共用方式為

安全性整合摘要

  • 發行項

在本節的前幾個主題中,我們討論了 Windows Server AppFabric 資訊安全模型的主要部分,並檢驗 AppFabric 使用 Windows 安全性帳戶與群組的方式。AppFabric 將這些 Windows 安全性主體對應至 IIS 與 .NET Framework 安全性概念中,進而使用登入名稱與資料庫角色對應至 SQL Server 安全性。本主題簡單摘要 AppFabric 資訊安全模型如何整合上述所有支援的技術,以協助為應用程式提供安全的環境。

AppFabric 概念性角色

使用這些概念性角色,在設計您的安全性架構時,以邏輯方式配置使用者與適當的權限等級。

  • **應用程式伺服器使用者。**在 AppFabric 中執行之應用程式的應用程式集區身分識別。

  • **應用程式伺服器觀察者。**可檢視執行中應用程式之屬性與資訊的人員。

  • **應用程式伺服器系統管理員。**可管理或控制執行中應用程式以及協助應用程式執行之系統服務的人員。

Windows 安全性主體

AppFabric 概念性角色對應至 Windows 安全性群組。IIS_IUSRS、LOCALHOST\AS_Administrators 與 LOCALHOST\AS_Observers 群組只會在於本機電腦上安裝 IIS 與 AppFabric 時建立。

  • **IIS_IUSRS 群組。**IIS 在安裝過程中會建立這個現有的 Windows 安全性群組,並於執行階段動態填入。此群組包含 AppFabric 應用程式伺服器使用者概念性角色中的所有應用程式集區身分識別。此群組擁有將資料放入持續性儲存區以及產生追蹤資訊的權限。任何使用於應用程式集區的身分識別,將是 IIS_IUSRS 群組的成員。

  • **LOCALHOST\AS_Administrators 群組。**這個本機 Windows 安全性群組是 AppFabric 安裝程式代表您建立的。此群組的使用者對應至「AppFabric 應用程式伺服器系統管理員」概念性角色。您必須將需要執行 AppFabric 管理工作的使用者新增至此群組。

  • **LOCALHOST\AS_Observers 群組。**這個本機 Windows 安全性群組是 AppFabric 安裝程序代表您建立的。被指派此角色的任何使用者,都將被授與「應用程式伺服器觀察者」概念性角色的權限。

在網域環境中的多部電腦之間使用 AppFabric 時,最佳作法是為每個 AppFabric 概念性角色建立一個網域群組,以在該網域的多部 AppFabric 伺服器電腦上使用。被指派到這些群組的使用者會被授與和每個概念性角色關聯的權限,但為網域範圍等級。在建立這些網域 Windows 安全性群組之後,請根據 AppFabric 存取權與功能需求新增網域使用者帳戶。雖然您能以想要的方式命名,但指定具識別性的名稱較有意義,例如 “DOMAIN\MyAppFabricAdmins” 與 “DOMAIN\MyAppFabricObservers” 群組。在本機 AppFabric 伺服器中,這些網域帳戶位於 LOCALHOST\AS_Administrators 群組中。

如需有關 AppFabric 如何使用 Windows 安全性的詳細資訊,請參閱 Windows 安全性

IIS 與 .NET Framework 安全性

設定為在「混合傳輸」模式執行時,應用程式會使用部分的 IIS 安全性。但是,在該模式中,應用程式的安全性相關行為會較偏向於 .NET Framework 與 WCF,而非 IIS 安全性。如果該相同應用程式設定為在 ASP.NET 相容模式執行,它會更大量使用 IIS 驗證,而忽略 WCF 安全性。這個部分的 AppFabric 資訊安全模型與驗證用戶端和指派給應用程式網域的身分識別有關,或是與主控應用程式以存取 SQL Server 後端資料的程序有關。如需詳細資訊,請參閱 IIS 與 .NET Framework 安全性

SQL Server 登入名稱與資料庫角色

AppFabric 概念性角色對應至 SQL Server 資料庫安全性角色,進而對應至下列 Windows 安全性群組:

  • **AS_Administrators。**對應至本機 LOCALHOST\AS_Administrators 群組帳戶,此群組的使用者來自「AppFabric 應用程式伺服器系統管理員」概念性群組。AS_Administrators 登入名稱會被指派給管理持續性與監控儲存區所需的 SQL Server 資料庫角色。

  • **AS_Observers。**對應至本機 LOCALHOST\AS_Observers 群組帳戶,此群組的使用者來自「AppFabric 應用程式伺服器觀察者」概念性群組。AS_Observers 登入名稱會被指派給觀察 (而非管理) 持續性與監控儲存區所需的 SQL Server 資料庫角色。

  • **IIS_IUSRS。**對應至本機 BUILTIN\IIS_IUSRS 群組帳戶,此群組的使用者來自「AppFabric 應用程式伺服器使用者」概念性群組。IIS_IUSRS 登入名稱會被指派給以此登入帳戶執行,以在執行階段存取持續性和監控儲存區之任一應用程式所需的 SQL Server 資料庫角色。

AppFabric 概念性角色對應至 SQL Server 資料庫角色,權限組態類似其對應之登入名稱的權限組態。例如,AS_Administrators 登入帳戶的存取權限大於 AS_Observers 登入帳戶。如需有關這些登入名稱被指派之特定資料庫角色與權限的詳細資訊,請參閱 SQL Server 安全性的<SQL Server 登入>一節。

security安全性 注意
提供非 SQL Server 資料庫儲存區實作的協力廠商,必須將其資訊安全模型對應至 AppFabric 概念性角色。

  2011-12-05