Bắt chước các RBAC AuthZ của Exchange Server trong ứng dụng của riêng tôi (có gì tương tự không?)

Exchange 2010 có một mô hình ủy nhiệm trong đó các nhóm lệnh ghép ngắn winrm được nhóm một cách cơ bản thành các vai trò và các vai trò được gán cho người dùng.

( Nguồn hình ảnh )

Đây là một mô hình tuyệt vời và linh hoạt xem xét cách tôi có thể tận dụng tất cả các lợi ích của PowerShell, trong khi sử dụng các công nghệ cấp thấp phù hợp (WCF, SOAP, v.v.) và không yêu cầu phần mềm bổ sung nào ở phía máy khách.

( Nguồn hình ảnh )

Câu hỏi

1. Có cách nào để tôi tận dụng mô hình ủy quyền của Exchange trong ứng dụng .NET của mình không?

2. Có ai đã cố gắng bắt chước mô hình này?

3. Nếu tôi phải bắt đầu lại từ đầu, tôi sẽ bắt chước cách tiếp cận này như thế nào?

Hai RBAC lớn nhất cho .NET là NetSqlAzMan http://netsqlazman.codeplex.com/ và RhinoSecurity https://github.com/ayende/rhino-security

Nếu bạn cuối cùng phải đi theo con đường bắt đầu từ đầu, bạn có thể sử dụng một trong những điều trên làm cơ sở bắt đầu.

Trao đổi đang cung cấp một không gian chạy được cấu thành và thực tế không có bất kỳ lệnh ghép ngắn nào có sẵn trong không gian đó. Những gì có vẻ là lệnh ghép ngắn thực sự là các chức năng proxy. Các khả năng của bạn trong không gian chạy được kiểm soát bằng cách giới hạn các chức năng proxy được cung cấp và khả năng nào của mỗi lệnh ghép ngắn được chức năng proxy thể hiện.

Sao chép sẽ liên quan đến việc phát triển một thói quen cư trú trong không gian với các chức năng proxy được điều chỉnh cho người dùng yêu cầu không gian chạy, dựa trên các nhóm vai trò mà họ thuộc về. Tôi không thấy bất kỳ lý do nào các nhóm AD không thể là nhóm vai trò của bạn.

Chi tiết triển khai sẽ là ứng dụng cụ thể, nhưng về cơ bản, điều đó có nghĩa là bạn giới hạn người có thể sử dụng tham số nào của lệnh ghép ngắn bằng cách chọn tham số nào mà hàm proxy cung cấp cho người dùng đó sẽ có và / hoặc giới hạn giá trị nào mà hàm sẽ chấp nhận cho các tham số cụ thể.