次の方法で共有


方法 : サービスで使用するカスタム承認マネージャーを作成する

Windows Communication Foundation (WCF) 内の識別モデル インフラストラクチャでは、拡張性のあるクレーム ベースの承認モデルがサポートされます。クレームはトークンから抽出され、状況に応じてカスタム承認ポリシーによって処理されてから、AuthorizationContext に格納されます。承認マネージャーは、AuthorizationContext 内のクレームを検査して承認に関する決定を行います。

既定では、承認に関する決定は、ServiceAuthorizationManager クラスによって行われますが、カスタム承認マネージャーを作成することによってオーバーライドできます。カスタム承認マネージャーを作成するには、ServiceAuthorizationManager から派生するクラスを作成し、CheckAccessCore メソッドを実装します。承認に関する決定は、CheckAccessCore メソッド内で行われます。このメソッドは、アクセスが許可されている場合は true を返し、拒否されている場合は false を返します。

承認決定がメッセージ本文の内容に依存する場合は、CheckAccess メソッドを使用します。

パフォーマンスの問題があるので、可能であればアプリケーションを再デザインして、承認決定でメッセージ本文にアクセスする必要がないようにしてください。

サービスのカスタム承認マネージャーは、コードまたは構成に登録できます。

カスタム承認マネージャーを作成するには

  1. ServiceAuthorizationManager クラスからクラスを派生させます。

    Public Class MyServiceAuthorizationManager
        Inherits ServiceAuthorizationManager
    
    
    public class MyServiceAuthorizationManager : ServiceAuthorizationManager
    {
    
  2. CheckAccessCore メソッドをオーバーライドします。

    CheckAccessCore メソッドに渡される OperationContext を使用して、承認に関する決定を行います。

    承認に関する決定を行うために、FindClaims メソッドを使用してカスタム クレーム https://www.contoso.com/claims/allowedoperation を検索する方法を次のコード例に示します。

    Protected Overrides Function CheckAccessCore(ByVal operationContext As OperationContext) As Boolean 
        ' Extract the action URI from the OperationContext. Match this against the claims.
        ' in the AuthorizationContext.
        Dim action As String = operationContext.RequestContext.RequestMessage.Headers.Action
    
        ' Iterate through the various claimsets in the AuthorizationContext.
        Dim cs As ClaimSet
        For Each cs In  operationContext.ServiceSecurityContext.AuthorizationContext.ClaimSets
            ' Examine only those claim sets issued by System.
            If cs.Issuer Is ClaimSet.System Then
                ' Iterate through claims of type "https://www.contoso.com/claims/allowedoperation".
                Dim c As Claim
                For Each c In  cs.FindClaims("https://www.contoso.com/claims/allowedoperation", _
                     Rights.PossessProperty)
                    ' If the Claim resource matches the action URI then return true to allow access.
                    If action = c.Resource.ToString() Then
                        Return True
                    End If
                Next c
            End If
        Next cs 
        ' If this point is reached, return false to deny access.
        Return False
    
    End Function 
    
    protected override bool CheckAccessCore(OperationContext operationContext)
    {                
      // Extract the action URI from the OperationContext. Match this against the claims
      // in the AuthorizationContext.
      string action = operationContext.RequestContext.RequestMessage.Headers.Action;
    
      // Iterate through the various claim sets in the AuthorizationContext.
      foreach(ClaimSet cs in operationContext.ServiceSecurityContext.AuthorizationContext.ClaimSets)
      {
        // Examine only those claim sets issued by System.
        if (cs.Issuer == ClaimSet.System)
        {
          // Iterate through claims of type "https://www.contoso.com/claims/allowedoperation".
            foreach (Claim c in cs.FindClaims("https://www.contoso.com/claims/allowedoperation", Rights.PossessProperty))
          {
            // If the Claim resource matches the action URI then return true to allow access.
            if (action == c.Resource.ToString())
              return true;
          }
        }
      }
    
      // If this point is reached, return false to deny access.
      return false;                 
    }
    

コードを使用してカスタム承認マネージャーを登録するには

  1. カスタム承認マネージャーのインスタンスを作成し、これを ServiceAuthorizationManager プロパティに割り当てます。

    ServiceAuthorizationBehavior には、Authorization プロパティを使用してアクセスできます。

    MyServiceAuthorizationManager カスタム承認マネージャーを登録するコード例を次に示します。

    ' Add a custom authorization manager to the service authorization behavior.
    serviceHost.Authorization.ServiceAuthorizationManager = _
        New MyServiceAuthorizationManager()
    
    // Add a custom authorization manager to the service authorization behavior.
    serviceHost.Authorization.ServiceAuthorizationManager = 
               new MyServiceAuthorizationManager();
    

