Dzięki przystawce Menedżer autoryzacji można udostępniać usługi autoryzacji obsługiwanym administratorom, tworząc aplikacje Menedżera autoryzacji z dostępem do magazynów autoryzacji.
W Menedżerze autoryzacji nie ma domyślnego magazynu autoryzacji ani domyślnej aplikacji. Aby utworzyć magazyn autoryzacji, należy pracować w trybie dewelopera Menedżera autoryzacji. Aby uzyskać więcej informacji o pracy w trybie dewelopera, zobacz temat Ustawianie opcji Menedżera autoryzacji.
Magazyny autoryzacji można przechowywać w plikach XML, w usługach domenowych w usłudze Active Directory (Active Directory Domain Services, AD DS), w usługach LDS w usłudze AD (Active Directory Lightweight Directory Services, AD LDS) lub w bazach danych programu Microsoft SQL Server.
Następująca tabela zawiera porównanie różnych typów magazynów autoryzacji.
Typ magazynu autoryzacji | Obsługa delegowania | Magazyn autoryzacji jest określony przez | Wymagania | ||||
---|---|---|---|---|---|---|---|
Usługi domenowe w usłudze AD lub usługi LDS w usłudze AD |
Obsługiwana na poziomach magazynu autoryzacji, aplikacji i zakresu |
Adres URL rozpoczynający się od prefiksu protokołu MSLDAP:// lub nazwa wyróżniająca protokołu LDAP (na przykład CN=mój_magazyn,CN=Dane Programu ,DN=nwtraders,DN=com) |
Poziom funkcjonalności domeny musi być na poziomie systemu Windows Server 2003 lub wyższym.
| ||||
Plik XML |
Nieobsługiwane. Plik XML jest zabezpieczony jako całość przez wpisy kontroli dostępu (ACE) systemu plików NTFS. |
Adres URL rozpoczynający się od prefiksu protokołu MSXML:// lub ścieżka (na przykład C:\Temp\Mój_magazyn.xml lub \\Nazwa_serwera\Nazwa_udziału\Mój_magazyn.xml) |
Dowolna partycja NTFS | ||||
Serwer SQL |
Obsługiwana na poziomach magazynu autoryzacji, aplikacji i zakresu |
Adres URL rozpoczynający się od prefiksu protokołu MSSQL://, po którym następuje ciąg połączenia, nazwa bazy danych i nazwa magazynu zasad w następującym formacie: MSSQL://<łańcuch połączenia>/<nazwa bazy danych>/<nazwa magazynu zasad> |
Co najmniej Microsoft SQL Server 2000 |
Aplikacja jest określona dla magazynu autoryzacji i zawsze znajduje się bezpośrednio pod magazynem autoryzacji w Menedżerze autoryzacji. Aby uzyskać więcej informacji, zobacz temat Tworzenie aplikacji Menedżera autoryzacji.
Zakresy, role, zadania i operacje są zawsze określone dla aplikacji. Aby uzyskać więcej informacji, zobacz tematy Opis zakresów Menedżera autoryzacji i Opis roli, zadania i definicji operacji Menedżera autoryzacji.
Korzystanie z grup aplikacji
Grupa aplikacji to grupa użytkowników aplikacji Menedżera autoryzacji. Grupy aplikacji można tworzyć na dowolnym z trzech poziomów w konsoli Menedżera autoryzacji. Następująca tabela zawiera listę różnych poziomów Menedżera aplikacji, na których można tworzyć grupy aplikacji.
Poziom | Grupy aplikacji można używać w |
---|---|
Magazyn autoryzacji |
Magazynie autoryzacji i znajdujących się w nim aplikacjach i zakresach |
Aplikacja |
Aplikacji i znajdujących się w niej zakresach |
Zakres |
Zakresie |
Aby uzyskać więcej informacji o grupach aplikacji, zobacz temat Opis grup aplikacji Menedżera autoryzacji.
Delegowanie magazynów autoryzacji i aplikacji
Magazyny autoryzacji przechowywane w usługach domenowych w usłudze AD, usługach LDS w usłudze AD lub w programie SQL Server obsługują delegowanie. To znaczy, że można autoryzować inne osoby do administrowania tymi magazynami autoryzacji lub aplikacjami znajdującymi się w tych magazynach autoryzacji.
Aby uzyskać więcej informacji na temat delegowania, zobacz temat Zezwalanie innym użytkownikom na administrowanie magazynem autoryzacji