Добавление авторизации <безопасности>
Общие сведения
Элемент <add><authorization> коллекции определяет правило авторизации, которое разрешает или запрещает доступ для указанных пользователей, групп, анонимных пользователей или всех пользователей.
Атрибут accessType указывает один из двух типов правил авторизации:
- Правила разрешения позволяют определять учетные записи пользователей или группы пользователей, которые могут получать доступ к сайту, приложению или всем сайтам на сервере.
- Правила запрета позволяют определять учетные записи пользователей или группы пользователей, которые не могут получить доступ к сайту, приложению или ко всем сайтам на сервере.
Кроме того, правила авторизации могут быть нацелены на список HTTP-команд и конкретных пользователей или групп.
Совместимость
| Версия | Примечания |
|---|---|
| IIS 10.0 | Элемент <add> не был изменен в IIS 10.0. |
| IIS 8,5 | Элемент <add> не был изменен в IIS 8.5. |
| IIS 8,0 | Элемент <add> не был изменен в IIS 8.0. |
| IIS 7,5 | Элемент <add> не был изменен в IIS 7.5. |
| IIS 7.0 | Элемент <add> коллекции появился <authorization> в IIS 7.0. |
| IIS 6,0 | Коллекция <authorization> заменяет свойства метабазы AzEnable, AzStoreName, AzScopeName и AzImpersonationLevel IIS 6.0. |
Настройка
Для поддержки и настройки авторизации для сайтов и приложений на веб-сервере необходимо установить модуль авторизации по URL-адресу. Для этого выполните следующие действия.
Windows Server 2012 или Windows Server 2012 R2
- На панели задач щелкните Диспетчер сервера. — В диспетчер сервера откройте меню Управление и выберите пункт Добавить роли и компоненты. — В мастере добавления ролей и компонентов нажмите кнопку Далее. Выберите тип установки и нажмите кнопку Далее. Выберите целевой сервер и нажмите кнопку Далее. — На странице Роли сервера разверните узел Веб-сервер (IIS),веб-сервер, безопасность, а затем выберите Авторизация URL-адресов. Щелкните Далее.
. — На странице Выбор компонентов нажмите кнопку Далее. — На странице Подтверждение выбора установки нажмите кнопку Установить. — На странице Результаты нажмите кнопку Закрыть.
Windows 8 или Windows 8.1
- На начальном экране переместите указатель в левый нижний угол, щелкните правой кнопкой мыши кнопку Пуск и выберите панель управления. — В панель управления выберите Программы и компоненты, а затем — Включить или отключить компоненты Windows. — Разверните службы IIS, веб-службы, безопасность, а затем выберите Авторизация ПО URL-адресу.
- Нажмите кнопку ОК. - Щелкните Закрыть.
Windows Server 2008 или Windows Server 2008 R2
- На панели задач нажмите кнопку Пуск, выберите Администрирование, а затем диспетчер сервера. — В области иерархии диспетчер сервера разверните узел Роли и щелкните Веб-сервер (IIS). — На панели Веб-сервер (IIS) прокрутите страницу до раздела Службы ролей и щелкните Добавить службы ролей. — На странице Выбор служб ролеймастера добавления служб ролей выберите Авторизация ПО URL-адресу и нажмите кнопку Далее.
— На странице Подтверждение выбора установки нажмите кнопку Установить. — На странице Результаты нажмите кнопку Закрыть.
Windows Vista или Windows 7
- На панели задач нажмите кнопку Пуск, а затем панель управления. — В панель управления выберите Программы и компоненты, а затем — Включение или отключение компонентов Windows. — Разверните узел Службы IIS, выберите Авторизация URL-адресов и нажмите кнопку ОК.
Инструкции
Добавление правила авторизации
Откройте диспетчер служб IIS:
Если вы используете Windows Server 2012 или Windows Server 2012 R2:
- На панели задач щелкните диспетчер сервера, выберите Сервис, а затем диспетчер служб IIS.
Если вы используете Windows 8 или Windows 8.1:
- Удерживая нажатой клавишу Windows, нажмите букву X и щелкните панель управления.
- Щелкните Администрирование, а затем дважды щелкните Диспетчер служб IIS.
Если вы используете Windows Server 2008 или Windows Server 2008 R2:
- На панели задач нажмите кнопку Пуск, наведите указатель на пункт Администрирование, а затем выберите Пункт Диспетчер служб IIS.
Если вы используете Windows Vista или Windows 7:
- На панели задач нажмите кнопку Пуск, а затем панель управления.
- Дважды щелкните Администрирование, а затем дважды щелкните Диспетчер служб IIS.
