내보내기(0) 인쇄
모두 확장

방법: WIF 및 ACS를 사용하여 클레임 인식 ASP.NET 응용 프로그램에서 RBAC(역할 기반 액세스 제어) 구현

게시: 2011년 4월

업데이트 날짜: 2015년 3월

적용 대상: Azure

  • Microsoft Azure Active Directory 액세스 제어(액세스 제어 서비스 또는 ACS라고도 함)

  • WIF(Windows® Identity Foundation)

  • ASP.NET

이 항목에서는 WIF 및 ACS를 사용하여 클레임 인식 ASP.NET 웹 응용 프로그램에서 RBAC(역할 기반 액세스 제어) 권한 부여를 구현하는 방법을 설명합니다.

  • 목표

  • 개요

  • 단계 요약

  • 1단계 – 간단한 클레임 인식 ASP.NET 웹 응용 프로그램 만들기

  • 2단계 – ACS에서 역할 클레임 구성

  • 3단계 – ASP.NET 웹 응용 프로그램에서 역할 검사 구현

  • 4단계 – 사용자 지정 ClaimsAuthenticationManager를 사용하여 클레임 변환 구현

  • 5단계 – 작업 테스트

  • 관련 항목

  • ACS를 사용하여 역할 클레임을 구성합니다.

  • ClaimsAuthenticationManager를 사용하여 역할 클레임을 변환합니다.

  • IsInRole 메서드 및 PrinciaplPermission 특성을 사용하여 역할 기반 액세스 제어 검사를 구현합니다.

RBAC는 응용 프로그램의 액세스 제한에 널리 채택된 접근 방식입니다. ASP.NET 웹 응용 프로그램 이 접근 방식은 IsInRole 메서드, PrincipalPermission 특성 또는 요청(ASP.NET 1.0부터 사용 가능)을 사용하여 구현됩니다. 권한 부여에 클레임을 사용할 수 있어 WIF 및 ACS와 같은 새로운 기술을 사용하는 동시에 잘 확립된 관행을 유지할 수 있습니다. WIF 런타임 및 SDK는 다음 링크를 통해 다운로드할 수 있습니다.

  • 1단계 – 간단한 클레임 인식 ASP.NET 웹 응용 프로그램 만들기

  • 2단계 – ACS에서 역할 클레임 구성

  • 3단계 – ASP.NET 웹 응용 프로그램에서 역할 검사 구현

  • 4단계 – 사용자 지정 ClaimsAuthenticationManager를 사용하여 클레임 변환 구현

  • 5단계 – 작업 테스트

이 단계에서는 RBAC를 구현하기 위한 기준으로 사용될 기본 ASP.NET 웹 응용 프로그램을 만드는 방법을 보여 줍니다.

  1. "관리자 권한으로 실행" 옵션을 사용하여 Visual Studio를 시작합니다. WIF를 사용하기 위해서는 반드시 이렇게 해야 합니다.

  2. 새 ASP.NET 빈 웹 응용 프로그램을 만듭니다.

  3. aspx Web Form을 추가한 후 이름을 지정합니다(예: default.aspx).

이 단계에서는 ACS 관리 포털에서 규칙 그룹을 사용하여 역할 클레임을 구성하는 방법을 보여 줍니다. 전체 단계별 연습은 방법: 규칙을 사용하여 토큰 변환 논리 구현을 참조하세요.

  1. 신뢰 당사자 응용 프로그램 편집 페이지에서 규칙 그룹 섹션이 나올 때까지 아래로 스크롤한 다음 원하는 그룹의 링크를 클릭합니다. 원하는 그룹이 선택되었는지 확인합니다.

  2. 규칙 그룹 편집 페이지에서 규칙 섹션이 나올 때까지 아래로 스크롤한 다음 규칙 추가 링크를 클릭합니다.

  3. 클레임 규칙 추가 페이지에서 출력 클레임 유형 섹션이 나올 때까지 아래로 스크롤하고 유형 선택 라디오 단추를 클릭한 후 다음 클레임 유형을 선택합니다.

    http://schemas.microsoft.com/ws/2008/06/identity/claims/role
    
    
  4. 출력 클레임 값 섹션에서 값 입력을 클릭한 후 텍스트 상자에 다음 텍스트를 값으로 입력합니다.
    사용자

  5. 선택적으로(권장) 설명을 추가한 후 저장을 클릭합니다.

방금 모든 토큰에 추가될 수 있는 사용자 역할 클레임을 구성했습니다. 시나리오는 사용자의 요구 사항에 따라 다를 수 있습니다. 더 복잡한 규칙을 구성하는 방법에 대한 자세한 내용은 방법: 규칙을 사용하여 토큰 변환 논리 구현을 참조하세요.

이 단계에서는 RBAC를 구현하는 방법을 보여 줍니다.

  1. Microsoft.IdentityModel 어셈블리에 대한 참조를 추가합니다.

  2. 코드 숨김 default.aspx.cs를 엽니다.

