スクリプトでの承認ポリシー ストア オブジェクトの作成

承認ポリシー ストアには、アプリケーションまたはアプリケーションのグループのセキュリティ ポリシーに関する情報が含まれています。 この情報には、ストアに関連付けられているユーザーのアプリケーション、操作、タスク、ユーザー、グループが含まれます。 Authorization Manager を使用するアプリケーションが初期化すると、ストアからこの情報が読み込まれます。 承認ポリシー ストアは、そのシステムの管理者がストアに高いレベルでアクセスできるため、信頼されたシステム上に配置する必要があります。

Authorization Manager では、次の例に示すように、Active Directory ディレクトリ サービスまたは XML ファイルに承認ポリシーを格納できます。 Authorization Manager API では、承認ポリシー ストアは AzAuthorizationStore オブジェクトによって表されます。 例では、Active Directory ストアと XML ストアの AzAuthorizationStore オブジェクトを作成する方法を示します。

• Active Directory ストアの作成
• SQL Server ストアの作成
• XML ストアの作成

Active Directory ストアの作成

Active Directory を使用して承認ポリシーを格納するには、ドメインが Windows Server 2003 ドメイン機能レベルである必要があります。 承認ポリシー ストアは、 ドメイン以外の名前付けコンテキスト (アプリケーション パーティションとも呼ばれます) に配置できません。 ストアは、承認ポリシー ストア専用に作成された新しい組織単位の下にある Program Data コンテナーに配置することをお勧めします。 ストアを使用するアプリケーションを実行するアプリケーション サーバーと同じローカル エリア ネットワーク内にストアを配置することもお勧めします。

次の例は、Active Directory で承認ポリシー ストアを表す AzAuthorizationStore オブジェクトを作成する方法を示しています。 この例では、authmanager.com という名前のドメインに Program Data という名前の既存の Active Directory 組織単位があることを前提としています。

'  Create the store object.
Dim authStore
Set authStore = CreateObject("AzRoles.AzAuthorizationStore")

'  Initialize the store object.
authStore.Initialize 1, _
    "msldap://CN=MyStore, CN=Program Data,DC=authmanager,DC=com"

'  Save the information to the store.
authStore.Submit

SQL Server ストアの作成

Authorization Manager では、Microsoft SQL Server ベースの承認ポリシー ストアの作成がサポートされています。 SQL Serverベースの承認ストアを作成するには、プレフィックス MSSQL:// で始まる URL を使用します。 URL には、有効な SQL 接続文字列、データベース名、および承認ポリシー ストアの名前 **MSSQL:// ConnectionString/DatabaseName/**PolicyStoreName が含まれている必要があります。

SQL Serverのインスタンスに指定された Authorization Manager データベースが含まれていない場合、Authorization Manager はその名前の新しいデータベースを作成します。

Note

接続用に SQL 暗号化を明示的に設定するか、インターネット プロトコル セキュリティ (IPsec) を使用するネットワーク トラフィックの暗号化を設定しない限り、SQL Server ストアへの接続は暗号化されません。

 

次の例では、SQL Server データベース内の承認ポリシー ストアを表す AzAuthorizationStore オブジェクトを作成する方法を示します。

'  Create the store object.
Dim authStore
Set authStore = CreateObject("AzRoles.AzAuthorizationStore")

'  Initialize the store object.
authStore.Initialize 1, _ 
  "MSSQL://Driver={SQL Server};Server={AzServer};/AzDB/MyStore"

'  Save information to the store.
authStore.Submit

XML ストアの作成

Authorization Manager では、XML 形式の承認ポリシー ストアの作成がサポートされています。 XML ストアは、アプリケーションが実行されているのと同じコンピューター上に配置することも、リモートで格納することもできます。 XML ファイルを直接編集することはサポートされていません。 ポリシー ストアを編集するには、Authorization Manager MMC スナップインまたは Authorization Manager API を使用します。

承認マネージャーでは、XML ポリシー ストアの管理の委任はサポートされていません。 委任の詳細については、「 スクリプトでのアクセス許可の定義の委任」を参照してください。

次の例は、XML ファイル内の承認ポリシー ストアを表す AzAuthorizationStore オブジェクトを作成する方法を示しています。

'  Create the store object.
Dim authStore
Set authStore = CreateObject("AzRoles.AzAuthorizationStore")

'  Initialize the store object.
authStore.Initialize 1, "msxml://C:\MyStore.xml"

'  Save information to the store.
authStore.Submit