通过

安全集成摘要

  • 项目

在本部分前面的主题中,我们介绍了 Microsoft AppFabric 1.1 for Windows Server 安全模型的主要部分,并探讨了 AppFabric 是如何利用 Windows 安全帐户和组的。AppFabric 将这些 Windows 安全性主体映射到 IIS 和 .NET Framework 安全概念,后者使用登录名和数据库角色又映射到 SQL Server 安全。本主题简要介绍 AppFabric 安全模型是如何集成所有这些支持技术,从而为您的应用程序提供一个安全环境的。

AppFabric 概念角色

使用这些概念角色可以在设计安全体系结构时按逻辑分配用户和相应的权限级别。

  • 应用程序服务器用户。 在 AppFabric 中运行的应用程序的应用程序池标识。

  • 应用程序服务器观察者。 可以查看正在运行的应用程序的属性和信息的人。

  • 应用程序服务器管理员。 可以对正在运行的应用程序和帮助应用程序运行的系统服务进行管理或控制的人。

Windows 安全主体

AppFabric 概念角色映射到 Windows 安全组。IIS_IUSRS、LOCALHOST\AS_Administrators 和 LOCALHOST\AS_Observers 组在 IIS 和 AppFabric 本地安装过程中创建且仅创建在本地计算机上。

  • IIS_IUSRS 组。 IIS 在其安装过程中创建此现有的 Windows 安全组,并在运行时对其进行动态填充。此组包含 AppFabric 应用程序服务器用户概念角色中的所有应用程序池标识。它具有暂留数据和发出跟踪信息的权限。任何用于应用程序池的标识都将是 IIS_IUSRS 组的成员。

  • LOCALHOST\AS_Administrators 组。 此本地 Windows 安全组由 AppFabric 安装程序代表您创建。其用户映射到 AppFabric 应用程序服务器管理员概念角色。任何需要执行 AppFabric 管理任务的用户都必须为此组的成员。

  • LOCALHOST\AS_Observers 组。 此本地 Windows 安全组由 AppFabric 安装过程代表您创建。任何分配到此角色的用户都被授予应用程序服务器观察者概念角色的权限。

当在域环境中的多个计算机上使用 AppFabric 时,最佳操作是:为要在该域中的多个 AppFabric 服务器计算机上使用的每个 AppFabric 概念角色创建一个域组。分配到这些组的用户被授予与每个概念角色关联但属于域作用域级别的权限。在创建这些域 Windows 安全组之后,根据 AppFabric 访问权限和功能要求向其添加域用户帐户。虽然您可以将其命名为任何您希望的名称,但我们还是建议您赋予其可辨识的名称,如“DOMAIN\MyAppFabricAdmins”和“DOMAIN\MyAppFabricObservers”组。在本地 AppFabric 服务器中,这些域帐户位于 LOCALHOST\AS_Administrators 组中。

有关 AppFabric 如何使用 Windows 安全的详细信息,请参阅 Windows 安全

IIS 和 .NET Framework 安全性

应用程序在被配置为以混合传输模式运行时会使用 IIS 安全的某些部分。但在该模式下,应用程序的与安全相关的行为将更多地基于 .NET Framework 和 WCF 安全,而不是 IIS 安全。如果同一应用程序被配置为以 ASP.NET 兼容性模式运行,则它会更多地利用 IIS 身份验证而忽略 WCF 安全。AppFabric 安全模型的此部分涉及对分配到应用程序域或进程(托管访问 SQL Server 后端数据的应用程序)的客户端和标识进行身份验证。有关详细信息,请参阅IIS 和 .NET Framework 安全

SQL Server 登录名和数据库角色

AppFabric 概念角色映射到 SQL Server 数据库安全角色,后者又映射到 Windows 安全组,如下所示:

  • AS_Administrators。 映射到本地 LOCALHOST\AS_Administrators 组帐户,其用户来自于 AppFabric 应用程序服务器管理员概念组。AS_Administrators 登录名被分配到管理暂留和监控存储所需的 SQL Server 数据库角色。

  • AS_Observers。 映射到本地 LOCALHOST\AS_Observers 组帐户,其用户来自于 AppFabric 应用程序服务器观察者概念组。AS_Observers 登录名被分配到观察(而非管理)暂留和监控存储所需的 SQL Server 数据库角色。

  • IIS_IUSRS。 映射到本地 BUILTIN\IIS_IUSRS 组帐户,其用户来自于 AppFabric 应用程序服务器用户概念组。IIS_IUSRS 登录名被分配到任何在此登录帐户下运行的应用程序在运行时访问暂留和监控存储时所需的 SQL Server 数据库角色。

AppFabric 概念角色映射到 SQL Server 数据库角色,后者的权限配置类似于其对应登录名的权限配置。例如,AS_Administrators 登录帐户所具有的访问权限多于 AS_Observers 登录帐户所具有的访问权限。有关这些登录名被分配的特定数据库角色和权限的详细信息,请参阅 SQL Server 安全中的“SQL Server 登录”一节。

security安全 注意
提供非 SQL Server 数据库存储实现的第三方必须将其安全模型映射到 AppFabric 概念角色。

  2012-03-05