Vorgehensweise: Erstellen einer benutzerdefinierten Autorisierungsrichtlinie

Die Identitätsmodellinfrastruktur in Windows Communication Foundation (WCF) unterstützt ein anspruchsbasiertes Autorisierungsmodell. Ansprüche werden aus Token extrahiert, optional von einer benutzerdefinierten Autorisierungsrichtlinie verarbeitet und dann in eine AuthorizationContext eingesetzt, die anschließend untersucht werden kann, um Autorisierungsentscheidungen zu treffen. Eine benutzerdefinierte Richtlinie kann verwendet werden, um Ansprüche aus eingehenden Token in Ansprüche zu transformieren, die von der Anwendung erwartet werden. Auf diese Weise kann die Anwendungsschicht von den Details zu den unterschiedlichen Ansprüchen isoliert werden, die von den verschiedenen Tokentypen bereitgestellt werden, die WCF unterstützt. In diesem Thema wird gezeigt, wie Sie eine benutzerdefinierte Autorisierungsrichtlinie implementieren und diese Richtlinie der Sammlung von Richtlinien hinzufügen, die von einem Dienst verwendet werden.

So implementieren Sie eine benutzerdefinierte Autorisierungsrichtlinie

1. Definieren Sie eine neue Klasse, die von IAuthorizationPolicy.

2. Implementieren Sie die schreibgeschützte Id Eigenschaft, indem Sie eine eindeutige Zeichenfolge im Konstruktor für die Klasse generieren und diese Zeichenfolge zurückgeben, wenn auf die Eigenschaft zugegriffen wird.

3. Implementieren Sie die schreibgeschützte Issuer-Eigenschaft, indem Sie einen ClaimSet zurückgeben, der den Richtlinienherausgeber darstellt. Dies könnte eine ClaimSet sein, die die Anwendung repräsentiert, oder eine integrierte ClaimSet (z. B. die von der statischen ClaimSet-Eigenschaft zurückgegebene System).

4. Implementieren Sie die Evaluate(EvaluationContext, Object) Methode wie im folgenden Verfahren beschrieben.

So implementieren Sie die Evaluate-Methode

1. An diese Methode werden zwei Parameter übergeben: eine Instanz der EvaluationContext Klasse und ein Objektverweis.

2. Wenn die benutzerdefinierte Autorisierungsrichtlinie ClaimSet Instanzen hinzufügt, ohne den aktuellen Inhalt des EvaluationContext zu beachten, dann fügen Sie jede ClaimSet Instanz hinzu, indem Sie die AddClaimSet(IAuthorizationPolicy, ClaimSet)-Methode aufrufen, und geben Sie true von der Evaluate-Methode zurück. Das Zurückgeben von true zeigt der Autorisierungsinfrastruktur an, dass die Autorisierungsrichtlinie ihre Aufgabe abgeschlossen hat und nicht erneut aufgerufen werden muss.

3. Wenn die benutzerdefinierte Autorisierungsrichtlinie Anspruchssätze nur hinzufügt, wenn bestimmte Ansprüche bereits im EvaluationContextBereich vorhanden sind, suchen Sie nach diesen Ansprüchen, indem Sie die ClaimSet von der ClaimSets Eigenschaft zurückgegebenen Instanzen untersuchen. Wenn die Ansprüche vorhanden sind, fügen Sie die neuen Anspruchssätze hinzu, indem Sie die AddClaimSet(IAuthorizationPolicy, ClaimSet) Methode aufrufen. Wenn keine weiteren Anspruchssätze hinzugefügt werden sollen, geben Sie die Berechtigungsinfrastruktur zurück true, die angibt, dass die Autorisierungsrichtlinie ihre Arbeit abgeschlossen hat. Wenn die Claim-Sätze nicht vorhanden sind, geben Sie false zurück, was anzeigt, dass die Autorisierungsrichtlinie erneut aufgerufen werden soll, wenn andere Autorisierungsrichtlinien weitere Claim-Sätze zu EvaluationContext hinzufügen.

