問題タブ [security-roles]

ログインの作成に必要なサーバーの役割としてsysadminが文書化されていることを知っています（SQL / Windows統合）。それでも、使用できる他のサーバーの役割（組み込みまたはその他）があるかどうかを確認する必要があります。

具体的には、ログインの作成、[データベース]ユーザーの作成、[データベース]ロールへのユーザーの割り当てを行うためのアクセス権を持つ1つまたは2つのログインを設定しようとしています。パスワードをリセットする可能性がありますが、ほとんどのログインはWindowsに統合されているため、必須ではありません。データにまったくアクセスできません。また、これらのログインには、テーブルを更新したり、ロールを作成/更新したりする権限がありません。

これまでのところ、私の唯一のオプションは、これら2つのログインをsecurityadminサーバーの役割で設定し、特定のデータベースに対して、db_securityadminとdb_accessadminで構成することです...しかし、この構成ではログインを作成できません。

そこで、MVC2に独自のカスタム認証システムを実装したいと思います。

グローバルクラスを作成する必要がある場合、どこでインスタンス化できますか？HttpContextを自分で追加して拡張できますか？どこでそれを行うことができますか？権限の検証またはActionFiltersに承認フィルターを使用する必要がありますか、それともアクション内で使用する必要がありますか？ActionFilterは、アクション自体にデータを渡すことができますか？

以前（WebFormsで）、重要なユーザーデータ（アカウントIDとロールと権限のリスト）を含むシリアル化されたオブジェクトを配置するSessionオブジェクトを使用し、独自のPageクラスを拡張していました。

WPFデスクトップのサンプル書店アプリケーションで、ユーザーと役割を管理したいと思います。複数のユーザーで以下のポイントを達成したい

1）アプリケーションには複数のユーザーが必要
です2）ユーザーには3つのカテゴリがありますa）管理者b）マネージャーc）従業員
3）アプリケーションには、書籍の追加、書籍の販売、在庫の更新、発注書の生成などの複数の役割があります
4）ユーザーは次のことができる必要があります階層が低い他のユーザーの役割を割り当てたり削除したりします。理想的なユーザー階層は次のようなものです：-

a）管理者-完全な権限を持つTOP
b）マネージャー-管理者が役割を追加および削除する
c）従業員-マネージャー/管理者が役割を追加および削除する。

私はそれを実装するためのアプローチが必要です。アプローチは柔軟でなければならず、将来的には役割とユーザーの追加/削除が簡単になります。データベース構造と余分なコード行を変更することなく。上司は、個々の従業員に簡単に役割を割り当てることができます。

先駆者：私は今、これに関して相反するプリンシパルを持つ2つの環境で働いてきました。私は競合するアイデアの概要を説明しており、説明されているシナリオを考慮して、どちらが「正しい」かを知りたいと思います。

シナリオ：イントラネットに複数のアプリケーションが存在します。認証制御およびユーザーディレクトリとしてLDAPを使用してOpenSSOを実装しています。問題が発生するのは、LDAP認証では、ユーザーがイントラネットで許可されているが、どのアプリケーションに問題があるかがわかっていることです。

LDAPを使用して、各ユーザーがアクセスできるアプリケーション（ヘルプデスク、コンサルタントレビュー、レポートジェネレーター、調査作成者など）を制御する予定です。

各アプリケーション内にはかなりの量の役割があり、人々が複数の役割を持っている可能性があるという事実に疑問が生じます。

この2番目の領域に対処するための最良の方法は何ですか？Shoudlのすべての役割はLDAPに含まれるのでしょうか、それとも、より詳細な役割を含む各アプリデータベースのアプリケーション許容量に含まれるのでしょうか。

以下の例のような Spring インターセプト URL 構成での ROLE_USER と ROLE_ANONYMOUS の違いは何ですか?

まず、私の開発環境: Visual Studio Professional 2010 を搭載した Win7 ラップトップ。IIS はインストールされていません。

MVCMusicStore チュートリアルで説明されているように、ASP.NET 構成ツールを使用してユーザー管理の役割を有効にして設定しようとしています。[セキュリティ] タブをクリックすると、次のエラーが表示されます。

「選択したデータ ストアに問題があります。これは、サーバー名または資格情報が無効であるか、アクセス許可が不十分であることが原因である可能性があります。また、ロール マネージャー機能が有効になっていないことが原因である可能性もあります。下のボタンをクリックしてリダイレクトされます。新しいデータ ストアを選択できるページ。

次のメッセージは、問題の診断に役立つ場合があります: タイプ'HandiGamer.MvcApplication' を読み込めませんでした。"

「下のボタン」をクリックすると、プロバイダーとして AspNetSqlProvider を使用していることがわかります。テストしようとすると、次のように表示されます。

「データベースへの接続を確立できませんでした。SQL Server データベースをまだ作成していない場合は、Web サイト管理ツールを終了し、aspnet_regsql コマンド ライン ユーティリティを使用してデータベースを作成および構成してから、このツールに戻って設定します。プロバイダー。」