В области Подключения разверните имя сервера, узел Сайты, а затем перейдите к сайту или приложению, для которого требуется настроить авторизацию.
На панели Главная дважды щелкните Правила авторизации.
Чтобы добавить новое правило авторизации, в области Действия щелкните Добавить разрешающее правило... или Добавить запретное правило...
Примените параметры авторизации, необходимые для сайта или приложения, и нажмите кнопку ОК. Например:
Пример 1. Добавление правила разрешить для всех пользователей для определенных HTTP-команд:
Пример 2. Добавление правила запрета для определенного пользователя для всех HTTP-команд:
Примечание
Чтобы изменить или удалить существующее правило, выберите его в области Правила авторизации , а затем нажмите кнопку Изменить или Удалить в области Действия . Если нажать кнопку Изменить... , появится диалоговое окно, позволяющее изменить правило; Это диалоговое окно похоже на диалоговые окна Добавление правила разрешения авторизации и Добавление правила запрета авторизации .
Конфигурация
Атрибуты
| Атрибут | Описание | ||||||
|---|---|---|---|---|---|---|---|
accessType |
Обязательный атрибут Enum. Атрибут accessType может быть одним из следующих возможных значений.
|
||||||
roles |
Необязательный строковый атрибут. Задает роли для правила авторизации. |
||||||
users |
Необязательный строковый атрибут. Указывает пользователей для правила авторизации. В список, разделенный запятыми, можно добавить нескольких пользователей. Кроме того, определены следующие специальные идентификаторы.
|
||||||
verbs |
Необязательный строковый атрибут. Указывает HTTP-команды для правила авторизации. Если это значение оставить пустым или не указано, правило будет применяться ко всем HTTP-командам. |
Дочерние элементы
Отсутствует.
Образец конфигурации
В следующем примере конфигурации при добавлении в файл Web.config удаляются параметры авторизации IIS по умолчанию, что позволяет всем пользователям получать доступ к содержимому веб-сайта или приложения. Затем настраивается правило авторизации, которое разрешает доступ к содержимому только пользователям с правами администратора.
<configuration>
<system.webServer>
<security>
<authorization>
<remove users="*" roles="" verbs="" />
<add accessType="Allow" users="" roles="Administrators" />
</authorization>
</security>
</system.webServer>
</configuration>
Пример кода
В следующих примерах добавляется правило разрешения авторизации, которое разрешает пользователям в группе администраторов доступ к веб-сайту Contoso.
AppCmd.exe
appcmd.exe set config "Contoso" -section:system.webServer/security/authorization /+"[accessType='Allow',roles='administrators']"
Примечание
При необходимости можно задать для параметра фиксации значение apphost при использовании AppCmd.exe для настройки этих параметров. Это зафиксирует параметры конфигурации в соответствующем разделе расположения в файле ApplicationHost.config вместо файла Web.config.
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetWebConfiguration("Contoso");
ConfigurationSection authorizationSection = config.GetSection("system.webServer/security/authorization");
ConfigurationElementCollection authorizationCollection = authorizationSection.GetCollection();
ConfigurationElement addElement = authorizationCollection.CreateElement("add");
addElement["accessType"] = @"Allow";
addElement["roles"] = @"administrators";
authorizationCollection.Add(addElement);
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetWebConfiguration("Contoso")
Dim authorizationSection As ConfigurationSection = config.GetSection("system.webServer/security/authorization")
Dim authorizationCollection As ConfigurationElementCollection = authorizationSection.GetCollection
Dim addElement As ConfigurationElement = authorizationCollection.CreateElement("add")
addElement("accessType") = "Allow"
addElement("roles") = "administrators"
authorizationCollection.Add(addElement)
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Contoso";
var authorizationSection = adminManager.GetAdminSection("system.webServer/security/authorization", "MACHINE/WEBROOT/APPHOST/Contoso");
var authorizationCollection = authorizationSection.Collection;
var addElement = authorizationCollection.CreateNewElement("add");
addElement.Properties.Item("accessType").Value = "Allow";
addElement.Properties.Item("roles").Value = "administrators";
authorizationCollection.AddElement(addElement);
adminManager.CommitChanges();
VBScript
Set adminManager = CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST/Contoso"
Set authorizationSection = adminManager.GetAdminSection("system.webServer/security/authorization", "MACHINE/WEBROOT/APPHOST/Contoso")
Set authorizationCollection = authorizationSection.Collection
Set addElement = authorizationCollection.CreateNewElement("add")
addElement.Properties.Item("accessType").Value = "Allow"
addElement.Properties.Item("roles").Value = "administrators"
authorizationCollection.AddElement(addElement)
adminManager.CommitChanges()