Freigeben über

Sicherheitsintegration – Zusammenfassung

  • Artikel

In den vorherigen Themen in diesem Abschnitt wurden die Hauptbestandteile des Microsoft AppFabric 1.1 für Windows Server-Sicherheitsmodells behandelt und es wurde untersucht, wie AppFabric Windows-Sicherheit-Konten und Gruppen nutzt. AppFabric bildet diese Windows-Sicherheitsprinzipale in IIS- und .NET Framework-Sicherheit-Konzepten ab, die ihrerseits SQL Server-Sicherheit mithilfe von Anmeldenamen und Datenbankrollen zugeordnet sind. In diesem Thema wird kurz zusammengefasst, wie das AppFabric-Sicherheitsmodell alle diese unterstützenden Technologien integriert, um eine sichere Umgebung für Ihre Webanwendung zur Verfügung zu stellen.

Konzeptionelle AppFabric-Rollen

Verwenden Sie diese konzeptionellen Rollen, um Benutzer und die entsprechenden Berechtigungsstufen logisch zuzuordnen, wenn Sie die Sicherheitsarchitektur entwerfen.

  • Anwendungsserverbenutzer Die Anwendungspoolidentitäten der Webanwendungen, die in AppFabric ausgeführt werden.

  • Anwendungsserverbeobachter. Personen, die Eigenschaften und Informationen ausgeführter Anwendungen anzeigen können.

  • Anwendungsserveradministratoren. Personen, die ausgeführte Anwendungen und Systemdienste, die die Anwendungsausführung unterstützen, verwalten oder steuern können.

Windows-Sicherheitsprinzipale

Die konzeptionellen Rollen von AppFabric können Windows-Sicherheitsgruppen zugeordnet werden. Die Gruppen IIS_IUSRS, LOCALHOST\AS_Administrators und LOCALHOST\AS_Observers werden während der IIS- und der lokalen AppFabric-Installation nur auf dem lokalen Computer erstellt.

  • Gruppe IIS_IUSRS. IIS erstellt diese vorhandene Windows-Sicherheitsgruppe während des Setupvorgangs und füllt sie zur Laufzeit dynamisch mit Daten auf. Diese Gruppe enthält alle Anwendungspoolidentitäten in der konzeptionellen AppFabric-Rolle Anwendungsserverbenutzer. Sie ist berechtigt, Daten persistent zu speichern und Nachverfolgungsinformationen auszugeben. Jede Identität, die für einen Anwendungspool verwendet wird, ist Mitglied der Gruppe IIS_IUSRS.

  • Gruppe LOCALHOST\AS_Administrators. Diese lokale Windows-Sicherheitsgruppe wird in Ihrem Auftrag durch das AppFabric-Setup erstellt. Ihre Benutzer sind der konzeptionellen AppFabric-Rolle Anwendungsserveradministratoren zugeordnet. Jeder Benutzer, der AppFabric-Verwaltungsaufgaben ausführen muss, muss Mitglied dieser sein.

  • Gruppe LOCALHOST\AS_Observers. Diese lokale Windows-Sicherheitsgruppe wird in Ihrem Auftrag durch den AppFabric-Setupvorgang erstellt. Jedem Benutzer, dem diese Rolle zugewiesen ist, werden die Berechtigungen erteilt, die für die konzeptionelle Rolle Anwendungsserverbeobachter beschrieben wurden.

Wenn AppFabric auf mehreren Computern in einer Domänenumgebung verwendet wird, besteht eine bewährte Methode darin, eine Domänengruppe für jede der konzeptionellen AppFabric-Rollen zu erstellen, die auf mehreren AppFabric-Servercomputern in dieser Domäne verwendet wird. Den diesen Gruppen zugewiesenen Benutzern werden die Berechtigungen erteilt, die jeder konzeptionellen Rolle zugeordnet sind. Dies geschieht jedoch auf Domänenbereichsebene. Nachdem Sie diese Windows-Sicherheitsgruppen für Domänen erstellt haben, fügen Sie diesen Domänenbenutzerkonten basierend auf den AppFabric-Zugriffs- und -Funktionsanforderungen hinzu. Sie können diesen beliebige Namen zuweisen. Es ist jedoch sinnvoll, identifizierende Namen zu verwenden, z. B. die Gruppe DOMÄNE\MeineAppFabricAdmins oder DOMÄNE\MeineAppFabricBeobachter. Auf lokalen AppFabric-Servern werden diese Domänenkonten in der Gruppe LOCALHOST\AS_Administrators gespeichert.

