Creación de un objeto de almacén de directivas de autorización en script

Un almacén de directivas de autorización contiene información sobre la directiva de seguridad de una aplicación o grupo de aplicaciones. La información incluye las aplicaciones, las operaciones, las tareas, los usuarios y los grupos de usuarios asociados al almacén. Cuando se inicializa una aplicación que usa authorization Manager, carga esta información desde el almacén. El almacén de directivas de autorización debe estar ubicado en un sistema de confianza porque los administradores de ese sistema tienen un alto grado de acceso al almacén.

Authorization Manager admite el almacenamiento de la directiva de autorización en el servicio de directorio de Active Directory o en un archivo XML, como se muestra en los ejemplos siguientes. En la API de Authorization Manager, un almacén de directivas de autorización se representa mediante un objeto AzAuthorizationStore . En los ejemplos se muestra cómo crear un objeto AzAuthorizationStore para un almacén de Active Directory y un almacén XML.

Creación de un almacén de Active Directory

Para usar Active Directory para almacenar la directiva de autorización, el dominio debe estar en el nivel funcional de dominio Windows Server 2003. El almacén de directivas de autorización no se puede encontrar en un contexto de nomenclatura que no sea de dominio (también denominado partición de aplicación). Se recomienda que el almacén se encuentre en el contenedor De datos del programa en una nueva unidad organizativa creada específicamente para el almacén de directivas de autorización. También se recomienda que el almacén se encuentre dentro de la misma red de área local que los servidores de aplicaciones que ejecutan aplicaciones que usan el almacén.

En el ejemplo siguiente se muestra cómo crear un objeto AzAuthorizationStore que representa un almacén de directivas de autorización en Active Directory. En el ejemplo se supone que hay una unidad organizativa de Active Directory existente denominada Datos de programa en un dominio denominado authmanager.com.

'  Create the store object.
Dim authStore
Set authStore = CreateObject("AzRoles.AzAuthorizationStore")

'  Initialize the store object.
authStore.Initialize 1, _
    "msldap://CN=MyStore, CN=Program Data,DC=authmanager,DC=com"

'  Save the information to the store.
authStore.Submit

Creación de una tienda de SQL Server

Authorization Manager admite la creación de un almacén de directivas de autorización basado en Microsoft SQL Server. Para crear un almacén de autorización basado en SQL Server, use una dirección URL que comience por el prefijo MSSQL://. La dirección URL debe contener una cadena de conexión SQL válida, un nombre de base de datos y el nombre del almacén de directivas de autorización: **MSSQL:// ConnectionStringDatabaseNamePolicyStoreName//**.

Si la instancia de SQL Server no contiene la base de datos de Authorization Manager especificada, authorization Manager crea una nueva base de datos con ese nombre.

Nota

Las conexiones a un almacén de SQL Server no se cifran a menos que configure explícitamente SQL cifrado para la conexión o configure el cifrado del tráfico de red que usa seguridad de protocolo de Internet (IPsec).

 

En el ejemplo siguiente se muestra cómo crear un objeto AzAuthorizationStore que representa un almacén de directivas de autorización en una base de datos de SQL Server.

'  Create the store object.
Dim authStore
Set authStore = CreateObject("AzRoles.AzAuthorizationStore")

'  Initialize the store object.
authStore.Initialize 1, _ 
  "MSSQL://Driver={SQL Server};Server={AzServer};/AzDB/MyStore"

'  Save information to the store.
authStore.Submit

Crear un almacén XML

Authorization Manager admite la creación de un almacén de directivas de autorización en formato XML. El almacén XML se puede ubicar en el mismo equipo donde se ejecuta la aplicación o se puede almacenar de forma remota. No se admite la edición directa del archivo XML. Use el complemento MMC del Administrador de autorización o la API del Administrador de autorización para editar el almacén de directivas.

El Administrador de autorización no admite la delegación de la administración de un almacén de directivas XML. Para obtener información sobre la delegación, vea Delegar la definición de permisos en script.

En el ejemplo siguiente se muestra cómo crear un objeto AzAuthorizationStore que representa un almacén de directivas de autorización en un archivo XML.

'  Create the store object.
Dim authStore
Set authStore = CreateObject("AzRoles.AzAuthorizationStore")

'  Initialize the store object.
authStore.Initialize 1, "msxml://C:\MyStore.xml"

'  Save information to the store.
authStore.Submit