問題タブ [netsqlazman]

C＃を介してNetsqlazmanのユーザーのすべてのアプリケーショングループを見つけることは可能ですか？

アプリケーションで承認を管理するためにNetSqlAzManを使用しています。

私のアプリケーションでは、レコード レベルで承認を管理したいと考えています。ユーザー/グループが記録に基づいて操作を実行することを許可/拒否します (注文、顧客など) #number

NetSqlAzMan でのこのような問題の解決策は属性を使用していることを認識しており、それがどのように機能するかをテストするために小さなプロジェクトを設定しました。私のアプリケーションは次のようになります。

DB ユーザー:

• ジョン
• ボブ

役割:

• 管理者
• 販売
• マーケティング

タスク:

• CreateOrder
• UpdateOrder
• 注文の削除
• プリント注文

認可の例:

Sales役割を に許可したいUpdateOrderが、同時に拒否するUpdateOrder(属性: OrderNum=12)。

(属性: )を許可Bobし、PrintOrder(属性: )から拒否しOrderNum=13たいBobPrintOrderOrderNum=16

どちらの場合も、 I forまたは forに関係Denyなく、 allow 承認をオーバーライドする承認になります。CheckedAccess(Sales,UpdateOrder)(Bob,PrintOrder)

属性ごとに取得する方法はありAuthorizationTypeますか、それとも変更が必要ですか。

NetSqlAzMan プロジェクトの元の (および/または現在の) 動機について、「行間を読む」ことを試みてきました。

これは何のために書かれたのですか？

1. Windows Authorization Manager (AzMan) 用のアダプター。NetSqlAzMan のメソッドは (Windows Authorization Manager (AzMan)) に呼び出しを渡すだけですが、おそらくより適切でクリーンなメソッドを使用していますか?

2. (Windows Authorization Manager (AzMan)) の代替。(Windows Authorization Manager (AzMan)) で利用可能な (ほとんどまたはすべての) 機能は NetSqlAzMan で再作成されますが、コードは個別に開発されました。(おそらく DotNet 4.0 サポートを提供するため???) (おそらく、COM 依存関係を削除するため)

3. (Windows Authorization Manager (AzMan)) よりも多くの機能を提供するため。別名、(Windows Authorization Manager (AzMan)) の "よりスマートな"/"より優れた" バージョン。

4. 書き直すだけでなく、オープンソースを通じて半ば死んでいるプロジェクトを存続させること。(たとえば、(Windows Authorization Manager (AzMan))) は、Microsoft によって終了または放棄されたプロジェクトです)。

5. 他の？

...............

NetSqlAzMan のオブジェクト モデルが気に入っています。しかし、プロジェクト マネージャーや他の開発者に対して、それを使用するという決定を弁護する必要があります。オブジェクト モデルは、私がセキュリティに望む限り、「ちょうどいい」ように見えます (ゴルディロックスとミドル ベッドを考えてください)。役割ベースのセキュリティを行いたくありません。権限 (またはタスクまたは許可) ベースのセキュリティが必要です。

(参照: http://lostechies.com/derickbailey/2011/05/24/dont-do-role-based-authorization-checks-do-activity-based-checks/ および http://granadacoder.wordpress.com/ 2010/12/01/rant-hard-coded-security-roles/ )

基本的に出てきた質問は、「(Windows Authorization Manager (AzMan)) の代わりに NetSqlAzMan を使用する利点は何ですか?」というものです。

サブ質問は「Windows Authorization Manager (AzMan) は死んでいますか?」です。(そして、Long Live NetSqlAzMan! に沿った何か)。

...................

