Partage via

Résumé de l'intégration de la sécurité

  • Article

Dans les rubriques précédentes de cette section, nous avons étudié les principaux éléments du modèle de sécurité de Microsoft AppFabric 1.1 pour Windows Server et examiné la manière dont AppFabric exploite les comptes et les groupes Sécurité Windows. AppFabric mappe ces entités de sécurité Windows aux concepts Sécurité .NET Framework et IIS, lesquels mappent à Sécurité SQL Server à l'aide des noms de connexion et des rôles de base de données. Cette rubrique décrit brièvement la manière dont le modèle de sécurité d'AppFabric intègre l'ensemble de ces technologies de prise en charge pour fournir un environnement sécurisé à votre application.

Rôles conceptuels d'AppFabric

Ces rôles conceptuels permettent d'affecter de manière logique des utilisateurs et les niveaux d'autorisation adéquats lors de la conception de votre architecture de sécurité.

  • Utilisateurs de serveur d'applications. Identités de pool d'applications des applications exécutées sous AppFabric.

  • Observateurs de serveur d'applications. Utilisateurs qui peuvent afficher les propriétés et informations des applications en cours d'exécution.

  • Administrateurs de serveur d'applications. Utilisateurs qui peuvent gérer ou contrôler les applications en cours d'exécution et les services système qui aident les applications à s'exécuter.

Entités de sécurité Windows

Les rôles conceptuels d'AppFabric mappent aux groupes de sécurité Windows. Les groupes IIS_IUSRS, LOCALHOST\AS_Administrators et LOCALHOST\AS_Observers sont créés lors de l'installation d'IIS et d'AppFabric uniquement sur l'ordinateur local.

  • Groupe IIS_IUSRS. IIS crée ce groupe de sécurité Windows existant au cours de son processus d'installation et le renseigne dynamiquement au moment de l'exécution. Ce groupe contient toutes les identités de pool d'applications du rôle conceptuel Utilisateurs de serveur d'applications AppFabric. Il est autorisé à rendre les données persistantes et à émettre des informations de suivi. Toute identité utilisée pour un pool d'applications est membre du groupe IIS_IUSRS.

  • Groupe LOCALHOST\AS_Administrators. Ce groupe de sécurité Windows local est créé en votre nom par le programme d'installation d'AppFabric. Les utilisateurs associés mappent au rôle conceptuel Administrateur de serveur d'applications AppFabric. Tout utilisateur amené à effectuer des tâches d'administration d'AppFabric doit être membre de ce groupe.

  • Groupe LOCALHOST\AS_Observers. Ce groupe de sécurité Windows local est créé en votre nom par le programme d'installation d'AppFabric. Tout utilisateur affecté à ce rôle reçoit les privilèges décrits pour le rôle conceptuel Observateurs de serveur d'applications.

Lors de l'utilisation d'AppFabric sur plusieurs ordinateurs d'un environnement de domaine, il est recommandé de créer un groupe de domaine pour chaque rôle conceptuel d'AppFabric à utiliser sur plusieurs serveurs AppFabric au sein de ce domaine. Les utilisateurs affectés à ces groupes reçoivent les privilèges associés à chaque rôle conceptuel, mais au niveau de l'étendue du domaine. Une fois ces groupes de sécurité Windows de domaine créés, ajoutez-y des comptes d'utilisateur de domaine en fonction des exigences d'AppFabric en termes d'accès et de fonctionnalités. Bien que vous puissiez attribuer le nom de votre choix à ces groupes, il est conseillé de leur affecter un nom significatif, tel que DOMAIN\MyAppFabricAdmins ou DOMAIN\MyAppFabricObservers. Dans les serveurs AppFabric locaux, ces comptes de domaine sont placés dans le groupe LOCALHOST\AS_Administrators.

Pour plus d'informations sur la manière dont AppFabric utilise la sécurité Windows, consultez la rubrique Sécurité Windows.

Sécurité .NET Framework et IIS

Une application utilise certains éléments de la sécurité IIS lorsqu'elle est configurée pour être exécutée en mode Transports mixtes. Toutefois, dans ce mode, l'application base plus son comportement de sécurité sur la sécurité .NET Framework et WCF que sur la sécurité IIS. Si cette même application est configurée pour être exécutée en mode de compatibilité ASP.NET, elle exploite davantage l'authentification IIS et ignore la sécurité WCF. Cette partie du modèle de sécurité d'AppFabric a trait à l'authentification du client et de l'identité affectés au domaine d'application ou au processus qui héberge l'application pour accéder aux données principales SQL Server. Pour plus d'informations, consultez la rubrique Sécurité .NET Framework et IIS.

Noms de connexion et rôles de base de données SQL Server

Les rôles conceptuels d'AppFabric mappent aux rôles de sécurité de base de données SQL Server, lesquels mappent aux groupes de sécurité Windows, comme suit :

  • AS_Administrators. Mappe au compte du groupe LOCALHOST\AS_Administrators local, dont les utilisateurs sont issus du groupe conceptuel Administrateurs de serveur d'applications AppFabric. Le nom de connexion AS_Administrators est affecté aux rôles de base de données SQL Server qui permettent de gérer les magasins de persistance et de surveillance.

  • AS_Observers. Mappe au compte du groupe LOCALHOST\AS_Observers local, dont les utilisateurs sont issus du groupe conceptuel Observateurs de serveur d'applications AppFabric. Le nom de connexion AS_Observers est affecté aux rôles de base de données SQL Server qui permettent d'observer (et non de gérer) les magasins de persistance et de surveillance.

  • IIS_IUSRS. Mappe au compte du groupe BUILTIN\IIS_IUSRS local, dont les utilisateurs sont issus du groupe conceptuel Utilisateurs de serveur d'applications AppFabric. Le nom de connexion IIS_IUSRS est affecté aux rôles de base de données SQL Server qui permettent aux applications de s'exécuter sous ce compte de connexion pour accéder aux magasins de persistance et de surveillance au moment de l'exécution.

Les rôles conceptuels d'AppFabric mappent aux rôles de base de données SQL Server dans le cadre d'une configuration des autorisations similaire à celle des noms de connexion correspondants. Par exemple, le compte de connexion AS_Administrators dispose d'un nombre plus important d'autorisations d'accès que le compte de connexion AS_Observers. Pour plus d'informations sur les rôles et autorisations de base de données spécifiques auxquels ces noms de connexion sont affectés, consultez la section « Connexions SQL Server » de la rubrique Sécurité SQL Server.

securitySécurité Remarque
Des tiers qui offrent des implémentations de stockage de bases de données non-SQL Server doivent mapper leur modèle de sécurité aux rôles conceptuels d'AppFabric.

  2012-03-05