Riepilogo sull'integrazione della protezione

  • Articolo

Negli argomenti precedenti di questa sezione sono state discusse le parti principali del modello di protezione di Windows Server AppFabric ed è stata esaminata la modalità con cui in AppFabric vengono sfruttati gli account e i gruppi di Sicurezza di Windows. AppFabric mappa tali entità di sicurezza nei concetti di Sicurezza di IIS e .NET Framework, a loro volta mappati alla Protezione di SQL Server tramite nomi di accesso e ruoli del database. In questo argomento viene illustrato brevemente come il modello di protezione AppFabric consenta di integrare tutte queste tecnologie di supporto per garantire un ambiente sicuro per la propria applicazione.

Ruoli concettuali di AppFabric

È possibile utilizzare questi ruoli concettuali per allocare logicamente gli utenti e i livelli di autorizzazione durante la progettazione della propria architettura di sicurezza.

  • Utenti di server applicazioni. Le identità del pool di applicazioni che vengono eseguiti in AppFabric.

  • Osservatori server applicazioni. Utenti che possono visualizzare le proprietà e le informazioni relative alle applicazioni in esecuzione.

  • Amministratori server applicazioni. Utenti che possono gestire o controllare le applicazioni e i servizi di sistema in esecuzione che consentono il funzionamento delle applicazioni.

Entità di sicurezza di Windows

I ruoli concettuali di AppFabric consentono di eseguire il mapping ai gruppi di sicurezza Windows. I gruppi IIS_IUSRS, LOCALHOST\AS_Administrators e LOCALHOST\AS_Observers vengono creati solo durante l'installazione di IIS e AppFabric locale nel computer locale.

  • Gruppo IIS_IUSRS. IIS crea il gruppo di sicurezza di Windows esistente durante il processo di installazione e lo popola dinamicamente in fase di esecuzione. Questo gruppo contiene tutte le identità del pool di applicazioni nel ruolo concettuale degli utenti di server applicazioni AppFabric e dispone dell'autorizzazione per rendere permanenti i dati ed emettere le informazioni di rilevamento. Tutte le identità utilizzate per un pool di applicazioni saranno membri del gruppo IIS_IUSRS.

  • Gruppo LOCALHOST\AS_Administrators. Questo gruppo di sicurezza di Windows viene creato automaticamente durante l'installazione di AppFabric e i relativi utenti eseguono il mapping al ruolo concettuale di amministratori di server applicazioni AppFabric. Tutti gli utenti che necessitino di eseguire attività di tipo amministrativo su AppFabric devono appartenere a questo gruppo.

  • Gruppo LOCALHOST\AS_Observers. Questo gruppo di sicurezza di Windows locale viene creato automaticamente durante l'installazione di AppFabric A tutti gli utenti assegnati a questo ruolo verranno concessi i privilegi descritti per il ruolo concettuale di Osservatori server applicazioni.

Se si utilizza AppFabric in più computer in un ambiente di dominio, è consigliabile creare un gruppo di dominio per ciascun ruolo concettuale di AppFabric da utilizzare su più server AppFabric all'interno di tale dominio. Agli utenti assegnati a questi gruppi vengono concessi i privilegi associati a ciascun ruolo concettuale, ma a livello di ambito di dominio. Dopo aver creato questi gruppi di sicurezza di Windows del dominio, aggiungere i relativi account utente in base ai requisiti di accesso e funzionalità di AppFabric. Benché sia possibile assegnare qualsiasi nome a essi, è opportuno utilizzare nomi identificativi, quali i gruppi "DOMAIN\MyAppFabricAdmins" e "DOMAIN\MyAppFabricObservers". Nei server AppFabric locali, questi account di dominio vengono inseriti nel gruppo LOCALHOST\AS_Administrators.

Per ulteriori informazioni sull'utilizzo della sicurezza di Windows in AppFabric, vedere Sicurezza di Windows.

Sicurezza di IIS e .NET Framework

Un'applicazione configurata per l'esecuzione in modalità Trasporti misti utilizza alcuni aspetti delle funzionalità di sicurezza IIS. Tuttavia in tale modalità, l'applicazione basa maggiormente il proprio comportamento in termini di sicurezza sulle funzionalità di sicurezza di .NET Framework e WCF piuttosto che su ISS. Se la stessa applicazione è configurata per l'esecuzione in modalità Compatibilità ASP.NET, utilizzerà in modo più intenso le funzionalità di autenticazione IIS e ignorerà le funzionalità di sicurezza WCF. Questa parte del modello di protezione di AppFabric si riferisce all'autenticazione del client e dell'identità assegnate al dominio o al processo dell'applicazione che ospita l'applicazione per l'accesso ai dati back-end di SQL Server. Per ulteriori informazioni, vedere Sicurezza di IIS e .NET Framework.

Nomi di accesso e ruoli del database di SQL Server

I ruoli concettuali di AppFabric eseguono il mapping ai ruoli di sicurezza del database di SQL che a propria volta esegue il mapping ai gruppi di sicurezza di Windows nel modo seguente:

  • AS_Administrators Viene eseguito il mapping all'account del gruppo locale LOCALHOST\AS_Administrators che comprende utenti provenienti dal gruppo concettuale Amministratori server applicazioni di AppFabric. Il nome di accesso del gruppo AS_Administrators viene assegnato ai ruoli del database SQL Server necessari per gestire gli archivi salvataggi permanenti e di monitoraggio.

  • AS_Observers. Viene eseguito il mapping all'account del gruppo locale LOCALHOST\AS_Observers che comprende utenti provenienti dal gruppo concettuale Osservatori server applicazioni di AppFabric. Il nome di accesso del gruppo AS_Observers viene assegnato ai ruoli del database SQL Server necessari per osservare (ma non gestire) gli archivi salvataggi permanenti e di monitoraggio.

  • IIS_IUSRS. Viene eseguito il mapping all'account del gruppo locale BUILTIN\IIS_IUSRS che comprende utenti provenienti dal gruppo concettuale Amministratori server applicazioni di AppFabric. Il nome di accesso del gruppo IIS_IUSRS viene assegnato ai ruoli del database SQL Server necessari per l'esecuzione con questo account per l'accesso agli archivi salvataggi permanenti e di monitoraggio in fase di esecuzione.

I ruoli concettuali di AppFabric eseguono il mapping ai ruoli del database SQL Server con una configurazione delle autorizzazioni simile a quella dei nomi di accesso corrispondenti. Ad esempio, l'account di accesso del gruppo AS_Administrators dispone di un maggior numero di autorizzazioni rispetto a quello del gruppo AS_Observers. Per ulteriori informazioni sulle autorizzazioni e sui ruoli del database specifici assegnati a tali nomi di accesso, vedere la sezione "Account di accesso di SQL Server" di Protezione di SQL Server

securitySicurezzaNota
Per le implementazioni di archiviazione del database di terze parte diverse da SQL Server, è necessario eseguire il mapping del modello di protezione ai ruoli concettuali di AppFabric.

  2011-12-05