私の一般的な要件は次のとおりです。

非 Active Directory ユーザー。(将来的には、Active Directory や LDAP のサポートがあればよいのですが、必須ではありません)。プレーン テキストとして保存されていないパスワード。セキュリティ チェックの RIGHTS を処理できる。
権限を任意の役割の下にグループ化します。ユーザーにロールを割り当てます。(ただし、コードは、アクションを実行するときにロールではなく、権限をチェックします。) (場合によっては) ユーザーに権限を割り当てることを許可します。Deny オーバーライドあり。（別名、愚かなこと（「従業員の削除」など）を行う単一のユーザーは、その権利を取り消すことができます。）複数のアプリケーションに対して役割と権利を維持できます。

したがって、他のアイデアは大歓迎です。しかし、Windows Identity Foundationは少しやり過ぎのように思えます。

ありがとう。

アプリケーションでの認証と承認に Net Sql AZMan を使用しています。更新用のタスクを定義し、注文情報を更新する操作を行っています。今、私はこれを承認したいと思います: すべてのユーザーは、編集者の役割にあるときに注文の情報を更新できますが、注文の ID が ('X' など) の場合、注文の情報を更新することはできません。たとえば、管理者ロールのユーザーのみが注文情報を更新できます。

Net SQL AzMan の設定はすべて「OR」ベースのようです。

例えば：

操作に 3 つの (許可された) アプリケーション グループを追加する場合、操作の権限を持つユーザーは、最初または 2 番目または 3 番目にいる必要があります。

ユーザーが (最初と 2 番目) または (最初と 3 番目) にいる必要があると言う方法を探しています。

それを行う方法はありますか？

理由:
部門から部門へと移動するにつれて権限が雪だるま式に変化するユーザーがいます。Active Directory 部門ごとに 1 つの役割を設定したいと考えています (上記の例では「最初の」)。上記のロジックを機能させることができれば、ユーザーが部門を変更すると、以前の部門のアクセス許可が失われます (上司が怠け者で、AzMan が更新されていない場合でも)。

AzMan でこれを機能させることができない場合は、自分のアプリで機能させることができます。しかし、AzMan レベルでははるかに簡単です。

私の ASP.Net Framework 4 Web アプリケーション プロジェクト (VS 2010) では、SqlTableProfileProvider ( http://www.asp.net/downloads/sandbox/table-profile-provider-samples ) を使用しています。FirstName、LastName、FavoritePizzaTopping などの一連のカスタム プロパティで非常にうまく機能しています。

ただし、ArrayList、List、Dictionary、または Collection (推奨される方) 型の多値プロファイル プロパティを実装したいと考えています。

プロパティは、ユーザーに関連付けられたブランドのリストを保存します。データベースに UserId と BrandId を格納するテーブルがありますが、この概念を実装する方法がわかりません。

http://msdn.microsoft.com/en-us/library/d8b58y5d(v=vs.100).aspxを見ましたが、私のプロパティは web.config で定義されておらず、 ProfileCommon : ProfileBase 内で定義されています。

解決策は SqlProfileProvider.cs 内にあると思いますが、実装方法がわかりません。そのファイルからの 2 つの方法を次に示します (ファイル全体を投稿したはずですが、制限がありました)。

web.config の関連セクションは次のとおりです。

StackOverflow の誰かがすでにこのようなものを実装しているか、正しい方向に向けてくれることを願っています。

ありがとうございました！

認証に Microsoft AzMan を使用するレガシー製品に取り組んでいます。最近、Windows Server 2012 R2 への移行の一環として、重大な変更により AzMan が削除されたことを示していることがわかりました。

http://technet.microsoft.com/en-us/library/dn303411.aspx

しかし、Windows Server 2012 R2 のインストール後も、AzMan が存在することがわかりました。私は今少し混乱しています。

私の質問: 1. AzMan は、数日中に Microsoft によって実際に削除されますか (まだ Windows Server 2012 R2 に含まれていない場合)? 2. はいの場合、AzMan の最良の代替手段は何ですか。

AzMan の代替としてNetSqlAzManも確認し ました。本当に面白そうです。NetSqlAzMan を既に使用している人はいますか? 欠点はありますか？