Imiter «RBAC AuthZ» d'Exchange Server dans ma propre application… (y a-t-il quelque chose de similaire?)

Exchange 2010 dispose d'un modèle de délégation dans lequel les groupes d' applets de commande winrm sont essentiellement regroupés en rôles et les rôles attribués à un utilisateur.

( Source de l'image )

Il s'agit d'un modèle génial et flexible compte tenu de la façon dont je peux tirer parti de tous les avantages de PowerShell, tout en utilisant les bonnes technologies de bas niveau (WCF, SOAP, etc.), et ne nécessitant aucun logiciel supplémentaire du côté client.

( Source de l'image )

Des questions)

1. Existe-t-il un moyen de tirer parti du modèle de délégation d'Exchange dans mon application .NET?

2. Quelqu'un a-t-il tenté d'imiter ce modèle?

3. Si je dois repartir de zéro, comment pourrais-je imiter cette approche?

Les deux plus grands RBAC pour .NET sont NetSqlAzMan http://netsqlazman.codeplex.com/ et RhinoSecurity https://github.com/ayende/rhino-security

Si vous finissez par suivre la voie du départ à partir de zéro, vous pouvez utiliser l'une des options ci-dessus comme base de départ.

Exchange fournit un espace d'exécution restreint et aucune applet de commande n'est réellement disponible dans cet espace d'exécution. Ce qui semble être des applets de commande sont en fait des fonctions proxy. Vos capacités dans l'espace d'exécution sont contrôlées en limitant les fonctions proxy fournies et les capacités de chaque applet de commande exposées par la fonction proxy.

La duplication qui impliquerait le développement de routines qui remplissent l'espace d'exécution avec des fonctions proxy adaptées à l'utilisateur demandant l'espace d'exécution, en fonction des groupes de rôles auxquels elles appartiennent. Je ne vois aucune raison pour laquelle les groupes AD ne pourraient pas être vos groupes de rôles.

Les détails d'implémentation seraient spécifiques à l'application, mais cela signifie essentiellement que vous limitez qui peut utiliser quels paramètres des applets de commande en choisissant les paramètres que les fonctions proxy fournies à cet utilisateur auront et / ou en limitant les valeurs que la fonction acceptera pour des paramètres particuliers.