つまりね：

1. MVCMusicStore デモのロール/ユーザー管理は、デバッガーで実行すると機能します。自分自身を顧客として追加し、カートからアイテムを追加/削除できます。 それにもかかわらず、構成ツールを使用しようとすると、同じエラーが発生します。

2. 実際に、SQL Server 2008 Express のコピーで aspnet_regsql を実行しました。ユーザー管理に必要なテーブルを作成しました。それでも問題は解決しませんでした。

チュートリアルでは基本的に「ボタンを 2 つクリックすれば準備完了です」と書かれているので、明らかな何かが欠けているのではないかと思っています。このためのデータベースのセットアップについては、文字通り何も言いませんでした。

私はこの時点で困惑しています。ロール/ユーザー管理は機能しますが (MVCMusicStore で機能することが証明されています)、構成ツールを使用しても、機能をオンにしたり、セットアップしたり、その他の方法で機能を編集したりすることはできません。とてもイライラするようになってきました。どんな助けでも大歓迎です。

編集：私のweb.configは次のとおりです-

クラス内のさまざまなメソッドへのロールベースのアクセスを使用するシステムを実装しています。たとえば、アクションを実行するには、それを使用するユーザーがそれを実行できるかどうかを確認する必要があります。

私はそれぞれの方法で書くことができます：

たとえば、このメソッドに属性を追加したり、他のソリューションを追加したりして、このプロセスを自動化することを考えていましたか？

私の仕事のためにいくつかのアドバイスが必要になるでしょう。

私のコンピューターには、MYCOMPUTERという名前のカスタマイズされたインスタンス名でVS2010とSQL Server2008Developerをインストールしました。ASP.NET MVC 2で作成されたプロジェクト作業を転送する必要がある場合は、もちろん、VS2010：sインターフェイスを介して、自分のコンピューターから、SQLServer2008のライトバージョンを備えたVS2010を備えた別のコンピューターにデータベースを作成します。 SQLEXPRESSという名前のインスタンス、それは問題になりますか？

また、VSを介してASP.netで役割を作成した場合、データベースの定義された役割が原因で、SS2008Developerに関連してエラーメッセージや問題が発生する可能性があると聞きました。それは本当ですか？

//Fullmetalboy

データベース ロール ( db_datareader、db_datawriter、db_ddladminなど)のリストにdb_storedprocedureexecutor. 他の方法は理にかなっていますが、特定のユーザーにすべてのストアド プロシージャを実行する機能を付与できるように思えます (それらを付与せずにdb_owner、同じことを達成する唯一の他の方法です)。

たとえば、開発者全員にストアド プロシージャを実行する権限を付与し、DDL を実行させないようにしたいとします。すべてのストアド プロシージャに明示的に EXECUTE を付与する必要はありません (さらに、追加の SP がデプロイされたときに新しいものを追加することを忘れないでください)。 、これを行う方法はありません（SPにDDLを含めることができることはわかっているため、この方法でDDLへのアクセスを間接的に許可することができます）。

アプリケーション サービス アカウントと、アプリケーションに付随する多数のストアド プロシージャがある場合、すべての SP に明示的に権限を付与する必要があります (アプリケーション サービス アカウント DBO を付与したくないため)。必要なものを更新/削除できるようにする役割。

最初は明らかなように思えましたが、なぜこの役割がデータベースサーバーにないのか、今ではわかりません.なぜこれがひどい考えなのか、誰かが説明できますか?

編集：

この期待を持っているのは私だけではないようです-そして、それは一握りのT-SQLで回避されています（あなたができるとは知りませんでしたが、ブランケットEXECUTE権限を付与できるようです）。なぜそれが標準ではないのですか！

製品に添付され、ダウンロード可能なドキュメントを、製品を表示しているユーザーのステータスに基づいて分類する必要があるという難しい要件があります。つまり、私のサイトには製品のリストが表示され、いずれかをクリックすると製品の詳細ページが表示されます。このページには、データシート、ユーザーマニュアルなど、製品に関連するドキュメントのリストが含まれています.

私は文書を 3 つのクラスに分類するよう依頼されました。ログオンしたユーザーが利用できるもの。また、ドキュメントをダウンロードする前に連絡先情報を提供する匿名ユーザーが利用できるもので、おそらく販売促進を目的としています。

匿名とログオンの可用性は非常に簡単ですが、3 つ目は少し難しいように思えます。私の最初の質問は、ItemDataBound などにフックすることなく、ログオンしているユーザーのみのドキュメントをフィルター処理する方法はありますか?

2 番目の質問では、実際にユーザーを登録することを考えましたが、ユーザーが新しいユーザー登録ページにアクセスする必要はなく、ドキュメントのロール ベースのフィルタリングが行われました。現在、新規ユーザー登録プロセスにより、すべての新規ユーザーにメンバー ロールが自動的に追加されます。ドキュメントをダウンロードできるように「静かに」登録したユーザーには、通常ログオンしているメンバーと区別されるメンバーの役割が割り当てられません。他にどのようなアプローチを取ることができますか?