Vorgehensweise: Erstellen einer benutzerdefinierten Autorisierungsrichtlinie
Die Identitätsmodellinfrastruktur in Windows Communication Foundation (WCF) unterstützt ein anspruchsbasiertes Autorisierungsmodell. Ansprüche werden aus Token extrahiert, wahlweise von der benutzerdefinierten Autorisierungsrichtlinie verarbeitet und in einen AuthorizationContext platziert, der dann untersucht werden kann, um Autorisierungsentscheidungen zu treffen. Eine benutzerdefinierte Richtlinie kann zum Transformieren von Ansprüchen von eingehenden Token in von der Anwendung erwartete Ansprüche verwendet werden. Auf diese Art und Weise kann die Anwendungsschicht gegenüber Details zu den verschiedenen Ansprüchen abgeschirmt werden, die von den verschiedenen, von WCF unterstützten Tokentypen gestellt werden. In diesem Thema wird gezeigt, wie eine benutzerdefinierte Autorisierungsrichtlinie implementiert und wie diese Richtlinie einer Sammlung von Richtlinien, die von einem Dienst verwendet werden, hinzugefügt wird.
So implementieren Sie eine benutzerdefinierte Autorisierungsrichtlinie
Definieren Sie eine neue Klasse, die von IAuthorizationPolicy abgeleitet wird.
Implementieren Sie die schreibgeschützte Id-Eigenschaft, indem Sie eine eindeutige Zeichenfolge im Konstruktor für die Klasse generieren und diese Zeichenfolge bei jedem Zugriff auf die Eigenschaft zurückgeben.
Implementieren Sie die schreibgeschützte Issuer-Eigenschaft, indem Sie einen ClaimSet zurückgeben, der den Richtlinienaussteller darstellt. Dies könnte ein ClaimSet sein, der die Anwendung darstellt oder einen integrierten ClaimSet (z. B. den ClaimSet, der von der statischen System-Eigenschaft zurückgegeben wurde).
Implementieren Sie die Evaluate-Methode, wie in der folgenden Prozedur beschrieben.
So implementieren Sie die Evaluate-Methode
Zwei Parameter werden an diese Methode übergeben: eine Instanz der EvaluationContext-Klasse und ein Objektverweis.
Wenn die benutzerdefinierte Autorisierungsrichtlinie ClaimSet-Instanzen ohne Beachtung des aktuellen Inhalts des EvaluationContext zurückgibt, dann fügen Sie jeden ClaimSet hinzu, indem Sie die AddClaimSet-Methode aufrufen und true von der Evaluate-Methode zurückgeben. Die Rückgabe von true zeigt der Autorisierungsinfrastruktur an, dass die Autorisierungsrichtlinie ihre Funktion erfüllt hat und nicht erneut aufgerufen werden muss.
Wenn die benutzerdefinierte Autorisierungsrichtlinie Sätze von Ansprüchen nur hinzufügt, wenn bestimmte Ansprüche bereits im EvaluationContext vorhanden sind, suchen Sie diese Ansprüche, indem Sie die ClaimSet-Instanzen, die von der ClaimSets-Eigenschaft zurückgegeben werden, analysieren. Wenn die Ansprüche vorhanden sind, fügen Sie den neuen Satz von Ansprüchen hinzu, indem Sie die AddClaimSet-Methode aufrufen, und geben Sie true zurück, wenn keine weiteren Sätze von Ansprüchen hinzugefügt werden müssen. Dies zeigt der Autorisierungsinfrastruktur an, dass die Autorisierungsrichtlinie ihre Funktion erfüllt hat. Wenn die Ansprüche nicht vorhanden sind, geben Sie false zurück. Dies gibt an, dass die Autorisierungsrichtlinie erneut aufgerufen werden muss, wenn andere Autorisierungsrichtlinien dem EvaluationContext weitere Sätze von Ansprüchen hinzufügen.
