Zuweisen einer Sicherheitszugriffsrichtlinie für HTTP- und HTTPS-Endpunkte

Wenn Sie eine RunAs-Richtlinie anwenden und das Dienstmanifest HTTP-Endpunktressourcen deklariert, müssen Sie eine Richtlinie vom Typ SecurityAccessPolicy angeben. SecurityAccessPolicy stellt sicher, dass Ports, die diesen Endpunkten zugeordnet sind, ordnungsgemäß auf das Benutzerkonto beschränkt werden, als das der Dienst ausgeführt wird. Andernfalls hat http.sys keinen Zugriff auf den Dienst, sodass beim Aufrufen vom Client Fehler auftreten. Im folgenden Beispiel wird das Customer1-Konto auf den Endpunkt EndpointName angewendet, und es werden vollständige Zugriffsrechte gewährt.

<Policies>
  <RunAsPolicy CodePackageRef="Code" UserRef="Customer1" />
  <!--SecurityAccessPolicy is needed if RunAsPolicy is defined and the Endpoint is http -->
  <SecurityAccessPolicy ResourceRef="EndpointName" PrincipalRef="Customer1" />
</Policies>

Geben Sie für einen HTTPS-Endpunkt auch den Namen des Zertifikats für die Rückgabe an den Client an. Auf das Zertifikat wird mithilfe von EndpointBindingPolicy verwiesen. Das Zertifikat wird im Anwendungsmanifest im Abschnitt Zertifikate definiert.

<Policies>
  <RunAsPolicy CodePackageRef="Code" UserRef="Customer1" />
  <!--SecurityAccessPolicy is needed if RunAsPolicy is defined and the Endpoint is http -->
  <SecurityAccessPolicy ResourceRef="EndpointName" PrincipalRef="Customer1" />
  <!--EndpointBindingPolicy is needed if the EndpointName is secured with https -->
  <EndpointBindingPolicy EndpointRef="EndpointName" CertificateRef="Cert1" />
</Policies>

Warnung

Wenn HTTPS verwendet wird, verwenden Sie nicht den gleichen Port und das gleiche Zertifikat für verschiedene Dienstinstanzen (unabhängig von der Anwendung), die für den gleichen Knoten bereitgestellt werden. Das Upgrade von zwei verschiedenen Diensten unter Verwendung desselben Ports in verschiedenen Anwendungsinstanzen führt zu einem Upgradefehler. Weitere Informationen finden Sie unter Aktualisieren von mehreren Anwendungen mit HTTPS-Endpunkten.

Lesen Sie als Nächstes die folgenden Artikel:

• Informationen zum Anwendungsmodell
• Angeben von Ressourcen in einem Dienstmanifest
• Bereitstellen von Anwendungen
• Bewährte Methoden für die Azure Service Fabric-Sicherheit