다음을 통해 공유


C++에서 권한 부여 정책 저장소 개체 만들기

권한 부여 정책 저장소에는 애플리케이션 또는 애플리케이션 그룹의 보안 정책에 대한 정보가 포함되어 있습니다. 이 정보에는 저장소와 연결된 애플리케이션, 작업, 작업, 사용자 및 사용자 그룹이 포함됩니다. Authorization Manager를 사용하는 애플리케이션이 초기화되면 저장소에서 이 정보를 로드합니다. 권한 부여 정책 저장소는 해당 시스템의 관리자가 저장소에 대한 액세스 권한이 높기 때문에 신뢰할 수 있는 시스템에 있어야 합니다.

권한 부여 관리자는 다음 예제와 같이 Active Directory 디렉터리 서비스 또는 XML 파일에 권한 부여 정책 저장을 지원합니다. 권한 부여 관리자 API에서 권한 부여 정책 저장소는 AzAuthorizationStore 개체로 표시됩니다. 이 예제에서는 Active Directory 저장소 및 XML 저장소에 대한 AzAuthorizationStore 개체를 만드는 방법을 보여 줍니다.

Active Directory 저장소 만들기

Active Directory를 사용하여 권한 부여 정책을 저장하려면 도메인이 Windows Server 2003 도메인 기능 수준에 있어야 합니다. 권한 부여 정책 저장소는 비 도메인 명명 컨텍스트 (애플리케이션 파티션이라고도 함)에 있을 수 없습니다. 권한 부여 정책 저장소용으로 특별히 만든 새 조직 구성 단위 아래에 있는 Program Data 컨테이너에 저장소를 배치하는 것이 좋습니다. 저장소를 사용하는 애플리케이션을 실행하는 애플리케이션 서버와 동일한 로컬 영역 네트워크 내에 저장소를 배치하는 것이 좋습니다.

다음 예제에서는 Active Directory의 권한 부여 정책 저장소를 나타내는 AzAuthorizationStore 개체를 만드는 방법을 보여 줍니다. 이 예제에서는 authmanager.com 도메인에 Program Data라는 기존 Active Directory 조직 구성 단위가 있다고 가정합니다.

#pragma comment(lib, "duser.lib")

#ifndef _WIN32_WINNT
#define _WIN32_WINNT 0x0502
#endif

#include <windows.h>
#include <stdio.h>
#include <azroles.h>
#include <objbase.h>

void main(void){
    IAzAuthorizationStore* pStore = NULL;
    HRESULT hr;
    void MyHandleError(char *s);
    BSTR storeName = NULL;

    //  Initialize COM.
    hr = CoInitializeEx(NULL, COINIT_MULTITHREADED);
    if (!(SUCCEEDED(hr)))
        MyHandleError("Could not initialize COM.");

    //  Create the AzAuthorizationStore object.
    hr = CoCreateInstance(
   /*"b2bcff59-a757-4b0b-a1bc-ea69981da69e"*/
         __uuidof(AzAuthorizationStore),
         NULL,
         CLSCTX_ALL,
   /*"edbd9ca9-9b82-4f6a-9e8b-98301e450f14"*/
         __uuidof(IAzAuthorizationStore),
         (void**)&pStore);
    if (!(SUCCEEDED(hr)))
        MyHandleError("Could not create AzAuthorizationStore object.");
    
    //  Create a null VARIANT for function parameters.
    VARIANT myVar;
    VariantInit(&myVar);

    //  Allocate a string for the distinguished name of the
 //  Active Directory store.
    if(!(storeName = SysAllocString
   (L"msldap://CN=MyAzStore,CN=Program Data,DC=authmanager,DC=com")))
        MyHandleError("Could not allocate string.");
    
    //  Initialize the store in Active Directory. Use the
 //  AZ_AZSTORE_FLAG_CREATE flag.
    hr = pStore->Initialize(AZ_AZSTORE_FLAG_CREATE, storeName, myVar);
    if (!(SUCCEEDED(hr)))
        MyHandleError("Could not initialize store.");

    //  Call the submit method to save changes to the new store.
    hr = pStore->Submit(0, myVar);
    if (!(SUCCEEDED(hr)))
        MyHandleError("Could not save data to the store.");

    //  Clean up resources.
    pStore->Release();
    VariantClear(&myVar);
    SysFreeString(storeName);
    CoUninitialize();
}

void MyHandleError(char *s)
{
    printf("An error occurred in running the program.\n");
    printf("%s\n",s);
    printf("Error number %x\n.",GetLastError());
    printf("Program terminating.\n");
    exit(1);
}

SQL Server 스토어 만들기

Authorization Manager는 Microsoft SQL Server 기반 권한 부여 정책 저장소 만들기를 지원합니다. SQL Server 기반 권한 부여 저장소를 만들려면 접두사 MSSQL:// 시작하는 URL을 사용합니다. URL에는 유효한 SQL 연결 문자열, 데이터베이스 이름 및 권한 부여 정책 저장소의 이름인 **MSSQL:// ConnectionString/DatabaseNamePolicyStoreName/**이 포함되어야 합니다.

SQL Server instance 지정된 Authorization Manager 데이터베이스가 없는 경우 Authorization Manager는 해당 이름의 새 데이터베이스를 만듭니다.

참고

연결에 대한 SQL 암호화를 명시적으로 설정하거나 IPsec(인터넷 프로토콜 보안)을 사용하는 네트워크 트래픽의 암호화를 설정하지 않는 한 SQL Server 저장소에 대한 연결은 암호화되지 않습니다.

