Создание объекта хранилища политик авторизации в C++
Хранилище политик авторизации содержит сведения о политике безопасности приложения или группы приложений. Эти сведения включают приложения, операции, задачи, пользователей и группы пользователей, связанных с хранилищем. Когда приложение, использующее диспетчер авторизации, инициализируется, оно загружает эти сведения из хранилища. Хранилище политик авторизации должно находиться в доверенной системе, так как администраторы в этой системе имеют высокий уровень доступа к хранилищу.
Диспетчер авторизации поддерживает хранение политики авторизации в службе каталогов Active Directory или в XML-файле, как показано в следующих примерах. В API диспетчера авторизации хранилище политик авторизации представлено объектом AzAuthorizationStore. В примерах показано, как создать объект AzAuthorizationStore для хранилища Active Directory и хранилища XML.
Создание хранилища Active Directory
Чтобы использовать Active Directory для хранения политики авторизации, домен должен находиться в windows Server 2003 функциональном уровне домена. Хранилище политик авторизации не может находиться в недоменном контексте именования (также называемом разделом приложения). Рекомендуется разместить хранилище данных в контейнере данных программы в новом организационном подразделении, созданном специально для хранилища политик авторизации. Рекомендуется также разместить хранилище в той же локальной сети, что и серверы приложений, на которые выполняются приложения, использующие хранилище.
В следующем примере показано, как создать объект AzAuthorizationStore, представляющий хранилище политик авторизации в Active Directory. В этом примере предполагается, что в домене с именем authmanager.com есть существующее подразделение организации Active Directory с именем Program Data.
#pragma comment(lib, "duser.lib")
#ifndef _WIN32_WINNT
#define _WIN32_WINNT 0x0502
#endif
#include <windows.h>
#include <stdio.h>
#include <azroles.h>
#include <objbase.h>
void main(void){
IAzAuthorizationStore* pStore = NULL;
HRESULT hr;
void MyHandleError(char *s);
BSTR storeName = NULL;
// Initialize COM.
hr = CoInitializeEx(NULL, COINIT_MULTITHREADED);
if (!(SUCCEEDED(hr)))
MyHandleError("Could not initialize COM.");
// Create the AzAuthorizationStore object.
hr = CoCreateInstance(
/*"b2bcff59-a757-4b0b-a1bc-ea69981da69e"*/
__uuidof(AzAuthorizationStore),
NULL,
CLSCTX_ALL,
/*"edbd9ca9-9b82-4f6a-9e8b-98301e450f14"*/
__uuidof(IAzAuthorizationStore),
(void**)&pStore);
if (!(SUCCEEDED(hr)))
MyHandleError("Could not create AzAuthorizationStore object.");
// Create a null VARIANT for function parameters.
VARIANT myVar;
VariantInit(&myVar);
// Allocate a string for the distinguished name of the
// Active Directory store.
if(!(storeName = SysAllocString
(L"msldap://CN=MyAzStore,CN=Program Data,DC=authmanager,DC=com")))
MyHandleError("Could not allocate string.");
// Initialize the store in Active Directory. Use the
// AZ_AZSTORE_FLAG_CREATE flag.
hr = pStore->Initialize(AZ_AZSTORE_FLAG_CREATE, storeName, myVar);
if (!(SUCCEEDED(hr)))
MyHandleError("Could not initialize store.");
// Call the submit method to save changes to the new store.
hr = pStore->Submit(0, myVar);
if (!(SUCCEEDED(hr)))
MyHandleError("Could not save data to the store.");
// Clean up resources.
pStore->Release();
VariantClear(&myVar);
SysFreeString(storeName);
CoUninitialize();
}
void MyHandleError(char *s)
{
printf("An error occurred in running the program.\n");
printf("%s\n",s);
printf("Error number %x\n.",GetLastError());
printf("Program terminating.\n");
exit(1);
}
Создание хранилища SQL Server
Диспетчер авторизации поддерживает создание хранилища политик авторизации на основе Microsoft SQL Server. Чтобы создать хранилище авторизации на основе SQL Server, используйте URL-адрес, начинающийся с префикса MSSQL://. URL-адрес должен содержать допустимую строку подключения SQL, имя базы данных и имя хранилища политик авторизации: **MSSQL://ConnectionString/DatabaseName/**PolicyStoreName.
Если экземпляр SQL Server не содержит указанную базу данных диспетчера авторизации, диспетчер авторизации создает новую базу данных с таким именем.
Заметка
Подключения к хранилищу SQL Server не шифруются, если только вы явно не настраиваете шифрование SQL для подключения или настраиваете шифрование сетевого трафика, использующего безопасность интернет-протокола (IPsec).
В следующем примере показано, как создать объект AzAuthorizationStore, представляющий хранилище политик авторизации в базе данных SQL Server.
