Condividi tramite

Procedura: creare un criterio di autorizzazione personalizzato

  • Articolo

L'infrastruttura del modello di identità di Windows Communication Foundation (WCF) supporta un modello di autorizzazione basato sulle attestazioni. Le attestazioni vengono estratte dai token, elaborate facoltativamente dal criterio di autorizzazione personalizzato e poi collocate nella classe AuthorizationContext che può quindi essere esaminata per prendere decisioni in merito alle autorizzazioni. È possibile utilizzare un criterio personalizzato per trasformare le attestazioni ottenute dai token in ingresso in attestazioni previste dall'applicazione. In questo modo, il livello dell'applicazione può essere isolato dai dettagli relativi alle differenti attestazioni fornite dai diversi tipi di token supportati da WCF. In questo argomento viene illustrato come implementare un criterio di autorizzazione personalizzato e come aggiungerlo all'insieme di criteri utilizzati da un servizio.

Per implementare un criterio di autorizzazione personalizzato

  1. Definire una nuova classe che deriva dall'interfaccia IAuthorizationPolicy.

  2. Implementare la proprietà di sola lettura Id generando una stringa univoca nel costruttore per la classe e restituendo tale stringa ogni volta che viene eseguito l'accesso alla proprietà.

  3. Implementare la proprietà di sola lettura Issuer restituendo una classe ClaimSet che rappresenta l'emittente del criterio. Può trattarsi di una classe ClaimSet che rappresenta l'applicazione o di una classe ClaimSet incorporata (ad esempio, la classe ClaimSet restituita dalla proprietà statica System.

  4. Implementare il metodo Evaluate come descritto nella procedura seguente.

Per implementare il metodo Evaluate

  1. A questo metodo vengono passati due parametri: un'istanza della classe EvaluationContext e un riferimento all'oggetto.

  2. Se il criterio di autorizzazione personalizzato aggiunge istanze ClaimSet indipendentemente dal contenuto corrente di EvaluationContext, aggiungere ogni ClaimSet chiamando il metodo AddClaimSet e restituire true dal metodo Evaluate. La restituzione di true indica all'infrastruttura di autorizzazione che il criterio di autorizzazione ha eseguito la sua funzione e che non occorre chiamarlo nuovamente.

  3. Se il criterio di autorizzazione personalizzato aggiunge insiemi di attestazioni solo quando determinate attestazioni sono già presenti in EvaluationContext, ricercare tali attestazioni esaminando le istanze di ClaimSet restituite dalla proprietà ClaimSets. Se le attestazioni sono presenti, aggiungere i nuovi insiemi di attestazioni chiamando il metodo AddClaimSet e, se non devono essere aggiunti altri insiemi di attestioni, restituire true per indicare all'infrastruttura di autorizzazione che il criterio di autorizzazione ha completato la sua funzione. Se le attestazioni non sono presenti, restituire false per indicare che il criterio di autorizzazione deve essere chiamato nuovamente nel caso in cui altri criteri di autorizzazione aggiungano altri insiemi di attestazioni a EvaluationContext.

  4. Negli scenari di elaborazione più complessi, si utilizza il secondo parametro del metodo Evaluate per archiviare una variabile di stato che l'infrastruttura di autorizzazione passerà nuovamente durante ogni chiamata successiva al metodo Evaluate per una particolare valutazione.

Per specificare un criterio di autorizzazione personalizzato tramite configurazione

  1. Specificare il tipo del criterio di autorizzazione personalizzato nell'attributo policyType dell'elemento add dell'elemento authorizationPolicies dell'elemento serviceAuthorization.

    <configuration>
 <system.serviceModel>
  <behaviors>
    <serviceAuthorization serviceAuthorizationManagerType=
              "Samples.MyServiceAuthorizationManager" >
      <authorizationPolicies>       
        <add policyType="Samples.MyAuthorizationPolicy"
      </authorizationPolicies>
    </serviceAuthorization>
  </behaviors>
 </system.serviceModel>
</configuration>

Per specificare un criterio di autorizzazione personalizzato tramite codice

  1. Creare una classe List dell'interfaccia IAuthorizationPolicy.

  2. Creare un'istanza del criterio di autorizzazione personalizzato.

  3. Aggiungere l'istanza del criterio di autorizzazione all'elenco.

  4. Ripetere i passaggi 2 e 3 per ogni criterio di autorizzazione personalizzato.

  5. Assegnare una versione in sola lettura dell'elenco alla proprietà ExternalAuthorizationPolicies.

Esempio

Nell'esempio seguente viene illustrata un'implementazione completa dell'interfaccia IAuthorizationPolicy.

Vedere anche

Riferimenti

ServiceAuthorizationManager

Altre risorse

How To: Compare Claims
How To: Create a Custom AuthorizationManager on a Service
Authorization Policy Sample