Вкладка "Безопасность" средства администрирования веб-узла
Обновлен: Ноябрь 2007
Вкладка Безопасность средства администрирования веб-узла используется для управления правилами защиты конкретных ресурсов веб-приложения. ASP.NET использует систему безопасности, позволяющую ограничить доступ отдельных учетных записей пользователей или ролей, которым принадлежат учетные записи пользователей. С помощью вкладки Безопасность можно управлять учетными записями пользователей, ролями и правилами доступа для веб-узла. Перед использованием вкладки Безопасность в первый раз необходимо настроить основные параметры безопасности для веб-узла с помощью Мастера настройки безопасности.
Безопасность ASP.NET основана на понятиях учетных записей пользователей, ролей и правил доступа и позволяет разрешать доступ к ресурсам веб-приложений только указанным учетным записям пользователей. Параметры безопасности устанавливаются с помощью сочетания параметров конфигурации и данных, хранящихся в базе данных (или другом хранилище данных). Созданные учетные записи пользователей и роли хранятся в базе данных, а правила доступа хранятся в файле Web.config.
Можно настроить приложение для использования следующих типов защиты, в зависимости от того, как будет использоваться веб-узел:
Проверка подлинности на основе форм (из Интернета).
Проверка подлинности на основе форм используется для веб-узлов, которые доступны в Интернете. Проверка подлинности на основе форм использует систему членства ASP.NET для управления отдельными учетными записями пользователей и группами учетных записей (ролями). Сведения об учетных записях пользователей хранятся в локальной базе данных или в базе данных Microsoft SQL Server. Для создания страницы входа, в которой пользователи могут указать свои учетные данные, можно использовать элементы управления входа в систему ASP.NET.
Встроенная проверка подлинности Microsoft Windows (из локальной сети).
Проверка подлинности Windows взаимодействует с безопасностью Windows, используя учетные данные входа в систему, которые пользователи предоставляют при входе в систему Windows. Таким образом, проверка подлинности Windows подходит для сценариев интрасети, где пользователи входят в сеть на основе Windows. Нет необходимости создавать страницу входа в систему, поскольку пользователи автоматически войдут в приложение с их учетными данными Windows.
В разделе Пользователи вкладки Безопасность выполняются следующие задачи:
создание, редактирование и удаление учетных записей зарегистрированных пользователей для веб-узла;
просмотр списка всех учетных записей зарегистрированных пользователей для веб-узла;
изменение метода проверки подлинности, который используется веб-узлом.
.gif "Примечание") Примечание. |
|---|
Можно создавать учетные записи пользователей и управлять ими, если в качестве типа проверки подлинности был выбран параметр из Интернета (если используется проверка подлинности на основе форм). Если в качестве типа проверки подлинности был выбран параметр из локальной сети (при использовании встроенной проверки подлинности Windows), то управлять учетными записями отдельных пользователей невозможно. Если изменить тип проверки подлинности, то все данные пользователей, которые были созданы, будут потеряны. Кроме того, правила доступа могут перестать работать так, как были настроены. В целом следует выбирать тип проверки подлинности только при первой настройке веб-узла. |
В разделе Роли вкладки Безопасность можно группировать учетные записи пользователей, что упрощает выдачу разрешений (авторизацию).
В разделе Правила доступа вкладки Безопасность можно разрешить или запретить доступ к указанным страницам отдельным учетным записям пользователей или тем учетным записям пользователей, которые принадлежат определенной роли. Как правило, доступ к страницам некоторых учетных записей пользователей ограничивается с помощью правил доступа.
Создание пользователей
Можно создавать учетные записи и управлять ими, если выбран тип проверки подлинности из Интернета (проверка подлинности форм). Чтобы изменить тип проверки подлинности, нажмите Выбор типа проверки подлинности.
Создание учетных записей пользователей
Нажмите Создать пользователя, а затем укажите следующие сведения:
Имя пользователя
Введите имя для создаваемой учетной записи пользователя.
Пароль
Введите пароль для имени пользователя. В паролях учитывается регистр знаков.
Подтверждение пароля
Еще раз введите пароль.
Электронная почта
Введите адрес электронной почты для имени пользователя.
Средство администрирования веб-узла не проверяет правильность введенного адреса электронной почты, но проверяет, соответствует ли он правильному формату адреса электронной почты.
Контрольный вопрос
Введите вопрос, который будет задаваться пользователю, когда ему понадобится задать новый или восстановить старый пароль.
Ответ на контрольный вопрос
Введите ответ на контрольный вопрос.
