问题标签 [azman]

我有一个 wcf 4.0 服务，我在 IIS express 中本地运行它，并使用 azman 来管理安全性。我能够使用声明性语法来保护服务，并防止类库中的类实例化。但是，当我在类中装饰一个方法时，它没有任何效果。

是否可以对方法启用安全检查？

我在之前的项目中使用过Azman，它在授权系统级别的操作时效果很好

• 授权角色X执行操作Y。
• 允许经理update_sales_orders _

在一个新项目中，我需要在记录级别上管理授权。

• 授权角色X对记录#Z执行操作Y
• 允许经理update_sales_order # 23 _

实现这一目标的最佳方法是什么？如果有支持此功能的授权 API，我将很高兴听到它。否则，欢迎任何建议。

我正在使用NetSqlAzMan在我的应用程序中管理授权。

在我的应用程序中，我想在记录级别管理授权；允许/拒绝用户/组执行记录操作（例如订单、客户）#number

我知道 NetSqlAzMan 中此类问题的解决方案是使用属性，并且我设置了一个小项目来测试它是如何工作的。我的应用程序如下所示：

数据库用户：

• 约翰
• 鲍勃

角色：

• 行政
• 销售量
• 营销

任务：

• 创建订单
• 更新顺序
• 删除订单
• 打印订单

授权示例：

我希望Sales角色被允许UpdateOrder，但同时拒绝UpdateOrder（属性：）OrderNum=12。

我想允许Bob（PrintOrder属性：）OrderNum=13并拒绝Bob（PrintOrder属性OrderNum=16：）

在这两种情况下，我最终都会获得一个Deny覆盖任何允许授权的授权，无论是CheckedAccessfor(Sales,UpdateOrder)还是 for (Bob,PrintOrder)。

有什么方法可以获取AuthorizationType每个属性，或者这是否需要任何更改。

我一直在尝试“从字里行间”了解 NetSqlAzMan 项目的原始（和/或当前）动机。

这是写的吗？

1. Windows 授权管理器 (AzMan) 的适配器。NetSqlAzMan 中的方法只是将调用传递给（Windows 授权管理器（AzMan）），但可能使用更好/更清洁的方法？

2. (Windows 授权管理器 (AzMan)) 的替代品。在 NetSqlAzMan 中重新创建了（Windows 授权管理器 (AzMan)）中可用的（大部分或全部）功能，但代码是独立开发的。（也许提供 DotNet 4.0 支持？？？）（也许删除任何 COM 依赖项）

3. 提供比 (Windows Authorization Manager (AzMan)) 提供的更多功能。也就是（Windows 授权管理器 (AzMan)）的“更智能”/“更好”版本。

4. 通过开源重写但也保持一个半死的项目活着。（如，也许（Windows 授权管理器（AzMan）））是微软的一个已死或废弃的项目）。

5. 其他？

......

我喜欢 NetSqlAzMan 的对象模型。但我需要为我的项目经理和其他开发人员使用它的任何决定辩护。就我对安全性的渴望而言，对象模型似乎“恰到好处”（想想金发姑娘和中间床）。我不想做基于角色的安全性。我想要基于权利（或任务或许可）的安全性。

（参见： http: //lostechies.com/derickbailey/2011/05/24/dont-do-role-based-authorization-checks-do-activity-based-checks/ 和 http://granadacoder.wordpress.com/ 2010/12/01/rant-hard-coded-security-roles/ )

基本上出现的问题是：“使用 NetSqlAzMan 代替（Windows 授权管理器（AzMan））有什么优势？”

子问题是“Windows 授权管理器 (AzMan) 死了吗？”。（还有一些类似于 Long Live NetSqlAzMan 的东西！）。

.....................

我的一般要求是：

非 Active Directory 用户。（以后 Active Directory 和/或 LDAP 支持会很好，但不是必需的）。密码不存储为纯文本。能够处理 RIGHTS 进行安全检查。
对任何角色下的权限进行分组。为用户分配角色。（但同样，代码将在执行操作时检查权限，而不是角色。）允许（有时）将权限分配给用户。使用拒绝覆盖。（又名，一个做愚蠢事情的用户（比如“删除员工”）可以撤销该权利。）可以为多个应用程序维护角色和权利。

所以欢迎其他想法。但Windows Identity Foundation似乎有点矫枉过正。

谢谢。

我现在有点迷路了。希望你能指出我正确的方向......

场景： WinForms App / Active Directory / ONLY 内部网络

我想要什么：使用 WIF 实现与 NetSqlAzMan 相同的功能（验证和授权单个操作）。没有联邦，没有什么是不需要的。只需通过他当前的帐户对给定用户进行身份验证，获取声明并查看是否允许他调用特定操作。

真正需要的是什么？我绝对需要 ADFS 2.0 吗？使用什么（简单）STS？从哪儿开始？我发现的所有内容都将从使用 WCF 联合绑定的巨大设置开始，而不是什么。我最好坚持使用 NetSqlAzMan 吗？

任何帮助将不胜感激！:)

I have implemented AzMan Store in my application using XML. But now I want to migrate it to SQL.

I have already lot of user roles and data in AzMan XML, can anyone tell me some utility or method through which I can migrates that data to SQL.

Thanks in advance

我正在尝试配置 AzMan，但我遇到了代码问题。你能解释一下我应该怎么做，因为我不明白这些问题：

带有正确配置的 xml 文件的 Active Directory。

工作正确

在 ASP.NET MVC Web 应用程序中，我偶尔会看到以下错误：

System.AppDomainUnloadedException：尝试访问已卸载的应用程序域。（HRESULT 异常：0x80131014）在 System.StubHelpers.StubHelpers.InternalGetCOMHRExceptionObject（Int32 hr，IntPtr pCPCMD，Object pThis）在 System.StubHelpers.StubHelpers.GetCOMHRExceptionObject（Int32 hr，IntPtr pCPCMD，Object pThis）在 Microsoft.Interop.Security。 AzRoles.IAzApplication.OpenOperation（字符串 bstrOperationName，对象 varReserved）

抛出此异常的代码行是这一行：

大多数时候，代码工作正常。当错误发生时，它似乎会再次发生，因此回收 AppPool 是唯一好的补救措施。

我能做些什么来防止这种情况发生？

我在我的应用程序中使用 Net Sql AZMan 进行身份验证和授权，我定义了一个更新任务，我有一个更新订单信息的操作。现在我想授权：所有用户在编辑角色时都可以更新订单信息，但是当订单 ID 为（例如，'X'）时，当订单 ID 为（'X ' 例如）只有管理员角色的用户才能更新订单信息。

Net SQL AzMan 中的所有设置似乎都是基于“或”的。

例如：

如果您将 3 个（授权的）应用程序组添加到操作，则用户需要位于第一个或第二个或第三个中才能获得操作权限。

我正在寻找一种方式来说明用户需要在（第一个和第二个）或（第一个和第三个）中。

有没有办法做到这一点？

原因：
我们的用户在部门之间移动时权限会滚雪球。我想为每个 Active Directory 部门设置一个角色（在上面的示例中为“第一个”）。如果我可以使上述逻辑正常工作，那么当用户更改部门时，他们将失去以前部门的权限（即使他们的老板很懒惰并且没有更新 AzMan）。

如果我不能在 AzMan 中使用它，那么我可以让我的应用程序来完成它。但在 AzMan 级别上会容易得多。