Freigeben über

Gewusst wie: Erstellen einer benutzerdefinierten Autorisierungsrichtlinie

  • Artikel

Die Identitätsmodellinfrastruktur in Windows Communication Foundation (WCF) unterstützt ein anspruchsbasiertes Autorisierungsmodell. Ansprüche werden aus Token extrahiert, wahlweise von der benutzerdefinierten Autorisierungsrichtlinie verarbeitet und in einen AuthorizationContext platziert, der dann untersucht werden kann, um Autorisierungsentscheidungen zu treffen. Eine benutzerdefinierte Richtlinie kann zum Transformieren von Ansprüchen von eingehenden Token in von der Anwendung erwartete Ansprüche verwendet werden. Auf diese Art und Weise kann die Anwendungsschicht gegenüber Details zu den verschiedenen Ansprüchen abgeschirmt werden, die von den verschiedenen, von WCF unterstützten Tokentypen gestellt werden. In diesem Thema wird gezeigt, wie eine benutzerdefinierte Autorisierungsrichtlinie implementiert und wie diese Richtlinie einer Sammlung von Richtlinien, die von einem Dienst verwendet werden, hinzugefügt wird.

So implementieren Sie eine benutzerdefinierte Autorisierungsrichtlinie

  1. Definieren Sie eine neue Klasse, die von IAuthorizationPolicy abgeleitet wird.

  2. Implementieren Sie die schreibgeschützte Id-Eigenschaft, indem Sie eine eindeutige Zeichenfolge im Konstruktor für die Klasse generieren und diese Zeichenfolge bei jedem Zugriff auf die Eigenschaft zurückgeben.

  3. Implementieren Sie die schreibgeschützte Issuer-Eigenschaft, indem Sie einen ClaimSet zurückgeben, der den Richtlinienaussteller darstellt. Dies könnte ein ClaimSet sein, der die Anwendung darstellt oder einen integrierten ClaimSet (z. B. den ClaimSet, der von der statischen System-Eigenschaft zurückgegeben wurde).

  4. Implementieren Sie die Evaluate-Methode, wie in der folgenden Prozedur beschrieben.

So implementieren Sie die Evaluate-Methode

  1. Zwei Parameter werden an diese Methode übergeben: eine Instanz der EvaluationContext-Klasse und ein Objektverweis.

  2. Wenn die benutzerdefinierte Autorisierungsrichtlinie ClaimSet-Instanzen ohne Beachtung des aktuellen Inhalts des EvaluationContext zurückgibt, dann fügen Sie jeden ClaimSet hinzu, indem Sie die AddClaimSet-Methode aufrufen und true von der Evaluate-Methode zurückgeben. Die Rückgabe von true zeigt der Autorisierungsinfrastruktur an, dass die Autorisierungsrichtlinie ihre Funktion erfüllt hat und nicht erneut aufgerufen werden muss.

  3. Wenn die benutzerdefinierte Autorisierungsrichtlinie Sätze von Ansprüchen nur hinzufügt, wenn bestimmte Ansprüche bereits im EvaluationContext vorhanden sind, suchen Sie diese Ansprüche, indem Sie die ClaimSet-Instanzen, die von der ClaimSets-Eigenschaft zurückgegeben werden, analysieren. Wenn die Ansprüche vorhanden sind, fügen Sie den neuen Satz von Ansprüchen hinzu, indem Sie die AddClaimSet-Methode aufrufen, und geben Sie true zurück, wenn keine weiteren Sätze von Ansprüchen hinzugefügt werden müssen. Dies zeigt der Autorisierungsinfrastruktur an, dass die Autorisierungsrichtlinie ihre Funktion erfüllt hat. Wenn die Ansprüche nicht vorhanden sind, geben Sie false zurück. Dies gibt an, dass die Autorisierungsrichtlinie erneut aufgerufen werden muss, wenn andere Autorisierungsrichtlinien dem EvaluationContext weitere Sätze von Ansprüchen hinzufügen.

  4. In komplexeren Verarbeitungsszenarien wird der zweite Parameter der Evaluate-Methode zum Speichern einer Zustandsvariablen verwendet, die von der Autorisierungsinfrastruktur bei jedem nachfolgenden Aufruf der Evaluate-Methode für eine bestimmte Auswertung zurückgegeben wird.

So geben Sie eine benutzerdefinierte Autorisierungsrichtlinie durch Konfiguration an

  1. Geben Sie den Typ der benutzerdefinierten Autorisierungsrichtlinie im policyType-Attribut des add-Elements und des authorizationPolicies-Elements des serviceAuthorization-Elements an.

    <configuration>
 <system.serviceModel>
  <behaviors>
    <serviceAuthorization serviceAuthorizationManagerType=
              "Samples.MyServiceAuthorizationManager" >
      <authorizationPolicies>       
        <add policyType="Samples.MyAuthorizationPolicy"
      </authorizationPolicies>
    </serviceAuthorization>
  </behaviors>
 </system.serviceModel>
</configuration>

So geben Sie eine benutzerdefinierte Autorisierungsrichtlinie durch Code an

  1. Erstellen Sie eine List von IAuthorizationPolicy.

  2. Erstellen Sie eine Instanz der benutzerdefinierten Autorisierungsrichtlinie.

  3. Fügen Sie der Liste die Autorisierungsrichtlinieninstanz hinzu.

  4. Wiederholen Sie die Schritte 2 und 3 für jede benutzerdefinierte Autorisierungsrichtlinie.

  5. Weisen Sie der ExternalAuthorizationPolicies-Eigenschaft eine schreibgeschützte Version der Liste zu.

Beispiel

Im folgenden Beispiel wird eine vollständige Implementierung der IAuthorizationPolicy veranschaulicht.

Siehe auch

Referenz

ServiceAuthorizationManager

Weitere Ressourcen

How To: Compare Claims
How To: Create a Custom AuthorizationManager on a Service
Authorization Policy Sample