スクリプトでの承認ポリシー ストア オブジェクトの作成

承認ポリシー ストアには、アプリケーションまたはアプリケーションのグループのセキュリティ ポリシーに関する情報が含まれています。 この情報には、ストアに関連付けられているユーザーのアプリケーション、操作、タスク、ユーザー、グループが含まれます。 Authorization Manager を使用するアプリケーションが初期化すると、ストアからこの情報が読み込まれます。 承認ポリシー ストアは、そのシステムの管理者がストアに対する高度なアクセス権を持っているため、信頼されたシステム上に配置する必要があります。

Authorization Manager では、次の例に示すように、Active Directory ディレクトリ サービスまたは XML ファイルに承認ポリシーを格納できます。 Authorization Manager API では、承認ポリシー ストアは、AzAuthorizationStore オブジェクトによって表されます。 例では、Active Directory ストアと XML ストアの AzAuthorizationStore オブジェクトを作成する方法を示します。

• Active Directory ストア の作成
• SQL Server ストア の作成
• XML ストア の作成

Active Directory ストアの作成

Active Directory を使用して承認ポリシーを格納するには、ドメインが Windows Server 2003 ドメイン機能レベルである必要があります。 承認ポリシー ストアは、ドメイン以外の名前付けコンテキスト (アプリケーション パーティションとも呼ばれます) に配置できません。 ストアは、承認ポリシー ストア専用に作成された新しい組織単位の下の Program Data コンテナーに配置することをお勧めします。 ストアを使用するアプリケーションを実行するアプリケーション サーバーと同じローカル エリア ネットワーク内にストアを配置することもお勧めします。

次の例では、Active Directory の承認ポリシー ストアを表す AzAuthorizationStore オブジェクトを作成する方法を示します。 この例では、authmanager.com という名前のドメインに Program Data という名前の既存の Active Directory 組織単位があることを前提としています。

'  Create the store object.
Dim authStore
Set authStore = CreateObject("AzRoles.AzAuthorizationStore")

'  Initialize the store object.
authStore.Initialize 1, _
    "msldap://CN=MyStore, CN=Program Data,DC=authmanager,DC=com"

'  Save the information to the store.
authStore.Submit

SQL Server ストアの作成

Authorization Manager では、Microsoft SQL Server ベースの承認ポリシー ストアの作成がサポートされています。 SQL Server ベースの承認ストアを作成するには、プレフィックス MSSQL://で始まる URL を使用します。 URL には、有効な SQL 接続文字列、データベース名、および承認ポリシー ストアの名前が含まれている必要があります: **MSSQL://ConnectionString/DatabaseName/**PolicyStoreName。

SQL Server のインスタンスに指定された Authorization Manager データベースが含まれていない場合、Authorization Manager はその名前を持つ新しいデータベースを作成します。

手記

接続の SQL 暗号化を明示的に設定するか、インターネット プロトコル セキュリティ (IPsec) を使用するネットワーク トラフィックの暗号化を設定しない限り、SQL Server ストアへの接続は暗号化されません。

 

次の例は、SQL Server データベースの承認ポリシー ストアを表す AzAuthorizationStore オブジェクトを作成する方法を示しています。

'  Create the store object.
Dim authStore
Set authStore = CreateObject("AzRoles.AzAuthorizationStore")

'  Initialize the store object.
authStore.Initialize 1, _ 
  "MSSQL://Driver={SQL Server};Server={AzServer};/AzDB/MyStore"

'  Save information to the store.
authStore.Submit

XML ストアの作成

Authorization Manager では、XML 形式の承認ポリシー ストアの作成がサポートされています。 XML ストアは、アプリケーションが実行されているのと同じコンピューターに配置することも、リモートで格納することもできます。 XML ファイルの直接編集はサポートされていません。 承認マネージャー MMC スナップインまたは承認マネージャー API を使用して、ポリシー ストアを編集します。

承認マネージャーは、XML ポリシー ストアの管理の委任をサポートしていません。 委任の詳細については、「スクリプトでの権限の定義の委任」を参照してください。

次の例は、XML ファイル内の承認ポリシー ストアを表す AzAuthorizationStore オブジェクトを作成する方法を示しています。

'  Create the store object.
Dim authStore
Set authStore = CreateObject("AzRoles.AzAuthorizationStore")

'  Initialize the store object.
authStore.Initialize 1, "msxml://C:\MyStore.xml"

'  Save information to the store.
authStore.Submit