Esporta (0) Stampa
Espandi tutto
Espandi Riduci a icona

Procedura: Implementare mediante WIF e ACS l'autorizzazione delle attestazioni in un'applicazione ASP.NET in grado di riconoscere attestazioni

Pubblicato: aprile 2011

Aggiornamento: febbraio 2014

Si applica a: Azure

  • Servizio di controllo di accesso di Microsoft® Azure™ (ACS)

  • Windows® Identity Foundation (WIF)

  • ASP.NET

Questo argomento descrive come implementare mediante WIF e ACS l'autorizzazione del controllo di accesso basato su attestazioni (CBAC) in un'applicazione Web ASP.NET in grado di riconoscere attestazioni.

  • Obiettivi

  • Informazioni generali

  • Riepilogo dei passaggi

  • Passaggio 1 - Implementare una libreria di autorizzazioni basate su attestazioni

  • Passaggio 2 - Configurare un'applicazione ASP.NET per l'uso della libreria di autorizzazioni basate su attestazioni

  • Passaggio 3 - Configurare un criterio di autorizzazione

  • Argomenti correlati

  • Esternalizzare la logica dell'autorizzazione dall'applicazione

  • Implementare i controlli di autorizzazione all'esterno dei ruoli, in modo da acquisire un controllo più dettagliato dell'autorizzazione.

  • Predisporre una gestione dell'autorizzazione dichiarativa, basata su criteri.

L'autorizzazione basata su attestazioni presuppone l'uso delle informazioni contenute in un token, ossia le attestazioni. Questo tipo di autorizzazione risulta particolarmente utile nel caso in cui non si ritenga sufficiente una decisione di autorizzazione basata solo sui ruoli. Nelle applicazioni finanziarie, ad esempio, uno stesso ruolo può essere assegnato a più limiti per il trasferimento di denaro tra conti diversi, in base alla permanenza in servizio e ad altri attributi. Quando questi attributi si presentano nel ruolo sotto forma di attestazione, consentono una decisione di autorizzazione più circostanziata.

  • Passaggio 1 - Implementare una libreria di autorizzazioni basate su attestazioni

  • Passaggio 2 - Configurare un'applicazione ASP.NET per l'uso della libreria di autorizzazioni basate su attestazioni

  • Passaggio 3 - Configurare un criterio di autorizzazione

Questo passaggio consente di creare una libreria di classi esterna in grado di leggere criteri di accesso da un file di configurazione e applicare controlli di accesso. Il seguente esempio illustra come implementare una libreria di autorizzazioni basate su attestazioni che consenta di incentrare una decisione di autorizzazione su un'attestazione di codice postale.

  1. Accertarsi di aver avviato Visual Studio® in modalità di amministratore.

  2. In Esplora soluzioni fare clic con il pulsante destro del mouse sulla soluzione desiderata, aggiungere un nuovo progetto Libreria di classi e assegnare un nome a tale progetto, ad esempio MyClaimsAuthorizationManager.

  3. Eliminare la classe predefinita: Class1.cs.

  4. Aggiungere una nuova classe e assegnarle un nome, ad esempio ZipClaimsAuthorizationManager. Verrà implementata un'autorizzazione basata sui codici postali.

  5. Aggiungere un riferimento agli assembly Microsoft.IdentityModel e System.Web.

  6. Aggiungere le seguenti dichiarazioni.

    using System.IO;
    using System.Xml; 
    using Microsoft.IdentityModel.Claims; 
    using Microsoft.IdentityModel.Configuration; 
    
    
  7. Estendere la classe ClaimsAuthorizationManager ignorando il relativo metodo AccessCheck e implementando quindi un costruttore nella classe ZipClaimsAuthorizationManager. Il codice risultante dovrebbe essere simile al seguente.

