ClaimsAuthorizationManager.CheckAccess(AuthorizationContext) メソッド

  • リファレンス

定義

名前空間:
System.Security.Claims
アセンブリ:
System.IdentityModel.dll

派生クラスで実装された場合、指定されたリソースで指定されたアクションを実行するために、指定されたコンテキストでサブジェクトの承認を確認します。

public:
 virtual bool CheckAccess(System::Security::Claims::AuthorizationContext ^ context);
public virtual bool CheckAccess (System.Security.Claims.AuthorizationContext context);
abstract member CheckAccess : System.Security.Claims.AuthorizationContext -> bool
override this.CheckAccess : System.Security.Claims.AuthorizationContext -> bool
Public Overridable Function CheckAccess (context As AuthorizationContext) As Boolean

パラメーター

context
AuthorizationContext

認証がチェックされるサブジェクト、リソース、およびアクションを含む認証コンテキスト。

戻り値

Boolean

サブジェクトが指定したリソースで指定されたアクションを実行することが承認されている場合は true。それ以外の場合は false

このトピックで ClaimsAuthorizationManager 使用されるコード例は、サンプルから抜粋したものです Claims Based Authorization 。 このサンプルでは、構成で指定されたポリシーに基づいてサブジェクトを承認できるカスタム要求承認マネージャーを提供します。 カスタム要求承認マネージャーは、3 つの基本コンポーネント (マネージャーを実装するクラス ClaimsAuthorizationManagerResourceAction リソースとアクションをペアにするクラス、構成ファイルで指定されたポリシーを読み取ってコンパイルするポリシー リーダー) で構成されます。 このコンパイル済みポリシーは、要求承認マネージャーがリソースへのアクセスを承認するためにプリンシパルを評価するために使用できます。 簡潔にするために、すべての要素が表示されるわけではありません。 WIF で使用できるこのサンプルとその他のサンプルの詳細と、それらをダウンロードする場所については、 WIF コード サンプル インデックスを参照してください。

次のコードは、メソッドのオーバーライドを CheckAccess 示しています。 このメソッドは、構成ファイルから読み取られ、コンパイルされたポリシーに基づいてアクセスを許可または拒否します。

static Dictionary<ResourceAction, Func<ClaimsPrincipal, bool>> _policies = new Dictionary<ResourceAction, Func<ClaimsPrincipal, bool>>();
PolicyReader _policyReader = new PolicyReader();

    /// <summary>
    /// Checks if the principal specified in the authorization context is authorized to perform action specified in the authorization context 
    /// on the specified resoure
    /// </summary>
    /// <param name="pec">Authorization context</param>
    /// <returns>true if authorized, false otherwise</returns>
    public override bool CheckAccess(AuthorizationContext pec)
    {
        //
        // Evaluate the policy against the claims of the 
        // principal to determine access
        //
        bool access = false;
        try
        {
            ResourceAction ra = new ResourceAction(pec.Resource.First<Claim>().Value, pec.Action.First<Claim>().Value);

            access = _policies[ra](pec.Principal);
        }
        catch (Exception)
        {
            access = false;
        }

        return access;
    }
}

次のコードは、 ResourceAction カスタム要求マネージャーによって使用されるクラスを示しています。


using System;

namespace ClaimsAuthorizationLibrary
{
    /// <summary>
    /// Class to encapsulate resource/action pair
    /// </summary>
    public class ResourceAction
    {
        public string Resource;
        public string Action;

        /// <summary>
        /// Checks if the current instance is equal to the given object by comparing the resource and action values
        /// </summary>
        /// <param name="obj">object to compare to</param>
        /// <returns>True if equal, else false.</returns>
        public override bool Equals(object obj)
        {
            ResourceAction ra = obj as ResourceAction;
            if (ra != null)
            {
                return ((string.Compare(ra.Resource, Resource, true) == 0) && (string.Compare(ra.Action, Action, true) == 0));
            }

            return base.Equals(obj);
        }

        /// <summary>
        /// Gets the hash code.
        /// </summary>
        /// <returns>The hash code.</returns>
        public override int GetHashCode()
        {
            return (Resource + Action).ToLower().GetHashCode();
        }

        /// <summary>
        /// Creates an instance of ResourceAction class.
        /// </summary>
        /// <param name="resource">The resource name.</param>
        /// <param name="action">The action.</param>
        /// <exception cref="ArgumentNullException">when <paramref name="resource"/> is null</exception>
        public ResourceAction(string resource, string action)
        {
            if (string.IsNullOrEmpty(resource))
            {
                throw new ArgumentNullException("resource");
            }

            Resource = resource;
            Action = action;
        }
    }
}

クレーム承認マネージャーで使用されるポリシーは、claimsAuthorizationManager> 要素の下の<カスタム<policy>要素によって指定されます。 このポリシーは、メソッドによって LoadCustomConfiguration 読み取られ、コンパイルされます。 最初のポリシーでは、指定したリソースに対して指定したアクションを実行するには、プリンシパルが指定した要求のいずれかを所有している必要があります。 2 番目のポリシーでは、プリンシパルは、指定したリソースに対して指定されたアクションを実行できるようにするために、両方の要求を保持する必要があります。 それ以外の場合は、プリンシパルが所有する要求に関係なく、プリンシパルに自動的にアクセス権が付与されます。

<system.identityModel>
  <identityConfiguration>
    <claimsAuthorizationManager type="ClaimsAuthorizationLibrary.MyClaimsAuthorizationManager, ClaimsAuthorizationLibrary">
      <policy resource="http://localhost:28491/Developers.aspx" action="GET">
        <or>
          <claim claimType="http://schemas.microsoft.com/ws/2008/06/identity/claims/role" claimValue="developer" />
          <claim claimType="http://schemas.xmlsoap.org/claims/Group" claimValue="Administrator" />
        </or>
      </policy>
      <policy resource="http://localhost:28491/Administrators.aspx" action="GET">
        <and>
          <claim claimType="http://schemas.xmlsoap.org/claims/Group" claimValue="Administrator" />
          <claim claimType="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/country" claimValue="USA" />
        </and>
      </policy>
      <policy resource="http://localhost:28491/Default.aspx" action="GET">
      </policy>
      <policy resource="http://localhost:28491/" action="GET">
      </policy>
      <policy resource="http://localhost:28491/Claims.aspx" action="GET">
      </policy>
    </claimsAuthorizationManager>

    ...

  </identityConfiguration>
</system.identityModel>

注釈

基本実装では、常にアクセスを true承認する戻り値が返されます。 派生クラスでこのメソッドをオーバーライドして、RP アプリケーションの要件に基づいてアクセスを承認できます。 このメソッドが返falseされた場合、Windows Identity Foundation (WIF) は、承認されていないエラーを呼び出し元に返します。それ以外の場合は、実行が RP アプリケーションに渡されます。

適用対象