構成を使用してカスタム承認マネージャーを登録するには

  1. サービスの構成ファイルを開きます。

  2. Behaviors elementserviceAuthorization elementを追加します。

    serviceAuthorization elementserviceAuthorizationManagerType 属性を追加し、この属性の値をカスタム承認マネージャーを表す型に設定します。

  3. クライアントとサービスの間の通信をセキュリティで保護するバインディングを追加します。

    この通信用に選択されたバインディングによって、AuthorizationContext に追加されるクレームが決まります。これは、カスタム承認マネージャーが承認に関する決定を行うために使用します。システム指定のバインディングの詳細については、「システム標準のバインディング」を参照してください。

  4. <service> 要素を追加し、behaviorConfiguration 属性の値を <behavior> of <serviceBehaviors> 要素の名前属性の値に設定して、サービス エンドポイントに動作を関連付けます。

    サービス エンドポイントの構成の詳細については、「方法 : 構成にサービス エンドポイントを作成する」を参照してください。

    カスタム承認マネージャー Samples.MyServiceAuthorizationManager を登録するコード例を次に示します。

    <configuration>
      <system.serviceModel>
        <services>
          <service 
              name="Microsoft.ServiceModel.Samples.CalculatorService"
              behaviorConfiguration="CalculatorServiceBehavior">
            <host>
              <baseAddresses>
                <add baseAddress="https://localhost:8000/ServiceModelSamples/service"/>
              </baseAddresses>
            </host>
            <endpoint address=""
                      binding="wsHttpBinding_Calculator"
                      contract="Microsoft.ServiceModel.Samples.ICalculator" />
          </service>
        </services>
        <bindings>
          <WSHttpBinding>
           <binding name = "wsHttpBinding_Calculator">
             <security mode="Message">
               <message clientCredentialType="Windows"/>
             </security>
            </binding>
          </WSHttpBinding>
    </bindings>
        <behaviors>
          <serviceBehaviors>
            <behavior name="CalculatorServiceBehavior">
              <serviceAuthorization serviceAuthorizationManagerType="Samples.MyServiceAuthorizationManager" />
            </behaviors>
          </serviceBehaviors>
        </behaviors>
      </system.serviceModel>
    </configuration>
    

CheckAccessCore メソッドのオーバーライドを含む ServiceAuthorizationManager クラスの基本実装を次のコード例に示します。このコード例は、AuthorizationContext のカスタム クレームを調べ、そのカスタム クレームのリソースが OperationContext のアクション値と一致した場合に true を返します。ServiceAuthorizationManager クラスのより完全な実装については、「承認ポリシー」を参照してください。

Public Class MyServiceAuthorizationManager
    Inherits ServiceAuthorizationManager
    
    Protected Overrides Function CheckAccessCore(ByVal operationContext As OperationContext) As Boolean 
        ' Extract the action URI from the OperationContext. Match this against the claims.
        ' in the AuthorizationContext.
        Dim action As String = operationContext.RequestContext.RequestMessage.Headers.Action
        
        ' Iterate through the various claimsets in the AuthorizationContext.
        Dim cs As ClaimSet
        For Each cs In  operationContext.ServiceSecurityContext.AuthorizationContext.ClaimSets
            ' Examine only those claim sets issued by System.
            If cs.Issuer Is ClaimSet.System Then
                ' Iterate through claims of type "https://www.contoso.com/claims/allowedoperation".
                Dim c As Claim
                For Each c In  cs.FindClaims("https://www.contoso.com/claims/allowedoperation", _
                     Rights.PossessProperty)
                    ' If the Claim resource matches the action URI then return true to allow access.
                    If action = c.Resource.ToString() Then
                        Return True
                    End If
                Next c
            End If
        Next cs 
        ' If this point is reached, return false to deny access.
        Return False
    
    End Function 
End Class 
public class MyServiceAuthorizationManager : ServiceAuthorizationManager
{
  protected override bool CheckAccessCore(OperationContext operationContext)
  {                
    // Extract the action URI from the OperationContext. Match this against the claims
    // in the AuthorizationContext.
    string action = operationContext.RequestContext.RequestMessage.Headers.Action;
    
    // Iterate through the various claim sets in the AuthorizationContext.
    foreach(ClaimSet cs in operationContext.ServiceSecurityContext.AuthorizationContext.ClaimSets)
    {
      // Examine only those claim sets issued by System.
      if (cs.Issuer == ClaimSet.System)
      {
        // Iterate through claims of type "https://www.contoso.com/claims/allowedoperation".
          foreach (Claim c in cs.FindClaims("https://www.contoso.com/claims/allowedoperation", Rights.PossessProperty))
        {
          // If the Claim resource matches the action URI then return true to allow access.
          if (action == c.Resource.ToString())
            return true;
        }
      }
    }
    
    // If this point is reached, return false to deny access.
    return false;                 
  }
}

参照

処理手順

承認ポリシー
承認ポリシー

リファレンス

ServiceAuthorizationManager