Création d’un objet de magasin de stratégies d’autorisation dans un script
Un magasin de stratégies d’autorisation contient des informations sur la stratégie de sécurité d’une application ou d’un groupe d’applications. Les informations incluent les applications, les opérations, les tâches, les utilisateurs et les groupes d’utilisateurs associés au magasin. Lorsqu’une application qui utilise le Gestionnaire d’autorisation s’initialise, elle charge ces informations à partir du magasin. Le magasin de stratégies d’autorisation doit se trouver sur un système approuvé, car les administrateurs de ce système disposent d’un degré élevé d’accès au magasin.
Le Gestionnaire d’autorisation prend en charge le stockage de la stratégie d’autorisation dans le service d’annuaire Active Directory ou dans un fichier XML, comme illustré dans les exemples suivants. Dans l’API Du gestionnaire d’autorisation, un magasin de stratégies d’autorisation est représenté par un objet AzAuthorizationStore . Les exemples montrent comment créer un objet AzAuthorizationStore pour un magasin Active Directory et un magasin XML.
Création d’un magasin Active Directory
Pour utiliser Active Directory pour stocker la stratégie d’autorisation, le domaine doit se trouver au niveau fonctionnel du domaine Windows Server 2003 . Le magasin de stratégies d’autorisation ne peut pas se trouver dans un contexte d’affectation de noms non-domaine (également appelé partition d’application). Il est recommandé que le magasin se trouve dans le conteneur Program Data sous une nouvelle unité d’organisation créée spécifiquement pour le magasin de stratégies d’autorisation. Il est également recommandé que le magasin se trouve dans le même réseau local que les serveurs d’applications qui exécutent les applications qui utilisent le magasin.
L’exemple suivant montre comment créer un objet AzAuthorizationStore qui représente un magasin de stratégies d’autorisation dans Active Directory. L’exemple suppose qu’il existe une unité d’organisation Active Directory nommée Program Data dans un domaine nommé authmanager.com.
' Create the store object.
Dim authStore
Set authStore = CreateObject("AzRoles.AzAuthorizationStore")
' Initialize the store object.
authStore.Initialize 1, _
"msldap://CN=MyStore, CN=Program Data,DC=authmanager,DC=com"
' Save the information to the store.
authStore.Submit
Création d’un SQL Server Store
Le Gestionnaire d’autorisations prend en charge la création d’un magasin de stratégies d’autorisation microsoft SQL Server. Pour créer un magasin d’autorisations basé sur SQL Server, utilisez une URL qui commence par le préfixe MSSQL://. L’URL doit contenir une chaîne de connexion SQL valide, un nom de base de données et le nom du magasin de stratégies d’autorisation : **MSSQL:// ConnectionString/DatabaseName/**PolicyStoreName.
Si le instance de SQL Server ne contient pas la base de données Authorization Manager spécifiée, le Gestionnaire d’autorisation crée une base de données avec ce nom.
Notes
Les connexions à un magasin SQL Server ne sont pas chiffrées, sauf si vous configurez explicitement le chiffrement SQL pour la connexion ou que vous configurez le chiffrement du trafic réseau qui utilise la sécurité du protocole Internet (IPsec).
L’exemple suivant montre comment créer un objet AzAuthorizationStore qui représente un magasin de stratégies d’autorisation dans une base de données SQL Server.
' Create the store object.
Dim authStore
Set authStore = CreateObject("AzRoles.AzAuthorizationStore")
' Initialize the store object.
authStore.Initialize 1, _
"MSSQL://Driver={SQL Server};Server={AzServer};/AzDB/MyStore"
' Save information to the store.
authStore.Submit
Création d’un magasin XML
Le Gestionnaire d’autorisation prend en charge la création d’un magasin de stratégies d’autorisation au format XML. Le magasin XML peut se trouver sur le même ordinateur que celui où l’application s’exécute, ou il peut être stocké à distance. La modification directe du fichier XML n’est pas prise en charge. Utilisez le composant logiciel enfichable MMC du Gestionnaire d’autorisation ou l’API Authorization Manager pour modifier le magasin de stratégies.
Le Gestionnaire d’autorisation ne prend pas en charge la délégation d’administration d’un magasin de stratégies XML. Pour plus d’informations sur la délégation, consultez Délégation de la définition d’autorisations dans le script.
L’exemple suivant montre comment créer un objet AzAuthorizationStore qui représente un magasin de stratégies d’autorisation dans un fichier XML.
' Create the store object.
Dim authStore
Set authStore = CreateObject("AzRoles.AzAuthorizationStore")
' Initialize the store object.
authStore.Initialize 1, "msxml://C:\MyStore.xml"
' Save information to the store.
authStore.Submit