С помощью диспетчера авторизации можно предоставить администраторам службы авторизации, поддерживаемые путем создания приложений диспетчера авторизации, имеющих доступ к хранилищам данных авторизации.
В диспетчере авторизации нет ни хранилища данных авторизации по умолчанию, ни приложения по умолчанию. Чтобы создать хранилище данных авторизации, необходимо переключить диспетчер авторизации в режим разработчика. Дополнительные сведения о работе в режиме разработчика см. в разделе Установка параметров диспетчера авторизации.
Хранилища данных авторизации можно размещать в файлах XML, в доменных службах Active Directory (AD DS), службах Active Directory облегченного доступа к каталогам (AD LDS) или в базах данных Microsoft SQL Server.
Сравнение различных типов хранилищ приведено в следующей таблице.
| Тип хранилища данных авторизации | Поддержка делегирования | Как указывается хранилище данных авторизации | Требования | ||||
|---|---|---|---|---|---|---|---|
|
AD DS или AD LDS |
Поддерживается на уровнях хранилищ данных авторизации, приложений и областей |
URL-адрес, начинающийся с префикса протокола MSLDAP:// или составное имя LDAP (например, CN=myStore,CN=Program Data,DN=nwtraders,DN=com) |
Домен должен иметь режим работы Windows Server 2003 или выше.
| ||||
|
XML |
Не поддерживается Безопасность XML-файла в целом обеспечивается записями управления доступом (ACE) файловой системы NTFS. |
URL-адрес, начинающийся с префикса протокола MSXML://, или путь (например, C:\Temp\MyStore.xml или \\ServerName\ShareName\MyStore.xml) |
Любой раздел NTFS | ||||
|
SQL Server |
Поддерживается на уровнях хранилищ данных авторизации, приложений и областей |
URL-адрес, начинающийся с префикса протокола MSSQL://, после которого следует строка подключения, имя базы данных и имя хранилища политик в следующем формате: MSSQL://<строка подключения>/<имя базы данных>/<имя хранилища политик> |
Не ниже Microsoft SQL Server 2000 |
Приложение относится к конкретному хранилищу данных авторизации и всегда расположено непосредственно под родительским хранилищем данных авторизации в диспетчере авторизации. Дополнительные сведения см. в разделе Создание приложения диспетчера авторизации.
Области, роли, задачи и операции всегда связаны с конкретным приложением. Дополнительные сведения см. в разделе Общее представление об областях диспетчера авторизации и Общее представление об определениях ролей, задач и операций диспетчера авторизации.
Использование групп приложений
Группой приложения называется группа, в которую входят пользователи приложения диспетчера авторизации. Группы приложений можно создавать на любом из трех уровней консоли диспетчера авторизации. Уровни диспетчера авторизации, на которых можно создавать группы приложений, перечислены в следующей таблице.
| Уровень | Место применения группы приложения |
|---|---|
|
Хранилище данных авторизации |
Хранилище данных авторизации, а также относящиеся к нему приложения и области |
|
Применение |
Относящееся к нему приложение и области |
|
Область |
Область |
Дополнительные сведения о группах приложений см. в разделе Общее представление о группах приложения диспетчера авторизации.
Делегирование хранилищ данных авторизации и приложений
Хранилища данных авторизации в AD DS, AD LDS и SQL Server поддерживают делегирование. Это означает, что права на администрирование этих хранилищ данных авторизации или содержащихся в них приложений можно передавать другим пользователям.
Дополнительные сведения о делегировании см. в разделе Разрешение другим пользователям администрировать хранилище данных авторизации.