基于角色的安全管理
基于角色的安全性是 COM+ 提供的一种自动服务,使你能够以管理方式构造和实施 COM+ 应用程序的访问控制策略。 借助灵活可扩展的安全配置模型,基于角色的安全性比在组件内强制实施所有安全性方面具有相当大的优势,并提供以下优势:
- 可以使用组件服务管理工具或管理函数以管理方式配置安全。
- 当方法级别的角色保护提供足够精细的访问控制时,无需将安全相关的逻辑写入组件。
- 不必在接口或组件设计中考虑安全性。 相反,可以逐个方法地设置安全性。
- 可以将重点放在要强制执行的安全策略的结构上,并通过角色将该策略清楚地表达给部署应用程序的管理员。
- 可以轻松修改安全策略,以适应应用程序不断变化的安全要求。
- 如果需要,可以使用基于角色的安全性作为支持平台,以编程方式构建精细的安全策略。
- 可以利用基于角色的安全性执行详细的审核,因为你可以获取整个上游调用链的调用方安全信息。
注意
系统应用程序的管理员角色中的用户必须是本地管理员组的成员。 此外,从 Windows Server 2003 起,COM+ 系统应用程序的身份验证功能包括值 EOAC_DISABLE_AAA。 在启动系统应用程序时,在 CoInitializeSecurity 调用中使用此值(禁用激活即激活器 (AAA) 激活)。 将身份验证功能设置为 EOAC_DISABLE_AAA 允许在特权帐户(如 LocalSystem)下运行的应用程序,以帮助防止其标识用于启动不受信任的组件。
有关基于角色的安全性的工作原理以及在使用它为应用程序构建安全策略时要考虑的问题的信息,请参阅本节中的以下主题:
有关为应用程序配置基于角色的安全性所涉及步骤的详细操作说明,请参阅配置基于角色的安全性。
相关主题