問題タブ [azman]

Enterprise LibraryのAzMan認証プロバイダーを使用してWinFormsアプリケーションから認証チェックを実行していますが、次のエラーが発生します。

パスワードを更新できません。現在のパスワードとして提供された値が正しくありません。（HRESULTからの例外：0x8007052B）（Microsoft.Practices.EnterpriseLibrary.Security.AzMan）

---

パスワードを更新できません。現在のパスワードとして提供された値が正しくありません。（HRESULTからの例外：0x8007052B）（Microsoft.Interop.Security.AzRoles）

AzManストアは、同じドメイン内の別のコンピューター上のADAMでホストされています。他のコンピューターやユーザーにはこの問題はありません。電話をかけるユーザーは、ADAMストアとAzManストアの両方への読み取りアクセス権を持っています。WinFormsアプリを実行しているコンピューターとADAMを実行しているコンピューターは、どちらもWindowsXPSP2上にあります。

解決する前にAzManでアクセスの問題が発生しましたが、これは新しいものです...何が欠けていますか？

AzMan XMLストアの相対接続文字列を指定することは可能ですか？

私の現在の接続文字列はですconnectionString="msxml://c:/azman.xml"が、他の開発者や自動ビルドが最新の認証ストアを取得できるように、実際に相対的なものにする必要があります。

MSのドキュメントは、それが機能するはずだと示唆しているようですが、それはエラーconnectionString="msxml://azman.xml"をスローしThe request is not supportedます。

編集：エンタープライズライブラリセキュリティアプリケーションブロックを介してAzManを使用しているという事実が質問にとって重要であることに気づきました。

アプリケーションの1つで承認マネージャーを使用しています。要件は、AzManストアをある場所から別の場所にコピーすることです。私のソースの場所はActiveDirectoryであり、宛先はxmlであり、これらの両方のパスがあります。

AzManストアを作成し、ソースリンクで初期化してオブジェクトのハンドルを取得すると、ソースストアアプリケーションのタスクの数にタスク+ロールが含まれているようです。それがAzManのバグなのか、それとも私が間違いを犯しているのか、誰かが指摘していただけませんか。

作成する新しいサービス (WCF、ADO.NET Data Services、おそらくクラウド内) を大量に設計し始めており、ポップアップする 1 つの質問は、どの認証および承認スキームを使用するかということです。少し！

基本的に、HTTP、HTTPS、TCP などのさまざまなプロトコルでユーザー (実際の人、および「仮想」アプリケーション/サービス ユーザー) を識別できるようにする必要があり、少なくとも一連の役割/許可をそれらに割り当てる必要があります。特定のデータを表示したり、特定の操作を実行したりします。

Windows グループ メンバーシップを単独で使用することは絶対にできません。サービスの外部コンシューマーが多数あり、内部ドメインにドメイン アカウントをセットアップする必要はありません。

したがって、主に3つのオプションがあると思います。

1. ASP.NET メンバーシップ システムの使用 - ユーザーを作成し、そこにロールを割り当てる
2. より粒度が高く、より成熟した、より精巧なシステムと思われる AzMan (承認マネージャー) を使用します (ユーザー、タスク、グループ - ユーザー + ロールだけでなく、3 つのレベル)
3. 私たち自身のロール

まず、この3つのうちどれがお勧めですか？なんで？

第二に、私が見逃しているオプションは他にありますか?

ヒント、ポインタ、意見をありがとう！

マルク

PS: これまでの回答を見て、オプション #3 に投票する人の数に驚いています。私は、MS がこれらすべての要件を処理できる再利用可能なものを設計できると考えていたでしょう....

AzMan 認証を使用して、さまざまなユーザーにさまざまな機能を付与する Web アプリケーションがあります。WatiN を使用して、Visual Studio Team System/TFS で実行される自動化された Web UI テストを実装し始めたところです。これを使用して、さまざまな承認シナリオを検証できるようにしたいと考えています。ただし、これを行うには、AzMan を介して (ダミーのテスト アカウントを使用して) さまざまな権限を付与されたさまざまなユーザーとして、さまざまなテストを実行できる必要があります。

AzMan 認証のテストを自動化した経験のある人はいますか?

TFS の下で異なるユーザーとして VS の "単体" テストを実行するのはどうですか?

ユーザーに関連する操作のリストを取得しようとしています。

私は AzMan を使用して、アプリケーションの承認規則を保存しています。

EntLib 4.1 SecurityApplicationBlocks またはその他の方法を使用して、ユーザーごとの操作のリストを取得するにはどうすればよいですか?

[C#]

ありがとう。

AzMan の 2 つのインスタンス間でデータを同期する方法を知っている人はいますか?

AzMan のテスト インスタンスでタスクと操作の大きなリストを作成しましたが、UAT のためにそれを別のサーバーに移動する必要があります。

私が見つけた最も近い解決策は一括インポート/エクスポートツールでしたが、それを実行する方法に関するドキュメントはありません:(

Microsoft AzMan を使用する Web アプリケーションを作成しましたが、複数のユーザーがいるまで問題なく動作します。私は、AzMan が複数のユーザーに対して同じものをキャッシュしていることをほぼ 100% 確信しています。

少し簡単にするために、私が見ている問題は、ユーザー A がサイトにアクセスしてフル アクセス権を持っていることです。ユーザーは正しいアクセス権を付与され、問題なく作業できます。次に、ユーザー B はサイトにアクセスし、表示アクセス権しかありませんが、AzMan は既にユーザー A のフル アクセス権を認識しているため、ユーザー B にもフル アクセス権を付与します。

クライアント コンテキストを作成するときに AddStringSids メソッドを使用しています。これは、あらゆる状況で機能する唯一のメソッドだからです。これに問題はありますか？トークンからクライアント コンテキストを作成していたときは、この問題はありませんでした。

以下は、コンテキストを作成するために使用している正確なコードです。app は IAzApplication2 変数であり、ClientContext.SID は問題のユーザーの SecurityIdentifier です。

EDIT：アプリケーションがロールを認識する必要があるため、ASP.Netロールプロバイダーはまったく使用していません。COM API のみを使用しています。

編集 2: また、ユーザー B が最初にログインした場合、ユーザー A はログイン時にアクセスできません。したがって、最高レベルのアクセスを維持しているだけではありません。

AD に Azman ストアがありますが、ASP.NET Web サーバーからアクセスできません。(Azman 構成ツールを使用して) Azman ストアに ASP.NET ネットワーク サービスのアクセス許可を付与する必要があると想定していますが、AD で ASP.NET サーバーのアカウントが見つかりません。

Network Service アカウントを使用するか、ASP.NET を再構成して、AD で見つけられるネットワーク アカウントを偽装する必要がありますか?

実行時に作成されるオブジェクトの役割ベースの承認にAzManを使用することは可能ですか？はいの場合、これはどのように行うことができますか？

例えば：

クラス「CustomAlert」のオブジェクトが実行時に作成される場合、クラス「CustomAlert」のオブジェクトごとに異なるルールを設定できるかどうかを確認しようとしています。特定のユーザーのIDを使用してオブジェクトが作成された場合、そのユーザーがオブジェクトの作成者/所有者であると見なすと、そのユーザーはより多くのアクセス許可を使用できます。作成者/所有者のみがオブジェクトを変更できます。