    namespace MyClaimsAuthorizationManager 
    { 
        class ZipClaimsAuthorizationManager : ClaimsAuthorizationManager 
        { 
            private static Dictionary<string, int> m_policies = new Dictionary<string, int>(); 
    
            public ZipClaimsAuthorizationManager(object config) 
            { 
                XmlNodeList nodes = config as XmlNodeList; 
                foreach (XmlNode node in nodes) 
                { 
                    { 
                        //FIND ZIP CLAIM IN THE POLICY IN WEB.CONFIG AND GET ITS VALUE 
                        //ADD THE VALUE TO MODULE SCOPE m_policies 
                        XmlTextReader reader = new XmlTextReader(new StringReader(node.OuterXml)); 
                        reader.MoveToContent(); 
                        string resource = reader.GetAttribute("resource"); 
                        reader.Read(); 
                        string claimType = reader.GetAttribute("claimType"); 
                        if (claimType.CompareTo(ClaimTypes.PostalCode) == 0) 
                        { 
                            throw new ArgumentNullException("Zip Authorization is not specified in policy in web.config"); 
                        } 
                        int zip = -1; 
                        bool success = int.TryParse(reader.GetAttribute("Zip"),out zip); 
                        if (!success) 
                        { 
                            throw new ArgumentException("Specified Zip code is invalid - check your web.config"); 
                        } 
                        m_policies[resource] = zip; 
                    } 
                } 
            } 
            public override bool CheckAccess(AuthorizationContext context) 
            { 
                //GET THE IDENTITY 
                //FIND THE POSTALCODE CLAIM'S VALUE IN IT 
                //COMPARE WITH THE POLICY 
                int allowedZip = -1; 
                int requestedZip = -1; 
                Uri webPage = new Uri(context.Resource.First().Value); 
                IClaimsPrincipal principal = (IClaimsPrincipal)HttpContext.Current.User; 
                if (principal == null) 
                { 
                    throw new InvalidOperationException("Principal is not populate in the context - check configuration"); 
                } 
                IClaimsIdentity identity = (IClaimsIdentity)principal.Identity; 
                if (m_policies.ContainsKey(webPage.PathAndQuery)) 
                { 
                    allowedZip = m_policies[webPage.PathAndQuery]; 
                    requestedZip = -1; 
                    int.TryParse((from c in identity.Claims 
                                            where c.ClaimType == ClaimTypes.PostalCode 
                                            select c.Value).FirstOrDefault(), out requestedZip); 
                } 
                if (requestedZip!=allowedZip) 
                { 
                    return false; 
                } 
                return true; 
            } 
        } 
    }
    
    
  8. Compilare la soluzione per verificare che non siano presenti errori di compilazione.

  9. Individuare la libreria compilata, che in questo caso sarà MyClaimsAuthorizationManager.dll. La libreria dovrà essere spostata nella cartella bin dell'applicazione Web ASP.NET.

I seguenti passaggi dovranno essere eseguiti nell'applicazione Web ASP.NET in uso. Non aggiungere alcun riferimento alla libreria Claims Authorization Manager creata nel passaggio precedente. L'applicazione Web ASP.NET dovrebbe non essere in grado di riconoscerla, se non in web.config.

  1. Configurare l'applicazione Web ASP.NET in modo da includere ClaimsAuthorizationModule di WIF nella relativa pipeline aggiungendo la seguente voce alla sezione HttpModules di web.config (valido per il server Web di sviluppo fornito con Visual Studio; per Internet Information Services (IIS) versione 7, questa configurazione dovrebbe essere posizionata nella sezione dei moduli all'interno del nodo system.webServer).

    <add name="ClaimsAuthorizationModule" 
         type="Microsoft.IdentityModel.Web.ClaimsAuthorizationModule, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" /> 
    
    
  2. Configurare l'applicazione Web ASP.NET in modo da usare la libreria di autorizzazioni basate su attestazioni implementata nel passaggio precedente aggiungendo la seguente voce al nodo microsoft.identityModel.service.

    <claimsAuthorizationManager type="MyClaimsAuthorizationManager.ZipClaimsAuthorizationManager, MyClaimsAuthorizationManager" >
    
    

In questo argomento il criterio di configurazione viene espresso nel file web.config dell'applicazione Web ASP.NET. Il criterio contiene regole semplici per il mapping delle risorse al tipo di attestazione e al relativo valore. Di seguito è riportato un criterio di esempio che può essere letto e applicato dalla libreria di autorizzazioni creata e configurata nei passaggi precedenti. Aggiungere la seguente voce al nodo claimsAuthorizationManager configurato nel passaggio precedente.

<policy resource="/default.aspx">
  <claim claimType=http://schemas.xmlsoap.org/ws/2005/05/identity/claims/postalcode
  Zip="11111" />
</policy>


Il criterio sopra riportato richiede che il token in ingresso contenga un'attestazione di codice postale impostata sul valore 11111 per poter accedere alla pagina default.aspx.

Aggiunte alla community

AGGIUNGI
Mostra:
© 2014 Microsoft