Ця документація переміщена в архів і не підтримується.
У попередніх підрозділах цього розділу розглядалися основні складові моделі безпеки Microsoft AppFabric 1.1 для Windows Server і розглядалося використання облікових записів і груп Безпека Windows в AppFabric. AppFabric зіставляє ці учасники безпеки Windows з сутностями в Безпека IIS і .NET Framework. які в свою чергу перетворюються в сутності Безпека SQL Server з використанням імен для входу та ролей баз даних. У цьому підрозділі дається короткий опис інтеграції всіх цих допоміжних технологій в AppFabric для формування безпечного середовища роботи додатків.
Концептуальні ролі AppFabric
Перераховані далі концептуальні ролі використовуються для логічного розподілу користувачів і рівнів дозволів при проектуванні архітектури безпеки.
- Користувачі сервера додатків. Посвідчення пулу додатків, що працюють в AppFabric.
Учасники безпеки Windows.
Концептуальні ролі AppFabric відповідають групам безпеки Windows. Групи IIS_IUSRS, LOCALHOST \ AS_Administrators і LOCALHOST \ AS_Observers створюються в ході установки служб IIS і AppFabric тільки на локальному комп'ютері.
- Група IIS_IUSRS. Служби IIS створюють дану групу безпеки Windows в ході установки і динамічно заповнює її під час виконання. Ця група містить всі посвідчення пулів додатків в концептуальної ролі AppFabric "Користувачі сервера додатків". У неї є дозвіл на збереження даних і породження відомостей відстеження. Будь-яке посвідчення, яке використовується для пулу додатків, має входити в групу IIS_IUSRS.
При використанні AppFabric на декількох комп'ютерах в доменній середовищі рекомендується створити доменні групи для всіх логічних ролей AppFabric, які можна було б використовувати на декількох серверах AppFabric в цьому домені. Користувачі, включені в ці групи, отримують привілеї, пов'язані з відповідними концептуальними ролями, на рівні всього домену. Після створення таких доменних груп безпеки Windows слід додати в них облікові записи користувачів домену відповідно до потреб в доступі до AppFabric і функціональними умовами. Називати групи можна як завгодно, але найкраще використовувати осмислені імена, наприклад «DOMAIN \ MyAppFabricAdmins» і «DOMAIN \ MyAppFabricObservers». На локальних серверах AppFabric ці доменні облікові записи поміщаються в групу LOCALHOST \ AS_Administrators.
Додаткові відомості про використання засобів безпеки Windows в AppFabric см. В розділі Безпека Windows.
Безпека IIS і .NET Framework
Додаток, налаштоване для роботи в режимі змішаного транспорту, використовує елементи системи безпеки IIS. Проте в цьому режимі поведінку додатка, пов'язане з безпекою, більшою мірою грунтується на засобах безпеки Платформа .NET Framework і WCF, ніж на системі безпеки IIS. Якщо це ж додаток налаштовується для роботи в режимі сумісності c ASP.NET, то в ньому більш інтенсивно використовуються засоби перевірки достовірності IIS; система безпеки WCF не використовується. Ця частина моделі безпеки AppFabric використовує клієнтську перевірку справжності та посвідчення, призначений домену додатків або процесу, в якому розміщується додаток, для звернення до серверних даними SQL Server. Додаткові відомості див. У розділі Безпека IIS і .NET Framework.
Імена входу і ролі баз даних SQL Server
Концептуальні ролі AppFabric співвідносяться з ролями безпеки баз даних SQL Server, які в свою чергу співвідносяться з групами безпеки Windows, як описано нижче:
- AS_Administrators. Відповідає локального облікового запису групи LOCALHOST \ AS_Administrators, користувачі в якій беруться з концептуальної групи "Адміністратори сервера додатків" AppFabric. Ім'я входу AS_Administrators призначається ролям бази даних SQL Server, використовуваним для адміністрування сховищ даних спостереження і зберігання.
Незалежні постачальники рішень для зберігання, відмінних від SQL Server, повинні будуть привести свою модель безпеки у відповідність з концептуальними ролями AppFabric.