#pragma comment(lib, "duser.lib")
#ifndef _WIN32_WINNT
#define _WIN32_WINNT 0x0502
#endif
#include <windows.h>
#include <stdio.h>
#include <azroles.h>
#include <objbase.h>
void main(void){
IAzAuthorizationStore* pStore = NULL;
HRESULT hr;
void MyHandleError(char *s);
BSTR storeName = NULL;
// Initialize COM.
hr = CoInitializeEx(NULL, COINIT_MULTITHREADED);
if (!(SUCCEEDED(hr)))
MyHandleError("Could not initialize COM.");
// Create the AzAuthorizationStore object.
hr = CoCreateInstance(
/*"b2bcff59-a757-4b0b-a1bc-ea69981da69e"*/
__uuidof(AzAuthorizationStore),
NULL,
CLSCTX_ALL,
/*"edbd9ca9-9b82-4f6a-9e8b-98301e450f14"*/
__uuidof(IAzAuthorizationStore),
(void**)&pStore);
if (!(SUCCEEDED(hr)))
MyHandleError("Could not create AzAuthorizationStore object.");
VARIANT myVar;
myVar.vt = VT_NULL;
// Allocate a string for the SQL Server store.
if(!(storeName = SysAllocString
(L"MSSQL://Driver={SQL Server};Server={AzServer};/AzDB/MyStore")))
MyHandleError("Could not allocate string.");
// Initialize the store. Use the
// AZ_AZSTORE_FLAG_CREATE flag.
hr = pStore->Initialize(AZ_AZSTORE_FLAG_CREATE, storeName, myVar);
if (!(SUCCEEDED(hr)))
MyHandleError("Could not initialize store.");
// Call the submit method to save changes to the new store.
hr = pStore->Submit(0, myVar);
if (!(SUCCEEDED(hr)))
MyHandleError("Could not save data to the store.");
// Clean up resources.
pStore->Release();
SysFreeString(storeName);
CoUninitialize();
}
void MyHandleError(char *s)
{
printf("An error occurred in running the program.\n");
printf("%s\n",s);
printf("Error number %x\n.",GetLastError());
printf("Program terminating.\n");
exit(1);
}
Создание хранилища XML
Диспетчер авторизации поддерживает создание хранилища политик авторизации в формате XML. Хранилище XML может находиться на том же компьютере, где выполняется приложение, или его можно хранить удаленно. Редактирование XML-файла напрямую не поддерживается. Чтобы изменить хранилище политик, используйте оснастку диспетчера авторизации MMC или API диспетчера авторизации.
Диспетчер авторизации не поддерживает делегирование администрирования хранилища политик XML. Для получения информации о делегировании см. раздел "Делегирование задачи определения разрешений в C++".
В следующем примере показано, как создать объект AzAuthorizationStore, представляющий хранилище политик авторизации в XML-файле.
#pragma comment(lib, "duser.lib")
#ifndef _WIN32_WINNT
#define _WIN32_WINNT 0x0502
#endif
#include <windows.h>
#include <stdio.h>
#include <azroles.h>
#include <objbase.h>
void main(void){
IAzAuthorizationStore* pStore = NULL;
HRESULT hr;
void MyHandleError(char *s);
BSTR storeName = NULL;
// Initialize COM.
hr = CoInitializeEx(NULL, COINIT_MULTITHREADED);
if (!(SUCCEEDED(hr)))
MyHandleError("Could not initialize COM.");
// Create the AzAuthorizationStore object.
hr = CoCreateInstance(
/*"b2bcff59-a757-4b0b-a1bc-ea69981da69e"*/
__uuidof(AzAuthorizationStore),
NULL,
CLSCTX_ALL,
/*"edbd9ca9-9b82-4f6a-9e8b-98301e450f14"*/
__uuidof(IAzAuthorizationStore),
(void**)&pStore);
if (!(SUCCEEDED(hr)))
MyHandleError("Could not create AzAuthorizationStore object.");
VARIANT myVar;
myVar.vt = VT_NULL;
// Allocate a string for the distinguished name of the XML store.
if(!(storeName = SysAllocString(L"msxml://C:\\MyStore.xml")))
MyHandleError("Could not allocate string.");
// Initialize the store in an XML file. Use the
// AZ_AZSTORE_FLAG_CREATE flag.
hr = pStore->Initialize(AZ_AZSTORE_FLAG_CREATE, storeName, myVar);
if (!(SUCCEEDED(hr)))
MyHandleError("Could not initialize store.");
// Call the submit method to save changes to the new store.
hr = pStore->Submit(0, myVar);
if (!(SUCCEEDED(hr)))
MyHandleError("Could not save data to the store.");
// Clean up resources.
pStore->Release();
SysFreeString(storeName);
CoUninitialize();
}
void MyHandleError(char *s)
{
printf("An error occurred in running the program.\n");
printf("%s\n",s);
printf("Error number %x\n.",GetLastError());
printf("Program terminating.\n");
exit(1);
}