраты Высокие расходы на Проектирование, Разработку, Тестирование и Поддержку. Безопасность Пользовательский код часто имеет слабые места в системе защиты. Общий код= Часто используется = охватывает больше сторон = меньше уязвимостей Обучение Каждая новая модель авторизации требует обучения для администраторов.

Дополнительная информация Описание Authorization Manager ?url=/technet/prodtechnol/windowsserver2003/maintai n/security/AthManWp.asp ?url=/technet/prodtechnol/windowsserver2003/maintai n/security/AthManWp.asp Документация в SDK Примеры в SDK Установить примеры из SDK \samples\security\authorization\azman Windows Online help AzMan и IIS (URL Authorization) MMCs TechNet Microsoft Identity and Access Management Solution ?url=/technet/security/prodtech/certauth/idmanage/de fault.asp ?url=/technet/security/prodtech/certauth/idmanage/de fault.asp

Ресурсы Для разработчиков MSDN Online: Семинары: Независимые пользовательские группы: Независимые оnline объединения:

Вопросы?

© 2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.