Поделиться через

Краткие сведения об интеграции безопасности

  • Статья

В предыдущих подразделах этого раздела рассматривались основные составляющие модели безопасности Microsoft AppFabric 1.1 для Windows Server и рассматривалось использование учетных записей и групп Безопасность Windows в AppFabric. AppFabric сопоставляет эти участники безопасности Windows с сущностями в Безопасность IIS и .NET Framework, которые в свою очередь преобразуются в сущности Безопасность SQL Server с использованием имен для входа и ролей баз данных. В этом подразделе дается краткое описание интеграции всех этих вспомогательных технологий в AppFabric для формирования безопасной среды работы приложений.

Концептуальные роли AppFabric

Перечисленные далее концептуальные роли используются для логического распределения пользователей и уровней разрешений при проектировании архитектуры безопасности.

  • Пользователи сервера приложений. Удостоверения пула приложений, работающих в AppFabric.

  • Наблюдатели сервера приложений. Пользователи, способные просматривать свойства и сведения для работающих приложений.

  • Администраторы сервера приложений. Пользователи, способные управлять работающими приложениями и их вспомогательными системными службами.

Участники безопасности Windows.

Концептуальные роли AppFabric соответствуют группам безопасности Windows. Группы IIS_IUSRS, LOCALHOST\AS_Administrators и LOCALHOST\AS_Observers создаются в ходе установки служб IIS и AppFabric только на локальном компьютере.

  • Группа IIS_IUSRS. Службы IIS создают данную группу безопасности Windows в ходе установки и динамически заполняет ее во время выполнения. Эта группа содержит все удостоверения пулов приложений в концептуальной роли AppFabric "Пользователи сервера приложений". У нее есть разрешение на сохранение данных и порождение сведений отслеживания. Любое удостоверение, используемое для пула приложений, должно входить в группу IIS_IUSRS.

  • Группа LOCALHOST\AS_Administrators. Эта локальная группа безопасности Windows создается от лица пользователя в ходе установки AppFabric. Ее участники соответствуют участникам концептуальной роли AppFabric "Администраторы сервера приложений". Все пользователи-администраторы AppFabric должны быть включены в эту группу.

  • Группа LOCALHOST\AS_Observers. Эта локальная группа безопасности Windows создается от лица пользователя в ходе установки AppFabric. Все пользователи, включенные в эту роль, получат привилегии, указанные для концептуальной роли "Наблюдатели сервера приложений".

При использовании AppFabric на нескольких компьютерах в доменной среде рекомендуется создать доменные группы для всех логических ролей AppFabric, которые можно было бы использовать на нескольких серверах AppFabric в этом домене. Пользователи, включенные в эти группы, получают привилегии, связанные с соответствующими концептуальными ролями, на уровне всего домена. После создания таких доменных групп безопасности Windows следует добавить в них учетные записи пользователей домена в соответствии с потребностями в доступе к AppFabric и функциональными условиями. Называть группы можно как угодно, но лучше всего использовать осмысленные имена, например «DOMAIN\MyAppFabricAdmins» и «DOMAIN\MyAppFabricObservers». На локальных серверах AppFabric эти доменные учетные записи помещаются в группу LOCALHOST\AS_Administrators.

Дополнительные сведения об использовании средств безопасности Windows в AppFabric см. в разделе Безопасность Windows.

Безопасность IIS и .NET Framework

Приложение, настроенное для работы в режиме смешанного транспорта, использует элементы системы безопасности IIS. Тем не менее в этом режиме поведение приложения, связанное с безопасностью, в большей степени основывается на средствах безопасности Платформа .NET Framework и WCF, чем на системе безопасности IIS. Если это же приложение настраивается для работы в режиме совместимости c ASP.NET, то в нем более интенсивно используются средства проверки подлинности IIS; система безопасности WCF не используется. Эта часть модели безопасности AppFabric использует клиентскую проверку подлинности и удостоверение, назначенное домену приложений или процессу, в котором размещается приложение, для обращения к серверным данным SQL Server. Дополнительные сведения см. в разделе Безопасность IIS и .NET Framework.

Имена входа и роли баз данных SQL Server

Концептуальные роли AppFabric соотносятся с ролями безопасности баз данных SQL Server, которые в свою очередь соотносятся с группами безопасности Windows, как описано ниже:

  • AS_Administrators. Соответствует локальной учетной записи группы LOCALHOST\AS_Administrators, пользователи в которой берутся из концептуальной группы "Администраторы сервера приложений" AppFabric. Имя входа AS_Administrators назначается ролям базы данных SQL Server, используемым для администрирования хранилищ данных наблюдения и сохраняемости.

  • AS_Observers. Соответствует локальной учетной записи группы LOCALHOST\AS_Observers, пользователи в которой берутся из концептуальной группы "Наблюдатели сервера приложений" AppFabric. Имя входа AS_Observers назначается ролям базы данных SQL Server, используемым для наблюдения за хранилищами данных наблюдения и сохраняемости (но не для их администрирования).

  • IIS_IUSRS. Соответствует локальной учетной записи группы BUILTIN\IIS_IUSRS, пользователи в которой берутся из концептуальной группы "Пользователи сервера приложений" AppFabric. Имя входа IIS_IUSRS назначается ролям базы данных SQL Server, необходимым для приложений, запускаемых с использованием этой учетной записи, при доступе к хранилищам данных наблюдения и сохраняемости во время выполнения.

Концептуальные роли AppFabric соответствуют ролям базы данных SQL Server в рамках конфигурации разрешений, аналогичной той, что используется для соответствующих имен входа. Например, учетная запись входа AS_Administrators имеет более обширные разрешения доступа, чем учетная запись входа AS_Observers. Дополнительные сведения о конкретных ролях базы данных и разрешениях, назначаемых именам входа, см. в разделе «Учетные записи SQL Server» статьи Безопасность SQL Server.

securityБезопасность Примечание
Сторонние поставщики решений для хранения, отличных от SQL Server, должны будут привести свою модель безопасности в соответствие с концептуальными ролями AppFabric.

  2012-03-05