Weitere Informationen dazu, die AppFabric Windows-Sicherheit verwendet, finden Sie unter Windows-Sicherheit.

IIS- und .NET Framework-Sicherheit

Eine Anwendung verwendet einige Komponenten der IIS-Sicherheit, wenn sie für die Ausführung im gemischten Transportsmodus konfiguriert wurde. In diesem Modus basiert das sicherheitsbezogene Verhalten der Anwendung jedoch mehr auf .NET Framework- und WCF-Sicherheit als auf IIS-Sicherheit. Wenn diese gleiche Anwendung für die Ausführung im ASP.NET-Kompatibilitätsmodus konfiguriert ist, nutzt sie die IIS-Authentifizierung in größerem Umfang und ignoriert die WCF-Sicherheit. Dieser Teil des AppFabric-Sicherheitsmodells bezieht sich auf die Authentifizierung des Clients und der Identität, die der Anwendungsdomäne oder dem Prozess zugewiesen wurden, der die Anwendung hostet, um auf die SQL Server-Back-End-Daten zuzugreifen. Weitere Informationen finden Sie unter IIS- und .NET Framework-Sicherheit.

SQL Server-Anmeldenamen und -Datenbankrollen

Die konzeptionellen AppFabric-Rollen sind den SQL Server-Datenbanksicherheitsrollen zugeordnet, die ihrerseits den Windows-Sicherheitsgruppen wie folgt zugeordnet sind:

  • AS_Administrators. Ordnet das lokale Gruppenkonto LOCALHOST\AS_Administrators zu, dessen Benutzer aus der konzeptionellen AppFabric-Gruppe Anwendungsserveradministratoren stammen. Der Anmeldename AS_Administrators wird den SQL Server-Datenbankrollen zugewiesen, die für die Verwaltung der Persistenz- und Überwachungsspeicher erforderlich sind.

  • AS_Observers. Ordnet das lokale Gruppenkonto LOCALHOST\AS_Observers zu, dessen Benutzer aus der konzeptionellen AppFabric-Gruppe Anwendungsserverbeobachter stammen. Der Anmeldename AS_Observers wird den SQL Server-Datenbankrollen zugewiesen, die für die Beobachtung (nicht für die Verwaltung) der Persistenz- und Überwachungsspeicher erforderlich sind.

  • IIS_IUSRS. Ordnet das lokale Gruppenkonto BUILTIN\IIS_IUSRS zu, dessen Benutzer aus der konzeptionellen AppFabric-Gruppe Anwendungsserverbenutzer stammen. Der Anmeldename IIS_IUSRS wird den SQL Server-Datenbankrollen zugewiesen, die für jede unter diesem Anmeldekonto ausgeführte Anwendung für den Zugriff auf die Persistenz- und Überwachungsspeicher erforderlich sind.

Konzeptionelle AppFabric-Rollen werden den SQL Server-Datenbankrollen in einer Berechtigungskonfiguration zugeordnet, die der Berechtigungskonfiguration ihrer entsprechenden Anmeldenamen ähnelt. Das Anmeldekonto AS_Administrators besitzt z. B. umfangreichere Zugriffsberechtigungen als das Anmeldekonto AS_Observers. Weitere Informationen zu den jeweiligen Datenbankrollen und Berechtigungen, die diesen Anmeldenamen zugewiesen werden, finden Sie im Abschnitt „SQL Server-Anmeldungen“ unter SQL Server-Sicherheit.

securitySicherheit Hinweis
Drittanbieter, die Nicht-SQL Server-Datenbankspeicherimplementierungen zur Verfügung stellen, müssen ihr Sicherheitsmodell den konzeptionellen AppFabric-Rollen zuordnen.

  2012-03-05