В диспетчере авторизации получатели политики авторизации представлены следующими различными видами групп.

  • Пользователи и группы Windows. Эти группы включают пользователей, компьютеры и встроенные группы для субъектов безопасности. Пользователи и группы Windows используются не только в диспетчере авторизации, а в Windows в общем.

  • Группы приложений. Эти группы включают группы основных приложений и группы запросов LDAP. Группы приложений используются при администрировании на основе ролей в диспетчере авторизации.

Важно!

Группа приложения - это группа пользователей, компьютеров и других субъектов безопасности. Группа приложения не является набором приложений.

  • Группы запросов LDAP. Членство в этих группах определяется динамически по мере необходимости на основании запросов LDAP. Группы запросов LDAP являются одним из типов группы приложения.

  • Группы основных приложений. Эти группы включают группы запросов LDAP, пользователей и группы Windows, а также другие группы основных приложений. Основная группа приложения является одним из типов группы приложения.

  • Группа приложения бизнес-правил. Эти группы определяются сценарием, написанным на языке VBScript или Jscript, что позволяет динамически определять членство в группе во время выполнения на основе заданных критериев.

Пользователи и группы Windows

Дополнительные сведения о группах в доменных службах Active Directory (AD DS) см. на веб-сайте Управление доступом, основанное на ролях, в многоуровневых приложениях с помощью диспетчера авторизации (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=64287). Дополнительные сведения о субъектах безопасности, не хранящихся в доменных службах Active Directory, см. на веб-сайте Технический справочник по субъектам безопасности (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?LinkId=129213).

Группы приложений

При создании новой группы приложения необходимо определить, будет она группой запросов LDAP или основной группой приложения. Для приложений диспетчера авторизации на основе ролей любая авторизация, выполняемая с помощью пользователей и групп Windows, может быть также выполнена и с помощью групп приложений.

Определение циклического членства запрещено и вызывает сообщение об ошибке «Не удается добавить <имя группы>. Произошла следующая ошибка: был обнаружен бесконечный цикл».

Группы запросов LDAP

В диспетчере авторизации для поиска объектов в доменных службах Active Directory (AD DS), службах Active Directory облегченного доступа к каталогам (AD LDS) и других совместимых с LDAP каталогах можно использовать запросы LDAP.

Группу запросов LDAP можно указать путем введения желаемого запроса LDAP на вкладке Запрос диалогового окна Свойства группы приложения.

Диспетчер авторизации поддерживает два типа LDAP-запросов, которые можно использовать для определения группы запросов LDAP: запросы диспетчера авторизации версии 1 и URL-запросы LDAP.

  • LDAP-запросы диспетчера авторизации версии 1

    LDAP-запросы версии 1 обеспечивают ограниченную поддержку синтаксиса URL-запросов LDAP, описанного в стандарте RFC 2255. Их возможности ограничены запросами к списку атрибутов объекта пользователя, указанного в текущем клиентском контексте.

    Например, следующий запрос производит поиск всех имен, за исключением Andy.

    (&(objectCategory=person)(objectClass=user)(!cn=andy)).

    Этот запрос позволяет узнать, является ли клиент членом псевдонима StatusReports в домене northwindtraders.com:

    (memberOf=CN=StatusReports,OU=Distribution Lists,DC=nwtraders,DC=com)

    Диспетчер авторизации поддерживает запросы версии 1 для упрощения обновления решений, разработанных с помощью более ранних версий диспетчера авторизации.

  • LDAP URL-запросы

    Для снятия ограничений на поиск объектов и атрибутов диспетчер авторизации поддерживает синтаксис LDAP URL-запросов, основанный на стандарте RFC 2255. Это позволяет создавать группы запросов LDAP, использующие объекты каталогов, отличных от текущего объекта пользователя, в качестве корня поиска.

    URL формата LDAP начинается с приставки протокола «ldap» и составляется по следующему формату:

Примечание

Для различающихся имен также используется сокращение DN.

ldap://<сервер:порт>/<DNбазовогоОбъекта>?<атрибуты>?<областьЗапроса>?<фильтр>

Поддерживается следующий синтаксис:

       ldapurl    = scheme "://" [hostport] ["/"
                    [dn ["?" [attributes] ["?" [scope]
                    ["?" [filter]]]]]]
       scheme     = "ldap"
       attributes = attrdesc *("," attrdesc)
       scope      = "base" / "one" / "sub"
       dn         = distinguishedName
       hostport   = hostport
       attrdesc   = AttributeDescription
       filter     = filter

Например, следующий запрос возвращает список пользователей, у которых атрибут компании имеет значение «FabCo», с LDAP-сервера, работающего на узле «fabserver» (порт 389).

ldap://fabserver:389/OU=Customers,DC=FABCO-PN,DC=com?*?sub?(&(company=FabCo)(objectClass=user)(objectCategory=user))

При создании URL-запроса LDAP можно использовать специальный заполнитель - %AZ_CLIENT_DN%. Значение заполнителя заменяется различающимся именем (DN) клиента, выполняющего проверку доступа. Это позволяет создавать запросы, которые возвращают объекты из каталога, исходя из их отношения к различающемуся имени клиента, выполняющего запрос.

В этом примере LDAP-запрос проверяет, является ли пользователь членом подразделения «Клиенты»:

ldap://сервер:<порт>/OU=Customers,DC=FABCO-PN,DC=com?(objectclass=*)?sub?(& (objectClass=user)(objectCategory=user) (distinguishedName= %AZ_CLIENT_DN% ))

В этом примере LDAP-запрос проверяет, является ли пользователь прямым подчиненным руководителя «SomeManager», а также равно ли значение атрибута «searchattribute» этого руководителя некоторому значению «searchvalue»:

ldap://сервер:порт/Cn=SomeManager,OU=Users,DC=FABCO-PN,DC=com?(objectclass=*)?base?(&(searchattribute= searchvalue) (directreports = %AZ_CLIENT_DN%))

Дополнительные сведения о синтаксисе URL-запросов LDAP см. в документе RFC 2255 (страница может быть на английском языке) (https://go.microsoft.com/fwlink/?linkid=65973).

Важно!

Если LDAP-запрос начинается с «ldap», то он обрабатывается как URL-запрос LDAP. Если запрос начинается с других символов, то он обрабатывается как запрос версии 1.

Основные группы приложений

Основные группы приложений существуют только в диспетчере авторизации.

Чтобы определить принадлежность к основной группе приложения, необходимо выполнить следующие действия.

  1. Определить, кто является членом.

  2. Определить, кто не является членом.

Оба вышеуказанных действия производятся одинаково:

  • Сперва укажите ноль или более пользователей и групп Windows, предварительно заданных групп основных приложений или групп запросов LDAP.

  • Затем определяется принадлежность к основной группе приложения путем удаления из группы всех, кто не является ее членом. Диспетчер авторизации делает это автоматически во время выполнения.

Важно!

Отсутствие членства в основной группе приложения имеет приоритет над наличием такого членства.

Группы приложения бизнес-правил

Группы приложения бизнес-правил существуют только в диспетчере авторизации.

Для задания членства группы приложения бизнес-правил необходимо создать сценарий на языке VBScript или Jscript. Исходный текст сценария загружается из текстового файла на странице Свойства группы приложения бизнес-правил.


Содержание