In komplexeren Verarbeitungsszenarien wird der zweite Parameter der Evaluate-Methode zum Speichern einer Zustandsvariablen verwendet, die von der Autorisierungsinfrastruktur bei jedem nachfolgenden Aufruf der Evaluate-Methode für eine bestimmte Auswertung zurückgegeben wird.
So geben Sie eine benutzerdefinierte Autorisierungsrichtlinie durch Konfiguration an
Geben Sie den Typ der benutzerdefinierten Autorisierungsrichtlinie im policyType-Attribut des add-Elements und des authorizationPolicies-Elements des serviceAuthorization-Elements an.
<configuration> <system.serviceModel> <behaviors> <serviceAuthorization serviceAuthorizationManagerType= "Samples.MyServiceAuthorizationManager" > <authorizationPolicies> <add policyType="Samples.MyAuthorizationPolicy" </authorizationPolicies> </serviceAuthorization> </behaviors> </system.serviceModel> </configuration>
So geben Sie eine benutzerdefinierte Autorisierungsrichtlinie durch Code an
Erstellen Sie eine List von IAuthorizationPolicy.
Erstellen Sie eine Instanz der benutzerdefinierten Autorisierungsrichtlinie.
Fügen Sie der Liste die Autorisierungsrichtlinieninstanz hinzu.
Wiederholen Sie die Schritte 2 und 3 für jede benutzerdefinierte Autorisierungsrichtlinie.
Weisen Sie der ExternalAuthorizationPolicies-Eigenschaft eine schreibgeschützte Version der Liste zu.
' Add custom authorization policy to service authorization behavior. Dim policies As List(Of IAuthorizationPolicy) = New List(Of IAuthorizationPolicy)() policies.Add(New MyAuthorizationPolicy()) serviceHost.Authorization.ExternalAuthorizationPolicies = policies.AsReadOnly()
// Add a custom authorization policy to the service authorization behavior. List<IAuthorizationPolicy> policies = new List<IAuthorizationPolicy>(); policies.Add(new MyAuthorizationPolicy()); serviceHost.Authorization.ExternalAuthorizationPolicies = policies.AsReadOnly();
Beispiel
Im folgenden Beispiel wird eine vollständige Implementierung der IAuthorizationPolicy veranschaulicht.
Public Class MyAuthorizationPolicy
Implements IAuthorizationPolicy
Private id_Value As String
Public Sub New()
id_Value = Guid.NewGuid().ToString()
End Sub
Public Function Evaluate(ByVal evaluationContext As EvaluationContext, ByRef state As Object) As Boolean _
Implements IAuthorizationPolicy.Evaluate
Dim bRet As Boolean = False
Dim customstate As CustomAuthState = Nothing
' If the state is null, then this has not been called before, so set up
' our custom state.
If state Is Nothing Then
customstate = New CustomAuthState()
state = customstate
Else
customstate = CType(state, CustomAuthState)
End If
' If claims have not been added yet...
If Not customstate.ClaimsAdded Then
' Create an empty list of Claims.
Dim claims as IList (Of Claim) = New List(Of Claim)()
' Iterate through each of the claimsets in the evaluation context.
Dim cs As ClaimSet
For Each cs In evaluationContext.ClaimSets
' Look for Name claims in the current claimset...
Dim c As Claim
For Each c In cs.FindClaims(ClaimTypes.Name, Rights.PossessProperty)
' Get the list of operations that the given username is allowed to call.
Dim s As String
For Each s In GetAllowedOpList(c.Resource.ToString())
' Add claims to the list.
claims.Add(New Claim("http://example.org/claims/allowedoperation", s, Rights.PossessProperty))
Console.WriteLine("Claim added {0}", s)
Next s
Next c
Next cs ' Add claims to the evaluation context.
evaluationContext.AddClaimSet(Me, New DefaultClaimSet(Me.Issuer, claims))
' Record that claims were added.
customstate.ClaimsAdded = True
' Return true, indicating that this does not need to be called again.
bRet = True
Else
' Should never get here, but just in case...
bRet = True
End If
Return bRet
End Function
Public ReadOnly Property Issuer() As ClaimSet Implements IAuthorizationPolicy.Issuer
Get
Return ClaimSet.System
End Get
End Property
Public ReadOnly Property Id() As String Implements IAuthorizationPolicy.Id
Get
Return id_Value
End Get
End Property
' This method returns a collection of action strings thet indicate the
' operations the specified username is allowed to call.
