Procedure: Een aangepast autorisatiebeleid maken

De infrastructuur voor identiteitsmodellen in WcF (Windows Communication Foundation) ondersteunt een autorisatiemodel op basis van claims. Claims worden geëxtraheerd uit tokens, eventueel verwerkt door aangepast autorisatiebeleid en vervolgens geplaatst in een AuthorizationContext beleid dat vervolgens kan worden onderzocht om autorisatiebeslissingen te nemen. Een aangepast beleid kan worden gebruikt om claims van binnenkomende tokens te transformeren naar claims die door de toepassing worden verwacht. Op deze manier kan de toepassingslaag worden geïsoleerd van de details over de verschillende claims die worden geleverd door de verschillende tokentypen die WCF ondersteunt. In dit onderwerp wordt beschreven hoe u een aangepast autorisatiebeleid implementeert en hoe u dat beleid toevoegt aan de verzameling beleidsregels die door een service worden gebruikt.

Een aangepast autorisatiebeleid implementeren

1. Definieer een nieuwe klasse die is afgeleid van IAuthorizationPolicy.

2. Implementeer de eigenschap Alleen-lezen Id door een unieke tekenreeks te genereren in de constructor voor de klasse en die tekenreeks te retourneren wanneer de eigenschap wordt geopend.

3. Implementeer de eigenschap Alleen-lezen Issuer door een ClaimSet te retourneren die de beleidsverlener vertegenwoordigt. Dit kan een ClaimSet waarde zijn die de toepassing of een ingebouwde ClaimSet waarde vertegenwoordigt (bijvoorbeeld de ClaimSet geretourneerde eigenschap van de statische System eigenschap.

4. Implementeer de Evaluate(EvaluationContext, Object) methode zoals beschreven in de volgende procedure.

De evaluate-methode implementeren

1. Er worden twee parameters doorgegeven aan deze methode: een exemplaar van de EvaluationContext klasse en een objectverwijzing.

2. Als het aangepaste autorisatiebeleid exemplaren toevoegt ClaimSet zonder rekening te houden met de huidige inhoud van de EvaluationContextmethode, voegt u deze toe ClaimSet door de AddClaimSet(IAuthorizationPolicy, ClaimSet) methode aan te roepen en terug te keren true uit de Evaluate methode. Retourneert true aan de autorisatie-infrastructuur dat het autorisatiebeleid zijn werk heeft uitgevoerd en hoeft niet opnieuw te worden aangeroepen.

3. Als met het aangepaste autorisatiebeleid alleen claimsets worden toegevoegd als bepaalde claims al aanwezig zijn in de EvaluationContextclaim, zoekt u deze claims door de ClaimSet instanties te onderzoeken die door de ClaimSets eigenschap worden geretourneerd. Als de claims aanwezig zijn, voegt u de nieuwe claimsets toe door de AddClaimSet(IAuthorizationPolicy, ClaimSet) methode aan te roepen en, als er geen claimsets meer moeten worden toegevoegd, retourneert trueu de autorisatie-infrastructuur die aangeeft dat het autorisatiebeleid het werk heeft voltooid. Als de claims niet aanwezig zijn, retourneer falsedan , waarmee wordt aangegeven dat het autorisatiebeleid opnieuw moet worden aangeroepen als andere autorisatiebeleidsregels meer claimsets toevoegen aan de EvaluationContext.

4. In complexere verwerkingsscenario's wordt de tweede parameter van de Evaluate(EvaluationContext, Object) methode gebruikt om een statusvariabele op te slaan die door de autorisatie-infrastructuur wordt doorgegeven tijdens elke volgende aanroep naar de Evaluate(EvaluationContext, Object) methode voor een bepaalde evaluatie.

Een aangepast autorisatiebeleid opgeven via configuratie

1. Geef het type van het aangepaste autorisatiebeleid op in het policyType kenmerk in het add element in het authorizationPolicies element in het element in het serviceAuthorization element.

   <configuration>  
    <system.serviceModel>  
     <behaviors>  
       <serviceAuthorization serviceAuthorizationManagerType=  
                 "Samples.MyServiceAuthorizationManager" >  
         <authorizationPolicies>  
           <add policyType="Samples.MyAuthorizationPolicy" />  
         </authorizationPolicies>  
       </serviceAuthorization>  
     </behaviors>  
    </system.serviceModel>  
   </configuration>  
   

Een aangepast autorisatiebeleid opgeven via code

1. Maak een List<T> van IAuthorizationPolicy.

2. Maak een exemplaar van het aangepaste autorisatiebeleid.

3. Voeg het autorisatiebeleidexemplaren toe aan de lijst.

4. Herhaal stap 2 en 3 voor elk aangepast autorisatiebeleid.

5. Wijs een alleen-lezen versie van de lijst toe aan de ExternalAuthorizationPolicies eigenschap.

   // Add a custom authorization policy to the service authorization behavior.
   List<IAuthorizationPolicy> policies = new List<IAuthorizationPolicy>();
   policies.Add(new MyAuthorizationPolicy());
   serviceHost.Authorization.ExternalAuthorizationPolicies = policies.AsReadOnly();
   

   ' Add custom authorization policy to service authorization behavior.
   Dim policies As List(Of IAuthorizationPolicy) = New List(Of IAuthorizationPolicy)()
   policies.Add(New MyAuthorizationPolicy())
   serviceHost.Authorization.ExternalAuthorizationPolicies = policies.AsReadOnly()
   

Opmerking

In het volgende voorbeeld ziet u een volledige IAuthorizationPolicy implementatie.