 

다음 예제에서는 SQL Server 데이터베이스의 권한 부여 정책 저장소를 나타내는 AzAuthorizationStore 개체를 만드는 방법을 보여 줍니다.

#pragma comment(lib, "duser.lib")

#ifndef _WIN32_WINNT
#define _WIN32_WINNT 0x0502
#endif

#include <windows.h>
#include <stdio.h>
#include <azroles.h>
#include <objbase.h>

void main(void){
    IAzAuthorizationStore* pStore = NULL;
    HRESULT hr;
    void MyHandleError(char *s);
    BSTR storeName = NULL;

    //  Initialize COM.
    hr = CoInitializeEx(NULL, COINIT_MULTITHREADED);
    if (!(SUCCEEDED(hr)))
        MyHandleError("Could not initialize COM.");

    //  Create the AzAuthorizationStore object.
    hr = CoCreateInstance(
   /*"b2bcff59-a757-4b0b-a1bc-ea69981da69e"*/
         __uuidof(AzAuthorizationStore),
         NULL,
         CLSCTX_ALL,
   /*"edbd9ca9-9b82-4f6a-9e8b-98301e450f14"*/
         __uuidof(IAzAuthorizationStore),
         (void**)&pStore);
    if (!(SUCCEEDED(hr)))
        MyHandleError("Could not create AzAuthorizationStore object.");
    
    VARIANT myVar; 
    myVar.vt = VT_NULL;

    //  Allocate a string for the SQL Server store.
    if(!(storeName = SysAllocString
   (L"MSSQL://Driver={SQL Server};Server={AzServer};/AzDB/MyStore")))
        MyHandleError("Could not allocate string.");
    
    //  Initialize the store. Use the
 //  AZ_AZSTORE_FLAG_CREATE flag.
    hr = pStore->Initialize(AZ_AZSTORE_FLAG_CREATE, storeName, myVar);
    if (!(SUCCEEDED(hr)))
        MyHandleError("Could not initialize store.");

    //  Call the submit method to save changes to the new store.
    hr = pStore->Submit(0, myVar);
    if (!(SUCCEEDED(hr)))
        MyHandleError("Could not save data to the store.");

    //  Clean up resources.
    pStore->Release();
    SysFreeString(storeName);
    CoUninitialize();
}

void MyHandleError(char *s)
{
    printf("An error occurred in running the program.\n");
    printf("%s\n",s);
    printf("Error number %x\n.",GetLastError());
    printf("Program terminating.\n");
    exit(1);
}

XML 저장소 만들기

Authorization Manager는 XML 형식의 권한 부여 정책 저장소 만들기를 지원합니다. XML 저장소는 애플리케이션이 실행되는 동일한 컴퓨터에 있거나 원격으로 저장할 수 있습니다. XML 파일을 직접 편집하는 것은 지원되지 않습니다. 권한 부여 관리자 MMC 스냅인 또는 권한 부여 관리자 API를 사용하여 정책 저장소를 편집합니다.

권한 부여 관리자는 XML 정책 저장소의 위임 관리를 지원하지 않습니다. 위임에 대한 자세한 내용은 C++에서 권한 정의 위임을 참조하세요.

다음 예제에서는 XML 파일의 권한 부여 정책 저장소를 나타내는 AzAuthorizationStore 개체를 만드는 방법을 보여 줍니다.

#pragma comment(lib, "duser.lib")

#ifndef _WIN32_WINNT
#define _WIN32_WINNT 0x0502
#endif

#include <windows.h>
#include <stdio.h>
#include <azroles.h>
#include <objbase.h>

void main(void){
    IAzAuthorizationStore* pStore = NULL;
    HRESULT hr;
    void MyHandleError(char *s);
    BSTR storeName = NULL;

    //  Initialize COM.
    hr = CoInitializeEx(NULL, COINIT_MULTITHREADED);
    if (!(SUCCEEDED(hr)))
        MyHandleError("Could not initialize COM.");

    //  Create the AzAuthorizationStore object.
    hr = CoCreateInstance(
   /*"b2bcff59-a757-4b0b-a1bc-ea69981da69e"*/
         __uuidof(AzAuthorizationStore),
         NULL,
         CLSCTX_ALL,
   /*"edbd9ca9-9b82-4f6a-9e8b-98301e450f14"*/
         __uuidof(IAzAuthorizationStore),
         (void**)&pStore);
    if (!(SUCCEEDED(hr)))
        MyHandleError("Could not create AzAuthorizationStore object.");
    
    VARIANT myVar; 
    myVar.vt = VT_NULL;

    //  Allocate a string for the distinguished name of the XML store.
    if(!(storeName = SysAllocString(L"msxml://C:\\MyStore.xml")))
        MyHandleError("Could not allocate string.");
    
    //  Initialize the store in an XML file. Use the
 //  AZ_AZSTORE_FLAG_CREATE flag.
    hr = pStore->Initialize(AZ_AZSTORE_FLAG_CREATE, storeName, myVar);
    if (!(SUCCEEDED(hr)))
        MyHandleError("Could not initialize store.");

    //  Call the submit method to save changes to the new store.
    hr = pStore->Submit(0, myVar);
    if (!(SUCCEEDED(hr)))
        MyHandleError("Could not save data to the store.");

    //  Clean up resources.
    pStore->Release();
    SysFreeString(storeName);
    CoUninitialize();
}

void MyHandleError(char *s)
{
    printf("An error occurred in running the program.\n");
    printf("%s\n",s);
    printf("Error number %x\n.",GetLastError());
    printf("Program terminating.\n");
    exit(1);
}