问题标签 [azman]

我正在企业库中的 AzMan 授权提供程序的帮助下从 WinForms 应用程序进行授权检查，并且收到以下错误：

无法更新密码。作为当前密码提供的值不正确。（来自 HRESULT 的异常：0x8007052B）（Microsoft.Practices.EnterpriseLibrary.Security.AzMan）

---

无法更新密码。作为当前密码提供的值不正确。（来自 HRESULT 的异常：0x8007052B）（Microsoft.Interop.Security.AzRoles）

AzMan 商店托管在同一域中另一台计算机上的 ADAM 中。其他电脑和用户没有这个问题。进行调用的用户具有对 ADAM 和 AzMan 存储的读取权限。运行 WinForms 应用程序的计算机和运行 ADAM 的计算机都在 Windows XP SP2 上。

在解决之前我遇到过 AzMan 的访问问题，但这是一个新问题……我错过了什么？

是否可以为 AzMan XML 存储指定相对连接字符串？

我当前的连接字符串是connectionString="msxml://c:/azman.xml"，但我真的需要将其设为相对，以便其他开发人员和自动构建可以获得最新的授权存储。

MS文档似乎表明connectionString="msxml://azman.xml"应该可以工作，但会引发The request is not supported错误。

编辑：我意识到我通过企业图书馆安全应用程序块使用 AzMan 对这个问题很重要。

我有一个在 Windows 2003 上的 IIS 6.0 中运行的 Web 服务。它的身份验证模式是集成 Windows 安全性（禁用匿名），并且使用授权管理器和 XML 授权存储完成授权。我的测试用户是具有授权角色成员身份的域用户（实际上是管理员）。

我正在（暂时）在 Web 服务器（localhost）上测试它，并（暂时）使用 Internet Explorer 访问 Web 服务（.asmx）。

我可以通过 localhost 成功打开 Web 服务（wsdl）页面，如下所示：

使用此 url，集成 Windows 身份验证成功（静默），并且 AzMan 成功授权我访问该服务。服务器名称也是如此：

现在我需要使用外部主机名 (www.mysite.no) 来访问服务（这是为了让 ssl 使用颁发给该站点名的证书）。为此，我将主机名添加到我的 HOSTS 文件中，如下所示：

...然后在 IE 中输入：

然后发生的是授权失败。我得到了 IE/Windows 登录框并输入了正确的凭据三次。然后我得到一个 401.1：

主机名如何影响通过 AzMan 的授权？

编辑：我有理由相信 AzMan 与它无关 - 这似乎是身份验证失败。

我已经在另一台服务器上重现了这个问题。本质似乎是通过本地主机文件中的条目访问 localhost 会以某种方式弄乱浏览器和 IIS 之间的集成 Windows 身份验证。

我已经解决了这个问题，现在只剩下我的好奇心了......

我在我的一个应用程序中使用授权管理器，我的要求是将 AzMan 商店从一个位置复制到另一个位置。我的源位置是活动目录，目标是 xml，我有这两个路径。

当我创建一个 AzMan 存储并使用源链接进行初始化以获取对象句柄时，源存储应用程序中的任务数似乎包括 Tasks + Roles。任何人都可以指出这是AzMan中的错误还是我犯了一些错误。

我们开始设计一大堆要创建的新服务（WCF、ADO.NET 数据服务，可能在某个时候在云中），弹出的一个问题是使用什么身份验证和授权方案 - 有很多很少！

我们基本上需要能够识别各种协议（HTTP、HTTPS、TCP）上的用户（实际人员和“虚拟”应用程序/服务用户），并且我们需要为他们分配至少一堆角色/权限查看某些数据和/或执行某些操作。

我们绝对不能单独使用 Windows 组成员资格 - 我们有大量服务的外部消费者，我们不希望必须在我们的内部域中为每个人设置域帐户。

所以我认为主要有三个选择：

1. 使用 ASP.NET 成员系统 - 在那里创建用户并分配角色
2. 使用 AzMan（授权管理器），它似乎是一个更细粒度、更成熟、更精细的系统（具有用户、任务、组 - 三个级别，而不仅仅是用户 + 角色）
3. 滚动我们自己的

首先 - 你会推荐这三个中的哪一个？有什么理由吗？

其次 - 我还有更多的选择吗？

感谢您的任何提示，指针，意见！

马克

PS：看到到目前为止的答案，我对投票给选项#3 的人数之多感到惊讶。我原以为 MS 能够设计出可以处理所有这些要求的可重复使用的东西......

我有一个使用 AzMan 授权向不同用户授予不同功能的 Web 应用程序。我刚刚开始使用 WatiN 来实现一些在 Visual Studio Team System/TFS 下运行的自动化 Web UI 测试。我希望能够使用它来验证不同的授权场景。要做到这一点，我需要能够作为通过 AzMan 授予不同权限的不同用户运行不同的测试（使用虚拟测试帐户）。

有没有人有自动化测试 AzMan 授权的经验？

在 TFS 下以不同用户身份运行 VS“单元”测试怎么样？

我正在尝试获取与用户相关的操作列表。

我正在使用 AzMan 来存储应用程序授权规则。

如何使用 EntLib 4.1 SecurityApplicationBlocks 或任何其他方式获取每个用户的操作列表？

[C＃]

谢谢。

我想知道有人知道如何在两个 AzMan 实例之间同步数据吗？

我在 AzMan 的测试实例中创建了一大堆任务和操作，我需要将其移动到另一台服务器以进行 UAT。

我搜索了一下，发现最接近的解决方案是批量导入/导出工具，但没有关于如何运行它的文档:(

我创建了一个使用 Microsoft AzMan 的 Web 应用程序，它可以正常工作，直到您拥有多个用户。我几乎 100% 确定 AzMan 正在为多个用户缓存相同的内容。

为了简化一点，我看到的问题是用户 A 访问该站点并具有完全访问权限，该用户被授予正确的访问权限并且可以正常工作。然后用户 B 访问该站点，只有查看权限，但因为 AzMan 已经看到用户 A 的完全访问权限，所以它也授予用户 B 完全访问权限。

我在创建客户端上下文时使用了 AddStringSids 方法，因为它是唯一适用于各种情况的方法。这有问题吗？当我们从令牌创建客户端上下文时，我们曾经没有这个问题。

以下是我用来创建上下文的确切代码。app 是 IAzApplication2 变量，ClientContext.SID 是相关用户的 SecurityIdentifier。

编辑：我根本没有使用 ASP.Net 角色提供程序，因为这需要应用程序了解角色。我只使用 COM API。

编辑2：另外，如果用户B首先登录，那么用户A在登录时就没有访问权限。所以它不仅仅是保持最高级别的访问权限。

我在 AD 中有一个 Azman 商店，但无法从我们的 ASP.NET Web 服务器访问它。我假设我需要向 Azman 商店授予 ASP.NET 网络服务权限（使用 Azman 配置工具），但在 AD 中找不到 ASP.NET 服务器的帐户。

我应该使用网络服务帐户还是重新配置 ASP.NET 来模拟我可以在 AD 中找到的网络帐户？