  3. 선언을 사용하여 다음을 추가합니다.

    using System.Security.Permissions;
    using System.Threading;
    using Microsoft.IdentityModel.Claims;
    using System.Security;
    
    
  4. Page_Load 이벤트 처리기를 다음 보안 요청으로 데코레이팅합니다. 이 특성은 현재 사용자가 사용자 역할인지 여부를 확인합니다. 사용자 역할이 아닌 경우 예외가 throw됩니다.

    [PrincipalPermission(SecurityAction.Demand, Role = "User")]
    
  5. Page_Load 이벤트 처리기의 본문에 다음 코드를 추가합니다. 이는 코드에 표현된 요청과 정확히 동일합니다.

    PrincipalPermission p = new PrincipalPermission(null, "User");
       p.Demand();
    
    
  6. Page_Load 이벤트의 본문에 다음 코드를 추가합니다. 이전 코드와 달리 이 코드에서는 예외가 throw되지 않습니다. 대신 IsInRole은 현재 사용자에게 지정된 역할이 있는지 여부를 나타내는 부울을 반환합니다.

    if (!User.IsInRole("User"))
                    throw new SecurityException("Access is denied.");
    
    
  7. 완성된 코드는 다음과 유사합니다.

    using System;
    using System.Collections.Generic;
    using System.Linq;
    using System.Web;
    using System.Web.UI;
    using System.Web.UI.WebControls;
    
    using System.Security.Permissions;
    using System.Threading;
    using Microsoft.IdentityModel.Claims;
    using System.Security;
    
    namespace WebIsInRoleACS
    {
        public partial class _default : System.Web.UI.Page
        {
            //THIS SHOULD THROW AN EXCEPTION
            [PrincipalPermission(SecurityAction.Demand, Role = "User")]
            protected void Page_Load(object sender, EventArgs e)
            {
    
                //THIS SHOULD THROW AN EXCEPTION
                PrincipalPermission p = new PrincipalPermission(null, "User");
                p.Demand();
    
                //THIS RETURNS BOOL
                if (!User.IsInRole("User"))
                    throw new SecurityException("Access is denied.");
            }
        }
    }
    
    

이 단계는 선택 사항입니다. 이 단계에서는 ASP.NET 응용 프로그램의 컨텍스트 내에서 실행되는 WIF 파이프라인의 일부인 ClaimsAuthenticationManager를 사용하여 클레임을 변환하는 방법을 보여 줍니다. 이는 2단계 – ACS에서 역할 클레임 구성 에 설명된 대로 ACS에서 실행되는 클레임 변환 규칙과 반대입니다.

  1. Visual Studio 솔루션에 클래스 라이브러리 프로젝트를 추가한 후 이름을 지정합니다(예: MyClaimsTransformationModule).

  2. Microsoft.IdentityModel 어셈블리에 대한 참조를 추가합니다.

  3. System.IdentityModel 어셈블리에 대한 참조를 추가합니다.

  4. 새 클래스를 만든 후 이름을 지정합니다(예: ClaimsTransformationModule).

  5. 클래스에 다음 선언을 추가합니다.

    using Microsoft.IdentityModel.Claims;
    using System.Security.Principal;
    
    
  6. ClaimsAuthenticationManager 유형에서 클래스를 파생시킵니다.

  7. 해당 인증 메서드(여기서 클레임 변환이 수행됨)를 재정의합니다. 인증 메서드의 코드는 다음을 기반으로 할 수 있습니다.

    if (incomingPrincipal != null && incomingPrincipal.Identity.IsAuthenticated == true)
    {
        //DECIDE ON SOME CRITERIA IF CURRENT USER DESERVES THE ROLE
        //IClaimsIdentity identity = (IClaimsIdentity)incomingPrincipal.Identity;
        ((IClaimsIdentity)incomingPrincipal.Identity).Claims.Add(
            new Claim(ClaimTypes.Role, "Admin"));
    }
    return incomingPrincipal;
    
    
  8. ASP.NET 응용 프로그램으로 전환하고 해당 web.config에서 사용자 지정 ClaimsAuthenticationManager를 구성합니다.

      <microsoft.identityModel>
        <service>
          <claimsAuthenticationManager type="MyClaimsTransformationModule.ClaimsTransformationModule, MyClaimsTransformationModule" />
    
    
  9. 만든 새 어셈블리를 응용 프로그램이 찾을 수 있는지 확인합니다. 가장 간단한 방법은 새 어셈블리를 응용 프로그램의 bin 폴더에 배치하는 것입니다.

이 단계에서는 솔루션이 작동하는지 유효성을 검사하는 방법을 보여 줍니다. 솔루션을 테스트하려면 F5 키를 누릅니다. ASP.NET 웹 응용 프로그램이 디버그 모드로 실행됩니다(Visual Studio 내에서 코드 실행을 확인하기 위해 중단점을 추가할 수 있음). 먼저, 페더레이션에 대해 구성된 ID 공급자의 인증 페이지로 이동되어야 합니다. 인증이 완료된 후 예외가 throw되지 않고 다시 Default.aspx 페이지로 리디렉션되어야 합니다. 즉, 사용자 역할에 대한 모든 보안 요청이 충족된 것입니다.

커뮤니티 추가 항목

표시:
© 2015 Microsoft