Compartir a través de

Resumen de la integración de seguridad

  • Artículo

En los temas anteriores de esta sección se explicaron las partes importantes del modelo de seguridad de Microsoft AppFabric 1.1 para Windows Server y se examinó cómo AppFabric saca provecho de las cuentas y los grupos de Seguridad de Windows. AppFabric asigna los principios de seguridad de Windows a conceptos de Seguridad de IIS y .NET Framework, que a su vez se asignan a la Seguridad de SQL Server mediante nombres de inicio de sesión y roles de bases de datos. En este tema se resume brevemente cómo el modelo de seguridad de AppFabric integra todas estas tecnologías de soporte con el fin de proporcionar un entorno seguro para la aplicación.

Roles conceptuales de AppFabric

Use estos roles conceptuales para asignar de forma lógica los usuarios y los niveles de permiso apropiados al diseñar la arquitectura de seguridad.

  • Usuarios del servidor de aplicaciones. Identidades del grupo de aplicaciones que se ejecutan en AppFabric.

  • Observadores del servidor de aplicaciones. Personas que pueden ver las propiedades y la información de las aplicaciones en ejecución.

  • Administradores del servidor de aplicaciones. Personas que pueden administrar o controlar las aplicaciones en ejecución y los servicios del sistema que ayudan a la ejecución de las aplicaciones.

Principios de seguridad de Windows

Los roles conceptuales de AppFabric se asignan a los grupos de seguridad de Windows. Los grupos IIS_IUSRS, LOCALHOST\AS_Administrators y LOCALHOST\AS_Observers se crean durante la instalación local de IIS y AppFabric únicamente en el equipo local.

  • Grupo IIS_IUSRS. IIS crea este grupo de seguridad de Windows existente durante el proceso de instalación y lo rellena dinámicamente en tiempo de ejecución. Este grupo contiene todas las identidades del grupo de aplicaciones en el rol conceptual Usuarios del servidor de aplicaciones de AppFabric. Tiene permisos para la persistencia de datos y la emisión de información de seguimiento. Todas las identidades que se usen para un grupo de aplicaciones serán miembros del grupo IIS_IUSRS.

  • Grupo LOCALHOST\AS_Administrators. La instalación de AppFabric crea el grupo de seguridad de Windows local. Sus usuarios se asignan al rol conceptual Administradores del servidor de aplicaciones de AppFabric. Todos los usuarios que necesiten realizar tareas administrativas de AppFabric deben ser miembros de este grupo.

  • Grupo LOCALHOST\AS_Observers. El proceso de instalación de AppFabric crea este grupo de seguridad de Windows local. A todos los usuarios asignados a este rol se les concederán los privilegios descritos para el rol conceptual Observadores del servidor de aplicaciones.

Cuando se usa AppFabric en varios equipos de un entorno de dominio, es una práctica recomendada crear un grupo de dominio para cada uno de los roles conceptuales de AppFabric que se vaya a usar en varios equipos de servidor de AppFabric en dicho dominio. A los usuarios asignados a estos grupos se les conceden los privilegios asociados a cada rol conceptual, pero en el nivel de ámbito de dominio. Después de crear los grupos de seguridad de Windows del dominio, agrégueles cuentas de usuario de dominio según los requisitos de acceso y funcionalidad de AppFabric. Aunque pueda asignarles el nombre que desee, es recomendable asignarles nombres que les identifiquen, por ejemplo, los grupos “DOMAIN\MisAdminsAppFabric” y “DOMAIN\MisObservadoresAppFabric”. En servidores de AppFabric locales, estas cuentas de dominio se colocan en el grupo LOCALHOST\AS_Administrators.

Para obtener más información sobre cómo AppFabric usa la seguridad de Windows, vea Seguridad de Windows.

Seguridad de IIS y .NET Framework

Una aplicación usa partes de la seguridad de IIS cuando se configura para ejecutar en modo de transportes combinados. Sin embargo, en ese modo, la aplicación basa más su comportamiento relacionado con la seguridad en la seguridad de .NET Framework y WCF que en la seguridad de IIS. Si la misma aplicación se configura para ejecutarse en modo de compatibilidad con ASP.NET, se basa más en la autenticación de IIS y pasa por alto la seguridad de WCF. Esta parte del modelo de seguridad de AppFabric está relacionada con la autenticación del cliente y la identidad asignada al dominio de la aplicación o el proceso que hospeda la aplicación para obtener acceso a los datos back-end de SQL Server. Para obtener más información, vea Seguridad de IIS y .NET Framework.

Nombres de inicio de sesión y roles de base de datos de SQL Server

Los roles conceptuales de AppFabric se asignan a roles de seguridad de base de datos de SQL Server, que a su vez se asignan a grupos de seguridad de Windows de la manera siguiente:

  • AS_Administrators. Se asigna a la cuenta del grupo LOCALHOST\AS_Administrators local, cuyos usuarios se originan en el grupo conceptual Administradores del servidor de aplicaciones de AppFabric. El nombre de inicio de sesión de AS_Administrators se asigna a los roles de base de datos de SQL Server que se necesitan para administrar los almacenes de persistencia y seguimiento.

  • AS_Observers. Se asigna a la cuenta del grupo LOCALHOST\AS_Observers local, cuyos usuarios se originan en el grupo conceptual Observadores del servidor de aplicaciones de AppFabric. El nombre de inicio de sesión de AS_Observers se asigna a los roles de base de datos de SQL Server que se necesitan para observar (pero no administrar) los almacenes de persistencia y seguimiento.

  • IIS_IUSRS. Se asigna a la cuenta del grupo BUILTIN\IIS_IUSRS local, cuyos usuarios se originan en el grupo conceptual Usuarios del servidor de aplicaciones de AppFabric. El nombre de inicio de sesión de IIS_IUSRS se asigna a los roles de base de datos de SQL Server para cualquier aplicación que se ejecute bajo esta cuenta de inicio de sesión para obtener acceso a los almacenes de persistencia y seguimiento en tiempo de ejecución.

Los roles conceptuales de AppFabric se asignan a los roles de base de datos de SQL Server en una configuración de permisos que es similar a los nombres de inicio de sesión correspondientes. Por ejemplo, la cuenta de inicio de sesión AS_Administrators tiene más permisos de acceso que la cuenta de inicio de sesión AS_Observers. Para obtener más información sobre los roles y permisos de bases de datos específicos a los que se asignan los nombres de inicio de sesión, consulte la sección sobre los inicios de sesión de SQL Server en Seguridad de SQL Server.

securitySeguridad Nota
Otras empresas que proporcionan implementaciones de almacenamiento de base de datos distintas de SQL Server necesitan asignar el modelo de seguridad a los roles conceptuales de AppFabric.

  2012-03-05