Imiter «RBAC AuthZ» d'Exchange Server dans ma propre application… (y a-t-il quelque chose de similaire?)


9

Exchange 2010 dispose d'un modèle de délégation dans lequel les groupes d' applets de commande winrm sont essentiellement regroupés en rôles et les rôles attribués à un utilisateur.

Image des rôles d'échange ( Source de l'image )

Il s'agit d'un modèle génial et flexible compte tenu de la façon dont je peux tirer parti de tous les avantages de PowerShell, tout en utilisant les bonnes technologies de bas niveau (WCF, SOAP, etc.), et ne nécessitant aucun logiciel supplémentaire du côté client.

image du fonctionnement de l'administrateur distant d'Exchange 2010 ( Source de l'image )

Des questions)

  1. Existe-t-il un moyen de tirer parti du modèle de délégation d'Exchange dans mon application .NET?

  2. Quelqu'un a-t-il tenté d'imiter ce modèle?

  3. Si je dois repartir de zéro, comment pourrais-je imiter cette approche?


Avez-vous fait des progrès avec cela? Je suis particulièrement curieux de savoir comment implémenter la partie 'destinataire / configuration avec portée' du modèle.
Jacco

Réponses:



1

Exchange fournit un espace d'exécution restreint et aucune applet de commande n'est réellement disponible dans cet espace d'exécution. Ce qui semble être des applets de commande sont en fait des fonctions proxy. Vos capacités dans l'espace d'exécution sont contrôlées en limitant les fonctions proxy fournies et les capacités de chaque applet de commande exposées par la fonction proxy.

La duplication qui impliquerait le développement de routines qui remplissent l'espace d'exécution avec des fonctions proxy adaptées à l'utilisateur demandant l'espace d'exécution, en fonction des groupes de rôles auxquels elles appartiennent. Je ne vois aucune raison pour laquelle les groupes AD ne pourraient pas être vos groupes de rôles.

Les détails d'implémentation seraient spécifiques à l'application, mais cela signifie essentiellement que vous limitez qui peut utiliser quels paramètres des applets de commande en choisissant les paramètres que les fonctions proxy fournies à cet utilisateur auront et / ou en limitant les valeurs que la fonction acceptera pour des paramètres particuliers.


Ça a du sens; avez-vous plus d'informations sur la façon de créer une telle fonction proxy? Je peux comprendre la pièce AD ​​/ AzMan.
goodguys_activate

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.