Resumo de integração de segurança

  • Artigo

Nos tópicos anteriores desta seção, falamos sobre os principais componentes do modelo de segurança do Windows Server AppFabric e examinamos como o AppFabric aproveita as contas e os grupos de Segurança do Windows. O AppFabric mapeia essas entidades de segurança do Windows com os conceitos de Segurança do IIS e do .NET Framework que, por sua vez, se correlacionam com Segurança do SQL Server usando nomes de login e funções de banco de dados. Este tópico resume como o modelo de segurança do AppFabric integra todas essas tecnologias de apoio para ajudar a criar um ambiente seguro para o seu aplicativo.

Funções Conceituais do AppFabric

Use estas funções conceituais para atribuir logicamente usuários e os respectivos níveis de permissão ao projetar sua arquitetura de segurança.

  • Usuários do Servidor de Aplicativos. Identidades do pool de aplicativos dos aplicativos executados no AppFabric.

  • Observadores do Servidor de Aplicativos. Pessoas que podem ver as propriedades e as informações dos aplicativos em execução.

  • Administradores de Servidor de Aplicativos. Pessoas que podem administrar ou controlar os aplicativos em execução e os serviços de sistema que ajudam na execução dos aplicativos.

Entidades de segurança do Windows

As funções conceituais do AppFabric se correlacionam com os grupos de segurança do Windows. Os grupos IIS_IUSRS, LOCALHOST\AS_Administrators e LOCALHOST\AS_Observers são criados durante a instalação local do IIS e do AppFabric apenas no computador local.

  • Grupo IIS_IUSRS. O IIS cria este grupo de segurança existente do Windows durante o processo de instalação, e o preenche dinamicamente no tempo de execução. Este grupo contém todas as identidades do pool de aplicativos na função conceitual Usuários do Servidor de Aplicativos do AppFabric. Ele tem permissão para persistir dados e emitir informações de rastreamento. Qualquer identidade usada por um pool de aplicativos será um membro do grupo IIS_IUSRS.

  • Grupo LOCALHOST\AS_Administrators. Este grupo de segurança local do Windows é criado em seu nome pela instalação do AppFabric. Seus usuários são correlacionados com a função conceitual de Administradores do Servidor de Aplicativos do AppFabric. Qualquer usuário que precise realizar tarefas administrativas do AppFabric deve estar neste grupo.

  • Grupo LOCALHOST\AS_Observers. Este grupo de segurança local do Windows é criado em seu nome pelo processo de instalação do AppFabric. Qualquer usuário que receber esta função receberá os privilégios descritos para a função conceitual Observadores do Servidor de Aplicativos.

Se usar o AppFabric em vários computadores de um ambiente de domínio, recomenda-se criar um grupo de domínio para cada uma das funções conceituais do AppFabric para uso em vários computadores servidores do AppFabric dentro desse domínio. Os usuários atribuídos a esses grupos recebem os privilégios associados a cada função conceitual, mas no nível de escopo do domínio. Depois de criar esses grupos de segurança de domínio do Windows, adicione contas de usuário de domínio para eles, de acordo com as necessidades de acesso e funções do AppFabric. Embora você possa denominá-los da maneira que quiser, faz sentido atribuir nomes descritivos a eles, tais como os grupos “DOMAIN\MyAppFabricAdmins” e “DOMAIN\MyAppFabricObservers”. Nos servidores locais do AppFabric, essas contas de domínio são colocadas no grupo LOCALHOST\AS_Administrators.

Para obter mais informações sobre como o AppFabric usa a segurança do Windows, consulte Segurança do Windows.

Segurança do IIS e do .NET Framework

Um aplicativo usa algumas partes da segurança do IIS quando está configurado para execução no modo de Transporte Misto. No entanto, nesse modo, o aplicativo baseia o seu comportamento de segurança mais na segurança do .NET Framework e do WCF do que na segurança do IIS. Se esse mesmo aplicativo for configurado para execução no modo de compatibilidade do ASP.NET, ele utilizará mais a autenticação do IIS e ignorará a segurança do WCF. Esta parte do modelo de segurança do AppFabric tem relação com a autenticação tanto do cliente quanto da identidade atribuída ao domínio de aplicativos ou processo que hospeda o aplicativo para acessar os dados de back-end do SQL Server. Para obter mais informações, consulte Segurança do IIS e do .NET Framework.

Nomes de Logon Funções de Banco de Dados do SQL Server

As funções conceituais do AppFabric se correlacionam com as funções de segurança do banco de dados SQL Server, que, por sua vez, se correlaciona da seguinte maneira com os grupos de segurança do Windows:

  • AS_Administrators. Se correlaciona com a conta do grupo LOCALHOST\AS_Administrators local, cujos usuários são originários do grupo conceitual Administradores do Servidor de Aplicativos do AppFabric. O nome de logon de AS_Administrators é atribuído às funções do banco de dados SQL Server que são necessárias para administrar os repositórios de persistência e monitoramento.

  • AS_Observers. Se correlaciona com a conta do grupo LOCALHOST\AS_Observers local, cujos usuários são originários do grupo conceitual Observers do Servidor de Aplicativos do AppFabric. O nome de logon de AS_Observers é atribuído às funções do banco de dados SQL Server que são necessárias para observar (mas não administrar) os repositórios de persistência e monitoramento.

  • IIS_IUSRS Se correlaciona com a conta do grupo BUILTIN\IIS_IUSRS local, cujos usuários são originários do grupo conceitual Usuários do Servidor de Aplicativos do AppFabric. O nome de logon do IIS_IUSRS é atribuído às funções do banco de dados SQL Server necessárias para todos os aplicativos executados com essa conta de login para acessar os repositórios de persistência e monitoramento em tempo de execução.

As funções conceituais do AppFabric se correlacionam com as funções do banco de dados SQL Server em uma configuração de permissões semelhante à dos seus respectivos nomes de usuário. Por exemplo, a conta de login AS_Administrators tem mais permissões de acesso do que a conta de login AS_Observers. Para obter mais informações sobre as funções específicas do banco de dados e as permissões que esses nomes de logon recebem, consulte a seção "Logons no SQL Server" de Segurança do SQL Server.

securitySegurança Observação
Terceiros que forneçam implementações de armazenamento de banco de dados que não sejam SQL Server devem estabelecer a relação do seu modelo de segurança com as funções conceituais do AppFabric.

  2011-12-05