Clientauthentifizierung
Die Authentifizierung ist der Prozess, bei dem ermittelt wird, ob Anrufer tatsächlich die Person sind, die sie sagen, und die Echtheit eines Identitätsanspruchs zu überprüfen. Im Allgemeinen kann dies sowohl vom Server als auch vom Client erfolgen, wobei jeweils der andere authentifiziert wird. Es ist jedoch besonders wichtig, dass eine Serveranwendung, die Clients autorisiert, wie bei der rollenbasierten Sicherheit, auch die Authentifizierung durchführen. Die Authentifizierung von Clients ist eine Voraussetzung für eine sinnvolle Autorisierungsrichtlinie. Sie können alle gewünschten Rollenüberprüfungen durchführen, aber wenn Sie nicht sicher sind, dass die Clientidentität, die Sie überprüfen, authentisch ist, verlässt sich Ihre Anwendung im Wesentlichen auf das Honor-System.
Bei COM+-Anwendungen ist die Authentifizierung etwas, das Sie administrativ aktivieren und konfigurieren können. Danach funktioniert sie transparent für die Anwendung. Sie geben eine Authentifizierungsebene administrativ an, indem Sie das Verwaltungstool Komponentendienste oder die Verwaltungsfunktionen verwenden. Ausführliche Informationen zum Festlegen der Authentifizierung finden Sie unter Festlegen einer Authentifizierungsebene für eine Serveranwendung und Aktivieren der Authentifizierung für eine Bibliotheksanwendung.
Das Festlegen der Authentifizierung bedeutet unterschiedliche Dinge, je nachdem, ob es sich bei dem Anwendungstyp um eine Server- oder Bibliotheksanwendung handelt.
Festlegen der Authentifizierung für COM+-Serveranwendungen
Für eine COM+-Serveranwendung legen Sie eine Authentifizierungsebene fest, die bestimmt, wie die Authentifizierung ausgeführt wird, wenn Clients Komponenten innerhalb der Anwendung aufrufen. Sie können aus mehreren Authentifizierungsebenen wählen, die ein unterschiedliches Maß an Sicherheit bieten, von der Authentifizierung bis hin zur Verschlüsselung jedes Pakets und aller Methodenaufrufparameter. Weitere Informationen finden Sie unter Festlegen einer Authentifizierungsebene für eine Serveranwendung.
Höhere Sicherheit bringt jedoch einige Leistungskosten mit sich, die Sie beim Konfigurieren Ihrer Anwendung berücksichtigen sollten. COM+ verhandelt zwischen der von Client und Server angegebenen Authentifizierungsebene. Die Art und Weise, wie diese Aushandlung durchgeführt wird, hat den Vorteil, dass Sie die Authentifizierung nur auf Serverseite administrativ steuern können. Weitere Informationen finden Sie unter Aushandlung der Authentifizierungsebene.
Hinweis
Sie sollten niemals eine Authentifizierungsebene programmgesteuert mithilfe von CoInitializeSecurity in einer COM+-Anwendung angeben. COM+ ruft CoInitializeSecurity für Sie auf, und dies kann nur einmal pro Prozess aufgerufen werden.
Die zugrunde liegenden Authentifizierungsdienste werden von COM und Microsoft Windows bereitgestellt. In einem Authentifizierungsdienst stellt ein Drittanbieter ein Zertifikat für einen Benutzer bereit, das die Echtheit der Identität des Benutzers bestätigt. Diese Zertifizierung ist ebenso glaubwürdig wie die Zertifizierungsstelle und hängt – ähnlich wie ein Führerschein oder Reisepass als Zertifizierungsdokument – von der Autorität des Ausstellers ab. Ausführlichere Informationen zu Authentifizierungsdiensten finden Sie unter COM- und Sicherheitspakete in der COM-Dokumentation.
Festlegen der Authentifizierung für COM+-Bibliotheksanwendungen
Für eine COM+-Bibliotheksanwendung aktivieren oder deaktivieren Sie die Authentifizierung, um zu bestimmen, ob die Anwendung der vom Hostingprozess durchgeführten Authentifizierung unterliegt. Obwohl die Authentifizierung für eine COM+-Bibliotheksanwendung weitgehend vom Hostingprozess gesteuert wird, können Sie die Bibliotheksanwendung so konfigurieren, dass sie nicht an der Authentifizierung teilnimmt. Das heißt, Aufrufe in die Anwendung können authentifiziert oder nicht authentifiziert werden, und im letzteren Fall ist die "Authentifizierung" von Clients immer erfolgreich. Weitere Informationen finden Sie unter Aktivieren der Authentifizierung für eine Bibliotheksanwendung.
Darüber hinaus möchten oder müssen Sie den Client bei der Datenbank oder bei einer nachgeschalteten Anwendung authentifizieren. Die Authentifizierung von Clients in der COM+-Anwendung allein reicht möglicherweise nicht aus. In diesem Fall müssen Sie die Identität des Clients annehmen, damit die Identität des Clients nachgelagert wird. Ausführliche Informationen zum Identitätswechsel finden Sie unter Identitätswechsel und Delegierung von Clients. Eine Erläuterung der Probleme bei der Entscheidung, ob die Authentifizierung auf der Datenebene erforderlich ist, finden Sie unter Anwendungssicherheit mit mehreren Ebenen.
Zugehörige Themen