Активный пользователь
Выберите этот параметр для включения данной учетной записи пользователя в качестве активного (текущего) пользователя узла. Если это параметр не выбран, то сведения о пользователе сохраняются в базе данных, но пользователь не может войти на веб-узел.
Роли
Выберите роли для имени пользователя. Сами роли создаются отдельно. Дополнительные сведения см. в следующем разделе.
Создание ролей
Создание ролей
На вкладке Безопасность выберите Включить роли.
Выберите Создание ролей или управление ими.
В поле Имя новой роли введите имя создаваемой роли, например Администратор, Член или Гость, а затем нажмите кнопку Добавить роль.
Добавление учетных записей пользователей в роль
На вкладке Безопасность нажмите Управление пользователями, а затем выберите Изменение параметров пользователя.
В группе Роли выберите роли для учетной записи пользователя.
Создание правил доступа
Создание правил доступа
На вкладке Безопасность выберите Создание правил доступа.
Укажите следующие параметры:
Задайте каталог для данного правила
Здесь можно выбрать, будет ли создаваемое правило применяться ко всему узлу или к конкретному подкаталогу. Следует в отображении структуры каталогов для веб-узла указать каталог, к которому должно применяться данное правило.
В группе Правило применяется к укажите, как должно применяться это правило.
Роль
Нажмите Роль и выберите в открывшемся списке имя роли, к которому должно применяться создаваемое правило доступа.
Пользователь
Нажмите Пользователь, а затем введите имя учетной записи пользователя, к которой должно применяться создаваемое правило доступа. Если используется членство ASP.NET (т. е. если выбран тип проверки подлинности из Интернета), можно также использовать средство «Поиск пользователей».
Все пользователи
Выберите этот параметр, чтобы правило доступа применялось ко всем посетителям веб-узла.
Примечание.Будьте внимательны при создании правила с параметром Все пользователи. Поскольку правила применяются по порядку, можно непреднамеренно создать правило, которое запрещает всем пользователям доступ к папке.
Анонимные пользователи
Выберите этот параметр, чтобы данное правило применялось только к учетным записям анонимных (незарегистрированных) пользователей.
Обычно параметр Анонимные пользователи выбирается для того, чтобы ограничить (запретить) доступ пользователям, которые не вошли в систему.
Разрешение
Выберите Разрешить, чтобы разрешить указанной учетной записи пользователя или роли доступ к определенному каталогу.
Выберите Запретить, чтобы запретить указанной учетной записи пользователя или роли доступ к определенному каталогу.
Например, чтобы запретить не вошедшим в систему (анонимным) пользователям просматривать страницы в папке, щелкните эту папку и последовательно выберите Анонимные пользователи и Запретить.
В некоторых случаях для установки правильных разрешений можно создать несколько правил для одной папки. Например, можно создать одно правило, которое запрещает доступ для анонимных учетных записей, и второе правило, которое запрещает доступ для учетных записей пользователей с ролью «Гость». Таким образом, доступ к этой папке получают только пользователи, вошедшие в систему и не входящие в группу «Гость».
Что происходит внутри
Средство администрирования веб-узла осуществляет управление сведениями для обеспечения безопасности в следующих двух местах:
В файле Web.config в корневом каталоге веб-узла.
В базе данных поставщика узла, которая используется для хранения сведений о пользователях и группах.
Параметры Web.config
Параметры файла Web.config, управление которыми осуществляется с помощью вкладки Безопасность, представляют собой разделы <authorization>, <roleManager> и <authentication>.
В следующем примере приведен файл Web.config, который создается средством администрирования веб-узла в ограниченном для доступа подкаталоге этого веб-узла. Доступ к ограниченному подкаталогу разрешен для администраторов и запрещен для анонимных пользователей.
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<system.web>
<authorization> <allow roles="administrators" /> <deny users="?" /> </authorization>
</system.web>
</configuration>
База данных
При использовании поставщика данных по умолчанию средство администрирования веб-узла создает записи в базе данных ASP.NET по умолчанию. По умолчанию средство администрирования веб-узла создает базу данных в папке App_Data этого веб-узла. Однако с помощью вкладки Поставщик можно указать, что данные приложения, относящиеся к учетным записям пользователей и ролям, должны сохраняться в другой базе данных (например можно задать извлечение сведений о роли из пользовательской базы данных Windows). Подробные сведения см. в разделе Вкладка "Поставщик" средства администрирования веб-узла.
Дополнительные сведения
Дополнительные сведения о параметрах, которыми можно управлять на вкладке Безопасность, см. в следующих разделах документации по .NET Framework:
См. также
Основные понятия
Общие сведения о средстве администрирования веб-узла
Вкладка "Приложение" средства администрирования веб-узла