4. In komplexeren Verarbeitungsszenarien wird der zweite Parameter der Evaluate(EvaluationContext, Object) Methode verwendet, um eine Zustandsvariable zu speichern, die die Autorisierungsinfrastruktur bei jedem nachfolgenden Aufruf der Evaluate(EvaluationContext, Object) Methode für eine bestimmte Auswertung zurückgibt.

So geben Sie eine benutzerdefinierte Autorisierungsrichtlinie über die Konfiguration an

1. Geben Sie den Typ der benutzerdefinierten Autorisierungsrichtlinie im policyType Attribut im add Element im authorizationPolicies Element im serviceAuthorization Element an.

   <configuration>
    <system.serviceModel>
     <behaviors>
       <serviceAuthorization serviceAuthorizationManagerType=
                 "Samples.MyServiceAuthorizationManager" >
         <authorizationPolicies>
           <add policyType="Samples.MyAuthorizationPolicy" />
         </authorizationPolicies>
       </serviceAuthorization>
     </behaviors>
    </system.serviceModel>
   </configuration>
   

So geben Sie eine benutzerdefinierte Autorisierungsrichtlinie über Code an

1. Erstellen eines List<T> von IAuthorizationPolicy.

2. Erstellen Sie eine Instanz der benutzerdefinierten Autorisierungsrichtlinie.

3. Fügen Sie der Liste die Autorisierungsrichtlinieninstanz hinzu.

4. Wiederholen Sie die Schritte 2 und 3 für jede benutzerdefinierte Autorisierungsrichtlinie.

5. Weisen Sie der ExternalAuthorizationPolicies Eigenschaft eine schreibgeschützte Version der Liste zu.

   // Add a custom authorization policy to the service authorization behavior.
   List<IAuthorizationPolicy> policies = new List<IAuthorizationPolicy>();
   policies.Add(new MyAuthorizationPolicy());
   serviceHost.Authorization.ExternalAuthorizationPolicies = policies.AsReadOnly();
   

   ' Add custom authorization policy to service authorization behavior.
   Dim policies As List(Of IAuthorizationPolicy) = New List(Of IAuthorizationPolicy)()
   policies.Add(New MyAuthorizationPolicy())
   serviceHost.Authorization.ExternalAuthorizationPolicies = policies.AsReadOnly()
   

Beispiel

Das folgende Beispiel zeigt eine vollständige IAuthorizationPolicy Implementierung.

public class MyAuthorizationPolicy : IAuthorizationPolicy
{
    string id;

    public MyAuthorizationPolicy()
    {
        id = Guid.NewGuid().ToString();
    }

    public bool Evaluate(EvaluationContext evaluationContext, ref object state)
    {
        bool bRet = false;
        CustomAuthState customstate = null;

        // If the state is null, then this has not been called before so
        // set up a custom state.
        if (state == null)
        {
            customstate = new CustomAuthState();
            state = customstate;
        }
        else
        {
            customstate = (CustomAuthState)state;
        }

        // If claims have not been added yet...
        if (!customstate.ClaimsAdded)
        {
            // Create an empty list of claims.
            IList<Claim> claims = new List<Claim>();

            // Iterate through each of the claim sets in the evaluation context.
            foreach (ClaimSet cs in evaluationContext.ClaimSets)
                // Look for Name claims in the current claimset.
                foreach (Claim c in cs.FindClaims(ClaimTypes.Name, Rights.PossessProperty))
                    // Get the list of operations the given username is allowed to call.
                    foreach (string s in GetAllowedOpList(c.Resource.ToString()))
                    {
                        // Add claims to the list.
                        claims.Add(new Claim("http://example.org/claims/allowedoperation", s, Rights.PossessProperty));
                        Console.WriteLine($"Claim added {s}");
                    }

            // Add claims to the evaluation context.
            evaluationContext.AddClaimSet(this, new DefaultClaimSet(this.Issuer, claims));

            // Record that claims were added.
            customstate.ClaimsAdded = true;

