Cara: Membuat Kebijakan Otorisasi Kustom
Infrastruktur Model Identitas di Windows Communication Foundation (WCF) mendukung model otorisasi berbasis klaim. Klaim diekstrak dari token, yang secara opsional diproses oleh kebijakan otorisasi kustom, lalu ditempatkan ke dalam AuthorizationContext yang kemudian dapat diperiksa untuk membuat keputusan otorisasi. Kebijakan khusus dapat digunakan untuk mengubah klaim dari token masuk menjadi klaim yang diharapkan oleh aplikasi. Dengan cara ini, lapisan aplikasi dapat diisolasi dari detail tentang klaim yang berbeda yang dilayani oleh berbagai jenis token yang didukung WCF. Topik ini menunjukkan cara mengimplementasikan kebijakan otorisasi khusus dan cara menambahkan kebijakan tersebut ke kumpulan kebijakan yang digunakan oleh layanan.
Untuk mengimplementasikan kebijakan otorisasi kustom
Tentukan kelas baru yang berasal dari IAuthorizationPolicy.
Implementasikan properti Id baca-saja dengan membuat string unik di konstruktor untuk kelas dan menampilkan string tersebut setiap kali properti diakses.
Implementasikan properti Issuer baca-saja dengan menampilkan ClaimSet yang mewakili pengeluar sertifikat kebijakan. Hal ini bisa menjadi
ClaimSet
yang mewakili aplikasi atauClaimSet
bawaan (misalnya,ClaimSet
yang ditampilkan oleh properti System statis.Implementasikan metode Evaluate(EvaluationContext, Object) seperti yang dijelaskan dalam prosedur berikut.
Untuk mengimplementasikan metode Evaluasi
Dua parameter diteruskan ke metode ini: instans kelas EvaluationContext dan referensi objek.
Jika kebijakan otorisasi kustom menambahkan instans ClaimSet tanpa memperhatikan konten EvaluationContext saat ini, tambahkan tiap-tiap
ClaimSet
dengan memanggil metode AddClaimSet(IAuthorizationPolicy, ClaimSet) dan tampilkantrue
dari metode Evaluate. Menampilkantrue
menunjukkan kepada infrastruktur otorisasi bahwa kebijakan otorisasi telah menjalankan pekerjaannya dan tidak perlu dipanggil lagi.Jika kebijakan otorisasi kustom menambahkan set klaim hanya jika klaim tertentu sudah ada di
EvaluationContext
, maka cari klaim tersebut dengan memeriksa instansClaimSet
yang ditampulkan oleh properti ClaimSets. Jika klaim ada, maka tambahkan kumpulan klaim baru dengan memanggil metode AddClaimSet(IAuthorizationPolicy, ClaimSet) dan, jika tidak ada lagi kumpulan klaim yang akan ditambahkan, tampilkantrue
, yang menunjukkan kepada infrastruktur otorisasi bahwa kebijakan otorisasi telah menyelesaikan pekerjaannya. Jika klaim tidak ada, tampilkanfalse
, yang menunjukkan bahwa kebijakan otorisasi harus dipanggil lagi jika kebijakan otorisasi lain menambahkan lebih banyak kumpulan klaim keEvaluationContext
.Dalam skenario pemrosesan yang lebih kompleks, parameter kedua metode Evaluate(EvaluationContext, Object) digunakan untuk menyimpan variabel status yang akan diteruskan kembali oleh infrastruktur otorisasi selama setiap panggilan berikutnya ke metode Evaluate(EvaluationContext, Object) untuk evaluasi tertentu.
Untuk menentukan kebijakan otorisasi kustom melalui konfigurasi
Tentukan jenis kebijakan otorisasi kustom dalam atribut
policyType
dalam elemenadd
dalam elemenauthorizationPolicies
dalam elemenserviceAuthorization
.<configuration> <system.serviceModel> <behaviors> <serviceAuthorization serviceAuthorizationManagerType= "Samples.MyServiceAuthorizationManager" > <authorizationPolicies> <add policyType="Samples.MyAuthorizationPolicy" /> </authorizationPolicies> </serviceAuthorization> </behaviors> </system.serviceModel> </configuration>
Untuk menentukan kebijakan otorisasi kustom melalui kode
Buat List<T> dari IAuthorizationPolicy.
Buat instans kebijakan otorisasi kustom.
Tambahkan instans kebijakan otorisasi ke daftar.
Ulangi langkah 2 dan 3 untuk setiap kebijakan otorisasi kustom.
Tetapkan versi daftar baca-saja ke properti ExternalAuthorizationPolicies.
