Короткі відомості про інтеграцію безпеки

Ця документація переміщена в архів і не підтримується.

У попередніх підрозділах цього розділу розглядалися основні складові моделі безпеки Microsoft AppFabric 1.1 для Windows Server і розглядалося використання облікових записів і груп Безпека Windows в AppFabric. AppFabric зіставляє ці учасники безпеки Windows з сутностями в Безпека IIS і .NET Framework. які в свою чергу перетворюються в сутності Безпека SQL Server з використанням імен для входу та ролей баз даних. У цьому підрозділі дається короткий опис інтеграції всіх цих допоміжних технологій в AppFabric для формування безпечного середовища роботи додатків.

Концептуальні ролі AppFabric

Перераховані далі концептуальні ролі використовуються для логічного розподілу користувачів і рівнів дозволів при проектуванні архітектури безпеки.

  • Користувачі сервера додатків. Посвідчення пулу додатків, що працюють в AppFabric.
  • Спостерігачі сервера додатків. Користувачі, здатні переглядати властивості і відомості для працюючих додатків.
  • Адміністратори сервера додатків. Користувачі, здатні управляти відкритими програмами і їх допоміжними системними службами.

    Учасники безпеки Windows.

    Концептуальні ролі AppFabric відповідають групам безпеки Windows. Групи IIS_IUSRS, LOCALHOST \ AS_Administrators і LOCALHOST \ AS_Observers створюються в ході установки служб IIS і AppFabric тільки на локальному комп'ютері.

    • Група IIS_IUSRS. Служби IIS створюють дану групу безпеки Windows в ході установки і динамічно заповнює її під час виконання. Ця група містить всі посвідчення пулів додатків в концептуальної ролі AppFabric "Користувачі сервера додатків". У неї є дозвіл на збереження даних і породження відомостей відстеження. Будь-яке посвідчення, яке використовується для пулу додатків, має входити в групу IIS_IUSRS.
  • Група LOCALHOST \ AS_Administrators. Ця локальна група безпеки Windows створюється від імені користувача в ході установки AppFabric. Її учасники відповідають учасникам концептуальної ролі AppFabric "Адміністратори сервера додатків". Всі користувачі-адміністратори AppFabric повинні бути включені в цю групу.
  • Група LOCALHOST \ AS_Observers. Ця локальна група безпеки Windows створюється від імені користувача в ході установки AppFabric. Всі користувачі, включені в цю роль, отримають привілеї, зазначені для концептуальної ролі "Спостерігачі сервера додатків".

    При використанні AppFabric на декількох комп'ютерах в доменній середовищі рекомендується створити доменні групи для всіх логічних ролей AppFabric, які можна було б використовувати на декількох серверах AppFabric в цьому домені. Користувачі, включені в ці групи, отримують привілеї, пов'язані з відповідними концептуальними ролями, на рівні всього домену. Після створення таких доменних груп безпеки Windows слід додати в них облікові записи користувачів домену відповідно до потреб в доступі до AppFabric і функціональними умовами. Називати групи можна як завгодно, але найкраще використовувати осмислені імена, наприклад «DOMAIN \ MyAppFabricAdmins» і «DOMAIN \ MyAppFabricObservers». На локальних серверах AppFabric ці доменні облікові записи поміщаються в групу LOCALHOST \ AS_Administrators.

    Додаткові відомості про використання засобів безпеки Windows в AppFabric см. В розділі Безпека Windows.

    Безпека IIS і .NET Framework

    Додаток, налаштоване для роботи в режимі змішаного транспорту, використовує елементи системи безпеки IIS. Проте в цьому режимі поведінку додатка, пов'язане з безпекою, більшою мірою грунтується на засобах безпеки Платформа .NET Framework і WCF, ніж на системі безпеки IIS. Якщо це ж додаток налаштовується для роботи в режимі сумісності c ASP.NET, то в ньому більш інтенсивно використовуються засоби перевірки достовірності IIS; система безпеки WCF не використовується. Ця частина моделі безпеки AppFabric використовує клієнтську перевірку справжності та посвідчення, призначений домену додатків або процесу, в якому розміщується додаток, для звернення до серверних даними SQL Server. Додаткові відомості див. У розділі Безпека IIS і .NET Framework.

    Імена входу і ролі баз даних SQL Server

    Концептуальні ролі AppFabric співвідносяться з ролями безпеки баз даних SQL Server, які в свою чергу співвідносяться з групами безпеки Windows, як описано нижче:

    • AS_Administrators. Відповідає локального облікового запису групи LOCALHOST \ AS_Administrators, користувачі в якій беруться з концептуальної групи "Адміністратори сервера додатків" AppFabric. Ім'я входу AS_Administrators призначається ролям бази даних SQL Server, використовуваним для адміністрування сховищ даних спостереження і зберігання.
  • AS_Observers. Відповідає локального облікового запису групи LOCALHOST \ AS_Observers, користувачі в якій беруться з концептуальної групи "Спостерігачі сервера додатків" AppFabric. Ім'я входу AS_Observers призначається ролям бази даних SQL Server, використовуваним для спостереження за сховищами даних спостереження і зберігання (але не для їх адміністрування).
  • IIS_IUSRS. Відповідає локального облікового запису групи BUILTIN \ IIS_IUSRS, користувачі в якій беруться з концептуальної групи "Користувачі сервера додатків" AppFabric. Ім'я входу IIS_IUSRS призначається ролям бази даних SQL Server, необхідним для додатків, що запускаються з використанням цього облікового запису, при доступі до сховищ даних спостереження і зберігання під час виконання.

    Незалежні постачальники рішень для зберігання, відмінних від SQL Server, повинні будуть привести свою модель безпеки у відповідність з концептуальними ролями AppFabric.

    Схожі статті