            // Return true, indicating that this method does not need to be called again.
            bRet = true;
        }
        else
        {
            // Should never get here, but just in case, return true.
            bRet = true;
        }

        return bRet;
    }

    public ClaimSet Issuer
    {
        get { return ClaimSet.System; }
    }

    public string Id
    {
        get { return id; }
    }

    // This method returns a collection of action strings that indicate the
    // operations the specified username is allowed to call.
    private IEnumerable<string> GetAllowedOpList(string username)
    {
        IList<string> ret = new List<string>();

        if (username == "test1")
        {
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add");
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Multiply");
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract");
        }
        else if (username == "test2")
        {
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add");
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract");
        }
        return ret;
    }

    // Internal class for keeping track of state.
    class CustomAuthState
    {
        bool bClaimsAdded;

        public CustomAuthState()
        {
            bClaimsAdded = false;
        }

        public bool ClaimsAdded
        {
            get { return bClaimsAdded; }
            set { bClaimsAdded = value; }
        }
    }
}

Public Class MyAuthorizationPolicy
    Implements IAuthorizationPolicy
    Private id_Value As String


    Public Sub New()
        id_Value = Guid.NewGuid().ToString()

    End Sub


    Public Function Evaluate(ByVal evaluationContext As EvaluationContext, ByRef state As Object) As Boolean _
        Implements IAuthorizationPolicy.Evaluate
        Dim bRet As Boolean = False
        Dim customstate As CustomAuthState = Nothing

        ' If the state is null, then this has not been called before, so set up
        ' our custom state.
        If state Is Nothing Then
            customstate = New CustomAuthState()
            state = customstate
        Else
            customstate = CType(state, CustomAuthState)
        End If
        ' If claims have not been added yet...
        If Not customstate.ClaimsAdded Then
            ' Create an empty list of Claims.
            Dim claims as IList(Of Claim) = New List(Of Claim)()

            ' Iterate through each of the claimsets in the evaluation context.
            Dim cs As ClaimSet
            For Each cs In evaluationContext.ClaimSets
                ' Look for Name claims in the current claimset...
                Dim c As Claim
                For Each c In cs.FindClaims(ClaimTypes.Name, Rights.PossessProperty)
                    ' Get the list of operations that the given username is allowed to call.
                    Dim s As String
                    For Each s In GetAllowedOpList(c.Resource.ToString())
                        ' Add claims to the list.
                        claims.Add(New Claim("http://example.org/claims/allowedoperation", s, Rights.PossessProperty))
                        Console.WriteLine("Claim added {0}", s)
                    Next s
                Next c
            Next cs ' Add claims to the evaluation context.
            evaluationContext.AddClaimSet(Me, New DefaultClaimSet(Me.Issuer, claims))

            ' Record that claims were added.
            customstate.ClaimsAdded = True

            ' Return true, indicating that this does not need to be called again.
            bRet = True
        Else
            ' Should never get here, but just in case...
            bRet = True
        End If


        Return bRet

    End Function

    Public ReadOnly Property Issuer() As ClaimSet Implements IAuthorizationPolicy.Issuer
        Get
            Return ClaimSet.System
        End Get
    End Property

    Public ReadOnly Property Id() As String Implements IAuthorizationPolicy.Id
        Get
            Return id_Value
        End Get
    End Property
    ' This method returns a collection of action strings that indicate the
    ' operations the specified username is allowed to call.

    ' Operations the specified username is allowed to call.
    Private Function GetAllowedOpList(ByVal userName As String) As IEnumerable(Of String)
        Dim ret As IList(Of String) = new List(Of String)()
        If username = "test1" Then
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add")
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Multiply")
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract")
        ElseIf username = "test2" Then
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Add")
            ret.Add("http://Microsoft.ServiceModel.Samples/ICalculator/Subtract")
        End If
        Return ret
    End Function

    ' internal class for keeping track of state

    Class CustomAuthState
        Private bClaimsAdded As Boolean


        Public Sub New()
            bClaimsAdded = False

        End Sub


        Public Property ClaimsAdded() As Boolean
            Get
                Return bClaimsAdded
            End Get
            Set
                bClaimsAdded = value
            End Set
        End Property
    End Class
End Class

Siehe auch

• ServiceAuthorizationManager
• Vorgehensweise: Vergleichen von Ansprüchen
• Vorgehensweise: Erstellen eines benutzerdefinierten Autorisierungs-Managers für einen Dienst
• Autorisierungsrichtlinie