問題タブ [security-roles]

わかった、

私は何か間違ったことをしていることを知っています - しかし、より良い方法を理解することはできません. ユーザーが独自のミニ Web サイトをセットアップできるようにする Web サイトを開発しています。

ニンのようなもの。また、基本的なログインは 1 つしかなく、各ミニ Web サイトへのアクセスは (現在) 役割を介して提供されています。

だから私が今これをやっている方法は次のとおりです：

新しいミニ Web サイトが作成されるたびに、アプリケーションで 2 つのロールを作成します。 blah_usersとblah_admin

ミニ Web サイトを作成しているユーザーには役割 - blah_admin が与えられ、このミニ Web サイト (またはネットワーク) に参加したい他のすべてのユーザーには役割 - blah_user が与えられます。

誰でも、どの Web サイトからでもデータを表示できます。ただし、データを追加するには、そのミニ サイトのメンバーである必要があります (blah_user ロールが割り当てられている必要があります)。

私が直面している問題は、役割ベースのシステムを使用することで、手作業で多くの作業を行う必要があることです。User.IsAunthenticated プロパティで動作する Asp.Net 2 コントロールは、IsAuthenticated プロパティとともに、ユーザーが適切な役割を持っているかどうかも確認する必要があるため、基本的に役に立たなくなりました。

システムを構築するためのより良い方法があると思いますが、その方法はわかりません。何か案は？

この Web サイトは、IIS 6 上の ASP.Net 2 で開発されています。ありがとうございます!

J2EEサーバー上にさまざまなセキュリティロールを持つさまざまなEJBがあります。

ここで、Java Swingクライアントアプリケーションから、ユーザーをサーバーにログオンするときに、実際に作成したり呼び出したりせずに、ユーザーがアクセスできるEJBを見つけたいと思います。

これを実行する理由は、使用可能なEJBに応じてユーザーインターフェイスを調整するためです。

たとえば、「AdministerMetadata」EJBが現在のユーザーによって使用可能である場合、メタデータなどを管理するためのメニューオプションを表示したいと思います。

クライアント内の既知のEJBの事前定義されたリストからクエリを実行することは許容されるため、そのように完全に動的である必要はありません。

このアクセス情報を返すためだけに特別なEJBを作成したくはありません。また、検出を行うためにメソッドを呼び出して例外をキャッチしようとする必要を避けたいと思います。

JBossでソリューションを使用することを計画していますが、可能であれば標準ソリューションを使用したいと思います。

これは可能ですか？もしそうなら、どのように？

現在のイントラネット環境は少し古くなっています。現在のスタックには、SQL 2000 データベースに対してクエリを実行する ASP.NET 1.1/2.0 アプリケーションがあります。

役割のセキュリティのために、ユーザーが追加されるサーバーにはユーザー グループがあります (そのため、テスト マシンと運用マシンのグループに追加する必要があります)。これらのユーザー グループは、SQL 2000 自体のユーザー ロールに同期されます。アクセス違反を防止するために、必要に応じてストアド プロシージャへの実行権限がロールに付与されます。

Web アプリケーション レベルでは、基本認証 (Active Directory に対して認証) を使用し、ID の偽装を有効にします。データベースへの接続文字列は統合セキュリティを使用します。これにより、ユーザーがログインしたときに Web アプリケーションがデータベースに接続する環境が作成され、呼び出されるストアド プロシージャにデータベース セキュリティが適用されます。また、典型的な User.IsInRole() メソッドを使用して、アプリケーション自体内で承認を実行することもできます。

これにはいくつかの問題があります。1 つ目は、サーバー管理者のみがマシン上のユーザー グループにアクセスできるため、ロール セキュリティの更新やユーザーの追加は、アプリケーション管理者の手に負えません。さらに、ロールを取得する唯一の方法は、SQL 2005 でロックダウンされている「xp_logininfo」という SQL プロシージャを呼び出すことでした。完全な詳細はわかりませんが、DBA によると、この一般的なモデルは機能しないとのことです。新しいバージョンのスキーマの性質を考えると、SQL 2005 に適しています。

これで、環境を更新する準備が整いました。AJAX をさらに活用するために .NET 3.5 アプリを作成しており、SQL Server 2005 がデータベースの主要な環境です。セキュリティ モデルも更新して、アプリケーション管理者にとってもう少し柔軟にし、Active Directory をさらに活用できるようにすることを検討しています。

また、特定のユーザーが複数のアプリケーションにアクセスできる可能性が高いという懸念もあります。そのため、必要に応じてユーザーを簡単に削除できるように、何らかの集中型ソリューションを用意することが最適です。

この種の環境で役割のセキュリティを維持するためのベスト プラクティスは何ですか?

共有ログインページを使用して、それぞれが個別のディレクトリにアクセスできる（つまり、管理者ユーザーは/ adminにアクセスでき、買い物客は/ shopにアクセスできます）複数の役割を持つASP.NetWebサイトがあります。誰かがアクセスできないディレクトリに設定されたリターンURLを使用してログインページにアクセスした場合（たとえば、買い物客が/login.aspx?returnurl=/admin/index.aspxにアクセスした場合）、ユーザーは正常に認証できます（ログイン資格情報は有効）ですが、最終的にはログインページに戻ります（要求したページにアクセスできません）。

これを取得して、ユーザーにメッセージを表示できるようにするにはどうすればよいですか？

IIS 7 でホストされている wcf サービスを構成して、定義されたユーザー/グループのみがアクセスできるようにする方法。

既存の構成:

次に、web.config またはファイルまたはフォルダーのファイル システムでアクセス許可 (ユーザーまたはグループ) を構成します。

ユーザーが 2 つの異なるロールのメンバーでない限り、特定の URL へのアクセスを制限したいと考えています。この場合、ユーザーがレポートとアーカイブの両方の役割を持っている場合にのみ、この URL へのアクセスを許可したいと考えています。ASP.net でこれを行う方法はありますか?

私はこのようなものが欲しい：

すべてのユーザーではなく、一部のユーザーに Web パーツを公開したいと考えています。[Web パーツの追加] ポップアップ ウィンドウで Web パーツを表示または非表示にするにはどうすればよいですか? これをコードで実行したいと考えており、SharePoint ロールを使用してこれを実現したいと考えています。

前提条件:

Delphi32 で書かれたクライアント/サーバー アプリケーションがあります。RDBMS は SQL Server 2005 です。特定のアプリケーション機能では、ターゲット データベースで (アドホック DDL ステートメントを使用してアプリケーションから) トリガーを作成/削除する必要があります。

問題：

ユーザーがロール sysadmin に属している場合、トリガーの作成/削除に問題はありません。ただし、これはアプリケーション ユーザーにとって許容範囲が広すぎると見なされます。

質問:

• トリガーの作成/削除に使用できる標準の最小 (つまり、最も制限の厳しい) SQL Server ロールは何ですか?
• 標準の役割を使用するのではなく、カスタムの役割を作成することは、この問題を解決するためのよりきめ細かいアプローチになりますか?

私は ASP.NET セキュリティ モデルを実装し、web.config でユーザーの役割に基づいてユーザーへのアクセスを許可/拒否しています。

アクセスできないページにアクセスしようとすると、ログインするように求められますが、すでにログインしています。もう一度ログインしようとすると、正しいログイン コントロールがないため、ログイン コントロールが表示されます。私の役割に基づいた権限ですが、ユーザーにより意味のあるメッセージを表示するにはどうすればよいですか。「このページを表示するための十分な権限がありません。」ログインコントロールだけではありませんか？