// Add a custom authorization policy to the service authorization behavior. List<IAuthorizationPolicy> policies = new List<IAuthorizationPolicy>(); policies.Add(new MyAuthorizationPolicy()); serviceHost.Authorization.ExternalAuthorizationPolicies = policies.AsReadOnly();
' Add custom authorization policy to service authorization behavior. Dim policies As List(Of IAuthorizationPolicy) = New List(Of IAuthorizationPolicy)() policies.Add(New MyAuthorizationPolicy()) serviceHost.Authorization.ExternalAuthorizationPolicies = policies.AsReadOnly()
Contoh
Contoh berikut menunjukkan implementasi IAuthorizationPolicy yang lengkap.
public class MyAuthorizationPolicy : IAuthorizationPolicy
{
string id;
public MyAuthorizationPolicy()
{
id = Guid.NewGuid().ToString();
}
public bool Evaluate(EvaluationContext evaluationContext, ref object state)
{
bool bRet = false;
CustomAuthState customstate = null;
// If the state is null, then this has not been called before so
// set up a custom state.
if (state == null)
{
customstate = new CustomAuthState();
state = customstate;
}
else
{
customstate = (CustomAuthState)state;
}
// If claims have not been added yet...
if (!customstate.ClaimsAdded)
{
// Create an empty list of claims.
IList<Claim> claims = new List<Claim>();
// Iterate through each of the claim sets in the evaluation context.
foreach (ClaimSet cs in evaluationContext.ClaimSets)
// Look for Name claims in the current claimset.
foreach (Claim c in cs.FindClaims(ClaimTypes.Name, Rights.PossessProperty))
// Get the list of operations the given username is allowed to call.
foreach (string s in GetAllowedOpList(c.Resource.ToString()))
{
// Add claims to the list.
claims.Add(new Claim("http://example.org/claims/allowedoperation", s, Rights.PossessProperty));
Console.WriteLine("Claim added {0}", s);
}
// Add claims to the evaluation context.
evaluationContext.AddClaimSet(this, new DefaultClaimSet(this.Issuer, claims));
// Record that claims were added.
customstate.ClaimsAdded = true;
// Return true, indicating that this method does not need to be called again.
bRet = true;
}
else
{
// Should never get here, but just in case, return true.
bRet = true;
}
return bRet;
}
public ClaimSet Issuer
{
get { return ClaimSet.System; }
}
public string Id
{
get { return id; }
}
// This method returns a collection of action strings that indicate the
// operations the specified username is allowed to call.
private IEnumerable<string> GetAllowedOpList(string username)
{
IList<string> ret = new List<string>();
if (username == "test1")
{
ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add");
ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Multiply");
ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract");
}
else if (username == "test2")
{
ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add");
ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract");
}
return ret;
}
// Internal class for keeping track of state.
class CustomAuthState
{
bool bClaimsAdded;
public CustomAuthState()
{
bClaimsAdded = false;
}
public bool ClaimsAdded
{
get { return bClaimsAdded; }
set { bClaimsAdded = value; }
}
}
}
Public Class MyAuthorizationPolicy
Implements IAuthorizationPolicy
Private id_Value As String
Public Sub New()
id_Value = Guid.NewGuid().ToString()
End Sub
Public Function Evaluate(ByVal evaluationContext As EvaluationContext, ByRef state As Object) As Boolean _
Implements IAuthorizationPolicy.Evaluate
Dim bRet As Boolean = False
Dim customstate As CustomAuthState = Nothing
' If the state is null, then this has not been called before, so set up
' our custom state.
If state Is Nothing Then
customstate = New CustomAuthState()
state = customstate
Else
customstate = CType(state, CustomAuthState)
End If
' If claims have not been added yet...
If Not customstate.ClaimsAdded Then
' Create an empty list of Claims.
Dim claims as IList(Of Claim) = New List(Of Claim)()
' Iterate through each of the claimsets in the evaluation context.
Dim cs As ClaimSet
For Each cs In evaluationContext.ClaimSets
' Look for Name claims in the current claimset...
Dim c As Claim
For Each c In cs.FindClaims(ClaimTypes.Name, Rights.PossessProperty)
' Get the list of operations that the given username is allowed to call.
Dim s As String
For Each s In GetAllowedOpList(c.Resource.ToString())
' Add claims to the list.
claims.Add(New Claim("http://example.org/claims/allowedoperation", s, Rights.PossessProperty))
Console.WriteLine("Claim added {0}", s)
Next s
Next c
Next cs ' Add claims to the evaluation context.
evaluationContext.AddClaimSet(Me, New DefaultClaimSet(Me.Issuer, claims))
' Record that claims were added.
customstate.ClaimsAdded = True
' Return true, indicating that this does not need to be called again.
bRet = True
Else
' Should never get here, but just in case...
bRet = True
End If
Return bRet
End Function
Public ReadOnly Property Issuer() As ClaimSet Implements IAuthorizationPolicy.Issuer
Get
Return ClaimSet.System
End Get
End Property
Public ReadOnly Property Id() As String Implements IAuthorizationPolicy.Id
Get
Return id_Value
End Get
End Property
' This method returns a collection of action strings that indicate the
' operations the specified username is allowed to call.
' Operations the specified username is allowed to call.
Private Function GetAllowedOpList(ByVal userName As String) As IEnumerable(Of String)
Dim ret As IList(Of String) = new List(Of String)()
If username = "test1" Then
ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add")
ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Multiply")
ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract")
ElseIf username = "test2" Then
ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add")
ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract")
End If
Return ret
End Function
' internal class for keeping track of state
Class CustomAuthState
Private bClaimsAdded As Boolean
Public Sub New()
bClaimsAdded = False
End Sub
Public Property ClaimsAdded() As Boolean
Get
Return bClaimsAdded
End Get
Set
bClaimsAdded = value
End Set
End Property
End Class
End Class