Sdílet prostřednictvím

Souhrn integrace zabezpečení

  • Článek

V předchozích tématech v této části jsme probrali hlavní součásti modelu zabezpečení technologie Windows Server AppFabric a prozkoumali, jak technologie AppFabric využívá účty a skupiny Zabezpečení systému Windows. Technologie AppFabric mapuje tyto objekty zabezpečení systému Windows do konceptů Zabezpečení služby IIS a rozhraní .NET Framework, které se dále mapují do Zabezpečení systému SQL Server pomocí uživatelských jmen a databázových rolí. Toto téma stručně shrnuje, jak model zabezpečení technologie AppFabric zajišťuje vzájemnou integraci všech těchto podpůrných technologií, aby pomohl zajistit zabezpečené prostředí pro aplikace.

Koncepční role technologie AppFabric

Tyto koncepční role slouží k logickému rozdělení uživatelů a příslušných úrovní oprávnění při návrhu architektury zabezpečení.

  • Uživatelé aplikačního serveru: Identity fondu aplikací těch aplikací, které běží v technologii AppFabric.

  • Pozorovatelé aplikačního serveru: Uživatelé, kteří mohou prohlížet vlastnosti a informace běžících aplikací.

  • Správci aplikačního serveru: Uživatelé, kteří mohou spravovat nebo řídit běžící aplikace a systémové služby umožňující běh aplikací.

Objekty zabezpečení systému Windows

Koncepční role technologie AppFabric jsou promítnuty do skupin zabezpečení systému Windows. Skupiny IIS_IUSRS, LOCALHOST\AS_Administrators a LOCALHOST\AS_Observers jsou při místní instalaci služby IIS a technologie AppFabric vytvořeny pouze v místním počítači.

  • Skupina IIS_IUSRS: Služba IIS tuto existující skupinu zabezpečení systému Windows vytvoří během své instalace a dynamicky ji doplňuje za běhu. Tato skupina obsahuje všechny identity fondu aplikací v koncepční roli Uživatelé aplikačního serveru technologie AppFabric. Má oprávnění k trvalému ukládání dat a generování událostí sledování. Všechny identity použité pro fond aplikací budou členem skupiny IIS_IUSRS.

  • Skupina LOCALHOST\AS_Administrators: Tato místní skupina zabezpečení systému Windows je vytvořena instalačním programem technologie AppFabric. Její uživatelé jsou členy koncepční role Správci aplikačního serveru technologie AppFabric. V této skupině musí být všichni uživatelé, kteří potřebují provádět úkoly správy technologie AppFabric.

  • Skupina LOCALHOST\AS_Observers: Tato místní skupina zabezpečení systému Windows je vytvořena při instalaci technologie AppFabric. Všem uživatelům, kterým bude přiřazena tato role, budou udělena oprávnění popsaná v koncepční roli Pozorovatelé aplikačního serveru.

Při používání technologie AppFabric ve více počítačích v prostředí domény se doporučuje vytvořit skupiny domény pro jednotlivé koncepční role technologie AppFabric, které se budou používat ve více počítačích se serverem AppFabric v této doméně. Uživatelům přiděleným k těmto skupinám jsou udělena oprávnění související s jednotlivými koncepčními rolemi, ale na úrovni oboru domény. Po vytvoření těchto doménových skupin zabezpečení systému Windows do nich přidejte účty uživatelů domény na základě požadavků na přístup a funkčnost technologie AppFabric. Ačkoli lze skupiny pojmenovat libovolně, je vhodné použít výstižné názvy, například DOMÉNA\Správci_technologie_AppFabric a DOMÉNA\Pozorovatelé_technologie_AppFabric. V místních serverech AppFabric se tyto účty domény nacházejí ve skupině LOCALHOST\AS_Administrators.

Další informace o tom, jak technologie AppFabric využívá zabezpečení sytému Windows, naleznete v tématu Zabezpečení systému Windows.

Zabezpečení služby IIS a rozhraní .NET Framework

Pokud je aplikace nakonfigurována tak, aby běžela v režimu smíšených přenosů, využívá některé části zabezpečení služby IIS. V tomto režimu je však chování aplikace související se zabezpečením založeno spíše na zabezpečení rozhraní .NET Framework a služby WCF, než na zabezpečení služby IIS. Pokud je stejná aplikace nakonfigurována tak, aby běžela v režimu kompatibility s rozhraním ASP.NET, intenzivněji využívá ověřování služby IIS a ignoruje zabezpečení rozhraní WCF. Tato část modelu zabezpečení technologie AppFabric se vztahuje na ověřování klienta i identity přiděleným k doméně aplikace nebo procesu, který je hostitelem aplikace pro přístup k back-end datům sytému SQL Server. Další informace naleznete v tématu Zabezpečení služby IIS a rozhraní .NET Framework.

Přihlašovací jména a role databáze systému SQL Server

Koncepční role technologie AppFabric jsou promítnuty do rolí zabezpečení databáze systému SQL Server, které jsou následně promítnuty do skupin zabezpečení systému Windows takto:

  • AS_Administrators: Promítnuto do místního účtu skupiny LOCALHOST\AS_Administrators, jehož uživatelé pocházejí z koncepční skupiny Správci aplikačního serveru technologie AppFabric. Přihlašovací jméno AS_Administrators je přiřazeno k rolím databáze systému SQL Server, které jsou zapotřebí ke správě úložišť trvalosti a monitorování.

  • AS_Observers: Promítnuto do místního účtu skupiny LOCALHOST\AS_Observers, jehož uživatelé pocházejí z koncepční skupiny Pozorovatelé aplikačního serveru technologie AppFabric. Přihlašovací jméno AS_Observers je přiřazeno k rolím databáze systému SQL Server, které jsou zapotřebí k pozorování (nikoli však správě) úložišť trvalosti a monitorování.

  • IIS_IUSRS: Promítnuto do místního účtu skupiny BUILTIN\IIS_IUSRS, jehož uživatelé pocházejí z koncepční skupiny Uživatelé aplikačního serveru technologie AppFabric. Přihlašovací jméno IIS_IUSRS je přiřazeno k rolím databáze systému SQL Server, které jsou zapotřebí pro všechny aplikace spuštěné pod tímto přihlašovacím účtem pro přístup k úložištím trvalosti a monitorování za běhu.

Koncepční role technologie AppFabric jsou promítnuty do rolí databáze sytému SQL Server s takovou konfigurací oprávnění, která je podobná konfiguraci jejich odpovídajících přihlašovacích jmen. Například přihlašovací účet AS_Administrators má více přístupových oprávnění než přihlašovací účet AS_Observers. Další informace o konkrétních databázových rolích a oprávněních, která jsou těmto přihlašovacím jménům přiřazena, naleznete v části Přihlašovací údaje k systému SQL Server v tématu Zabezpečení systému SQL Server.

securityZabezpečení Poznámka
Jiní výrobci, kteří poskytují implementace databázových úložišť nezaložených na systému SQL Server, musí do svého modelu zabezpečení promítnout koncepční role technologie AppFabric.

  2011-12-05