Імітація “RBAC AuthZ” сервера Exchange у власному додатку… (чи є щось подібне?)

Exchange 2010 має модель делегування , де групи WinRM командлетів essentally згруповані в ролі, і роль , призначений користувач.

( Джерело зображення )

Це чудова та гнучка модель, яка враховує, як я можу використовувати всі переваги PowerShell, використовуючи при цьому правильні низькорівневі технології (WCF, SOAP тощо) та не вимагаючи додаткового програмного забезпечення на стороні клієнта.

( Джерело зображення )

Питання (и)

1. Чи є у мене спосіб використання моделі делегування Exchange в моєму додатку .NET?

2. Хтось намагався наслідувати цю модель?

3. Якщо я повинен почати з нуля, як би я пішов наслідувати цей підхід?

Два найбільші RBAC для .NET - це NetSqlAzMan http://netsqlazman.codeplex.com/ та RhinoSecurity https://github.com/ayende/rhino-security

Якщо вам доведеться пройти шлях починання з нуля, ви можете використовувати будь-яке з перерахованих вище як початкову базу.

Exchange надає збережену область пробігу, і насправді в цьому просторі немає доступних командлетів. Як видаються командлети - це насправді функції проксі. Ваші можливості в області запуску керуються обмеженням того, які функції проксі надаються, і які можливості кожного командлету піддаються функції проксі.

Дублювання, яке передбачало б розробку процедур, які заповнюють пробіг із функціями проксі, призначеними для користувача, який запитує пробіг, на основі груп ролей, до яких вони належать. Я не бачу причин, щоб групи AD не могли бути вашими групами ролей.

Деталі реалізації будуть специфічними для програми, але в основному це означає, що ви обмежуєте, хто може використовувати параметри командлетів, вибираючи, які параметри будуть мати проксі-функції, надані цьому користувачеві, та / або обмежуєте, які значення буде приймати функція для конкретних параметрів.