' Operations the specified username is allowed to call.
Private Function GetAllowedOpList(ByVal userName As String) As IEnumerable(Of String)
Dim ret As IList(Of String) = new List(Of String)()
If username = "test1" Then
ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add")
ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Multiply")
ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract")
ElseIf username = "test2" Then
ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add")
ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract")
End If
Return ret
End Function
' internal class for keeping track of state
Class CustomAuthState
Private bClaimsAdded As Boolean
Public Sub New()
bClaimsAdded = False
End Sub 'New
Public Property ClaimsAdded() As Boolean
Get
Return bClaimsAdded
End Get
Set
bClaimsAdded = value
End Set
End Property
End Class
End Class
public class MyAuthorizationPolicy : IAuthorizationPolicy
{
string id;
public MyAuthorizationPolicy()
{
id = Guid.NewGuid().ToString();
}
public bool Evaluate(EvaluationContext evaluationContext, ref object state)
{
bool bRet = false;
CustomAuthState customstate = null;
// If the state is null, then this has not been called before so
// set up a custom state.
if (state == null)
{
customstate = new CustomAuthState();
state = customstate;
}
else
customstate = (CustomAuthState)state;
// If claims have not been added yet...
if (!customstate.ClaimsAdded)
{
// Create an empty list of claims.
IList<Claim> claims = new List<Claim>();
// Iterate through each of the claim sets in the evaluation context.
foreach (ClaimSet cs in evaluationContext.ClaimSets)
// Look for Name claims in the current claimset.
foreach (Claim c in cs.FindClaims(ClaimTypes.Name, Rights.PossessProperty))
// Get the list of operations the given username is allowed to call.
foreach (string s in GetAllowedOpList(c.Resource.ToString()))
{
// Add claims to the list.
claims.Add(new Claim("http://example.org/claims/allowedoperation", s, Rights.PossessProperty));
Console.WriteLine("Claim added {0}", s);
}
// Add claims to the evaluation context.
evaluationContext.AddClaimSet(this, new DefaultClaimSet(this.Issuer,claims));
// Record that claims were added.
customstate.ClaimsAdded = true;
// Return true, indicating that this method does not need to be called again.
bRet = true;
}
else
{
// Should never get here, but just in case, return true.
bRet = true;
}
return bRet;
}
public ClaimSet Issuer
{
get { return ClaimSet.System; }
}
public string Id
{
get { return id; }
}
// This method returns a collection of action strings that indicate the
// operations the specified username is allowed to call.
private IEnumerable<string> GetAllowedOpList(string username)
{
IList<string> ret = new List<string>();
if (username == "test1")
{
ret.Add ( "http://Microsoft.ServiceModel.Samples/ICalculator/Add");
ret.Add ("http://Microsoft.ServiceModel.Samples/ICalculator/Multiply");
ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract");
}
else if (username == "test2")
{
ret.Add ( "http://Microsoft.ServiceModel.Samples/ICalculator/Add");
ret.Add ("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract");
}
return ret;
}
// Internal class for keeping track of state.
class CustomAuthState
{
bool bClaimsAdded;
public CustomAuthState()
{
bClaimsAdded = false;
}
public bool ClaimsAdded { get { return bClaimsAdded; }
set { bClaimsAdded = value; } }
}
}
Siehe auch
Aufgaben
Vorgehensweise: Ansprüche vergleichen
Vorgehensweise: Erstellen eines benutzerdefinierten Autorisierungs-Managers für einen Dienst
Autorisierungsrichtlinie