Clientauthentifizierung
Die Authentifizierung ist der Prozess der Bestimmung, dass Anrufer tatsächlich deren Aussage sind – die Echtheit eines Identitätsanspruchs zu überprüfen. Im Allgemeinen kann dies sowohl vom Server als auch vom Client erfolgen, wobei die andere authentifiziert wird. Es ist jedoch besonders wichtig für eine Serveranwendung, die Clients wie die rollenbasierte Sicherheit autorisiert, auch die Authentifizierung durchzuführen. Die Authentifizierung von Clients ist eine Voraussetzung für eine sinnvolle Autorisierungsrichtlinie. Sie können alle gewünschten Rollenüberprüfungen ausführen, aber wenn Sie nicht sicher sind, dass die von Ihnen überprüfte Clientidentität authentifiziert ist, stützt sich Ihre Anwendung im Grunde auf das Honor-System.
Bei COM+-Anwendungen ist die Authentifizierung etwas, das Sie administrativ aktivieren und konfigurieren können, danach funktioniert sie transparent für die Anwendung. Sie geben eine Authentifizierungsebene mithilfe des Verwaltungstools für Komponentendienste oder der Administrativen Funktionen administrativer Dienste an. Ausführliche Informationen zum Festlegen der Authentifizierung finden Sie unter Festlegen einer Authentifizierungsstufe für eine Serveranwendung und Aktivieren der Authentifizierung für eine Bibliotheksanwendung.
Das Festlegen der Authentifizierung bedeutet verschiedene Dinge, je nachdem, ob es sich bei dem Anwendungstyp um eine Server- oder Bibliotheksanwendung handelt.
Festlegen der Authentifizierung für COM+ Server-Anwendungen
Bei einer COM+-Serveranwendung legen Sie eine Authentifizierungsstufe fest, die bestimmt, wie die Authentifizierung ausgeführt wird, wenn Clients Komponenten innerhalb der Anwendung aufrufen. Sie können zwischen mehreren Authentifizierungsstufen wählen, die unterschiedliche Sicherheitsgrade bieten, von keiner Authentifizierung bis hin zur Verschlüsselung jedes Pakets und aller Methodenaufrufparameter. Weitere Informationen finden Sie unter Festlegen einer Authentifizierungsstufe für eine Serveranwendung.
Höhere Sicherheit bietet jedoch einige Leistungskosten, die Sie bei der Konfiguration Ihrer Anwendung berücksichtigen sollten. COM+ wird zwischen der vom Client und Server angegebenen Authentifizierungsebene ausgehandelt. Die Art und Weise, wie diese Aushandlung durchgeführt wird, hat den Vorteil, dass Sie die Authentifizierung von serverseitiger Seite aus administrativ steuern können. Ausführliche Informationen finden Sie unter Aushandlung der Authentifizierungsebene.
Anmerkung
Sie sollten niemals programmgesteuert eine Authentifizierungsstufe angeben, indem Sie CoInitializeSecurity- in einer COM+-Anwendung verwenden. COM+ ruft CoInitializeSecurity- für Sie auf, und dies kann nur einmal pro Prozess aufgerufen werden.
Die zugrunde liegenden Authentifizierungsdienste werden von COM und Microsoft Windows bereitgestellt. In einem Authentifizierungsdienst stellt ein Drittanbieter ein Zertifikat für einen Benutzer bereit, der die Echtheit der Identität des Benutzers bestätigt. Diese Zertifizierung ist so glaubwürdig wie die Zertifizierungsstelle, und – ähnlich wie ein Führerschein oder Reisepass – dient als Zertifizierendes Dokument – hängt von der Autorität des Ausstellers ab. Ausführlichere Informationen zu Authentifizierungsdiensten finden Sie in der COM-Dokumentation COM- und Sicherheitspakete.
Festlegen der Authentifizierung für COM+-Bibliotheksanwendungen
Bei einer COM+-Bibliotheksanwendung aktivieren oder deaktivieren Sie die Authentifizierung, um festzustellen, ob die Anwendung der vom Hostingprozess ausgeführten Authentifizierung unterliegt. Obwohl die Authentifizierung für eine COM+-Bibliotheksanwendung weitgehend vom Hostingprozess gesteuert wird, können Sie die Bibliotheksanwendung so konfigurieren, dass sie nicht an der Authentifizierung teilnimmt. Das heißt, Aufrufe an die Anwendung können authentifiziert oder nicht authentifiziert werden, und im letzteren Fall ist die "Authentifizierung" von Clients immer erfolgreich. Weitere Informationen finden Sie unter Aktivieren der Authentifizierung für eine Bibliotheksanwendung.
Darüber hinaus kann es erforderlich sein, den Client bei der Datenbank oder bei einer nachgelagerten Anwendung zu authentifizieren. Die Authentifizierung von Clients allein bei der COM+-Anwendung reicht möglicherweise nicht aus. Wenn dies der Fall ist, müssen Sie die Identität des Clients annehmen, damit die Identität des Clients nachgelagert verteilt wird. Ausführliche Informationen zum Identitätswechsel finden Sie unter Clientidentitätswechsel und -delegierung. Eine Erläuterung von Problemen, die bei der Entscheidung darüber, ob die Authentifizierung auf der Datenebene ausgeführt werden soll, finden Sie unter Mehrstufige Anwendungssicherheit.
Verwandte Themen