public class MyAuthorizationPolicy : IAuthorizationPolicy
{
    string id;

    public MyAuthorizationPolicy()
    {
        id = Guid.NewGuid().ToString();
    }

    public bool Evaluate(EvaluationContext evaluationContext, ref object state)
    {
        bool bRet = false;
        CustomAuthState customstate = null;

        // If the state is null, then this has not been called before so
        // set up a custom state.
        if (state == null)
        {
            customstate = new CustomAuthState();
            state = customstate;
        }
        else
        {
            customstate = (CustomAuthState)state;
        }

        // If claims have not been added yet...
        if (!customstate.ClaimsAdded)
        {
            // Create an empty list of claims.
            IList<Claim> claims = new List<Claim>();

            // Iterate through each of the claim sets in the evaluation context.
            foreach (ClaimSet cs in evaluationContext.ClaimSets)
                // Look for Name claims in the current claimset.
                foreach (Claim c in cs.FindClaims(ClaimTypes.Name, Rights.PossessProperty))
                    // Get the list of operations the given username is allowed to call.
                    foreach (string s in GetAllowedOpList(c.Resource.ToString()))
                    {
                        // Add claims to the list.
                        claims.Add(new Claim("http://example.org/claims/allowedoperation", s, Rights.PossessProperty));
                        Console.WriteLine("Claim added {0}", s);
                    }

            // Add claims to the evaluation context.
            evaluationContext.AddClaimSet(this, new DefaultClaimSet(this.Issuer, claims));

            // Record that claims were added.
            customstate.ClaimsAdded = true;

            // Return true, indicating that this method does not need to be called again.
            bRet = true;
        }
        else
        {
            // Should never get here, but just in case, return true.
            bRet = true;
        }

        return bRet;
    }

    public ClaimSet Issuer
    {
        get { return ClaimSet.System; }
    }

    public string Id
    {
        get { return id; }
    }

    // This method returns a collection of action strings that indicate the
    // operations the specified username is allowed to call.
    private IEnumerable<string> GetAllowedOpList(string username)
    {
        IList<string> ret = new List<string>();

        if (username == "test1")
        {
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add");
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Multiply");
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract");
        }
        else if (username == "test2")
        {
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add");
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract");
        }
        return ret;
    }

    // Internal class for keeping track of state.
    class CustomAuthState
    {
        bool bClaimsAdded;

        public CustomAuthState()
        {
            bClaimsAdded = false;
        }

        public bool ClaimsAdded
        {
            get { return bClaimsAdded; }
            set { bClaimsAdded = value; }
        }
    }
}

Public Class MyAuthorizationPolicy
    Implements IAuthorizationPolicy
    Private id_Value As String


    Public Sub New()
        id_Value = Guid.NewGuid().ToString()

    End Sub


    Public Function Evaluate(ByVal evaluationContext As EvaluationContext, ByRef state As Object) As Boolean _
        Implements IAuthorizationPolicy.Evaluate
        Dim bRet As Boolean = False
        Dim customstate As CustomAuthState = Nothing

        ' If the state is null, then this has not been called before, so set up
        ' our custom state.
        If state Is Nothing Then
            customstate = New CustomAuthState()
            state = customstate
        Else
            customstate = CType(state, CustomAuthState)
        End If
        ' If claims have not been added yet...
        If Not customstate.ClaimsAdded Then
            ' Create an empty list of Claims.
            Dim claims as IList(Of Claim) = New List(Of Claim)()

            ' Iterate through each of the claimsets in the evaluation context.
            Dim cs As ClaimSet
            For Each cs In evaluationContext.ClaimSets
                ' Look for Name claims in the current claimset...
                Dim c As Claim
                For Each c In cs.FindClaims(ClaimTypes.Name, Rights.PossessProperty)
                    ' Get the list of operations that the given username is allowed to call.
                    Dim s As String
                    For Each s In GetAllowedOpList(c.Resource.ToString())
                        ' Add claims to the list.
                        claims.Add(New Claim("http://example.org/claims/allowedoperation", s, Rights.PossessProperty))
                        Console.WriteLine("Claim added {0}", s)
                    Next s
                Next c
            Next cs ' Add claims to the evaluation context.
            evaluationContext.AddClaimSet(Me, New DefaultClaimSet(Me.Issuer, claims))

            ' Record that claims were added.
            customstate.ClaimsAdded = True

            ' Return true, indicating that this does not need to be called again.
            bRet = True
        Else
            ' Should never get here, but just in case...
            bRet = True
        End If


        Return bRet

    End Function

    Public ReadOnly Property Issuer() As ClaimSet Implements IAuthorizationPolicy.Issuer
        Get
            Return ClaimSet.System
        End Get
    End Property

    Public ReadOnly Property Id() As String Implements IAuthorizationPolicy.Id
        Get
            Return id_Value
        End Get
    End Property
    ' This method returns a collection of action strings that indicate the
    ' operations the specified username is allowed to call.

    ' Operations the specified username is allowed to call.
    Private Function GetAllowedOpList(ByVal userName As String) As IEnumerable(Of String)
        Dim ret As IList(Of String) = new List(Of String)()
        If username = "test1" Then
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add")
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Multiply")
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract")
        ElseIf username = "test2" Then
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add")
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract")
        End If
        Return ret
    End Function

    ' internal class for keeping track of state

    Class CustomAuthState
        Private bClaimsAdded As Boolean


        Public Sub New()
            bClaimsAdded = False

        End Sub


        Public Property ClaimsAdded() As Boolean
            Get
                Return bClaimsAdded
            End Get
            Set
                bClaimsAdded = value
            End Set
        End Property
    End Class
End Class

Zie ook

• ServiceAuthorizationManager
• Procedure: Claims vergelijken
• Procedure: Een aangepast autorisatiebeheer maken voor een service
• Autorisatiebeleid