Passport Manager
Ahhoz, hogy a Passport szolgáltatást használni tudjuk, be kell állítanunk a Passport Manager objektumot. Ez egy szerver oldali objektum, amely használja a cookie és query string adatokat, hogy lekérdezéseket végezzen egy központi felhasználói tárból.
A Passport Manager Administration egy grafikus interfésszel ellátott eszköz, amely segít abban, hogy a Passport Manager objektum registry beállításait szerkesszük.
Indítsuk el a %windir%\system32 mappában található msppcnfg.exe programot.
Válasszuk ki a weboldalt, amelyhez megfeleltetni szeretnénk a Passport szolgáltatást.
Két példánya van a .NET Passport szolgáltatásnak, amelyet környezetként használhatunk. A Preproduction (PREP) vagy tesztelési környezet használható az oldal fejlesztése és tesztelése alatt. Ez segít abban, hogy már Passport környezetben használjuk a weboldalt anélkül, hogy a külső felhasználók hozzáférnének saját útlevelükkel. A Production környezet az élő .NET Passport szolgáltatás; miután telepítettük az élő weboldalt, ezzel a szolgáltatással tudjuk elérhetővé tenni a felhasználók számára a valódi Passport hitelesítést. Azok a felhasználói fiókok, amelyek megtalálhatók a tesztelési környezetben, nem lesznek elérhetők az élő helyzetben.
A kód, amely megvalósítja a .NET Passport oldalt, mindkét esetben ugyanaz. A Passport Manager ahhoz a .NET Passport szolgáltatáspéldányhoz kapcsolódik, amelyet a szerveren beállítottunk. Váltogathatunk a környezetek között a Passport Manager Administration eszközzel.
A Passport Manager Administration eszköz további funkcióival egy későbbi cikkünkben foglalkozunk.
Registry beállítások
Beállíthatjuk a registry-ben, hogy a Passport szolgáltatáshoz szükséges legyen-e az SSL hitelesítés használata.
Az alapértelmezett weboldalhoz keressük meg az alábbi helyet:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Passport\SecureLevel]
Minden más weboldalhoz pedig:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Passport\Sites\<oldalnév>\SecureLevel]
Három azonosítási szint lehetséges, ennek megfelelően állítsuk be a REG_DWORD értéket:
- 0 – nem megadott, valamennyi azonosítási típus lehetséges
- 10 – SSL kódolt azonosítási kérések
- 100 – Azonosítás titkos csatornán és mellékelt biztonsági kulccsal
IIS 6.0 beállítása
A szolgáltatás használatához ezután az IIS 6.0 .NET Passport hitelesítést állítsuk be a korábbi cikkünkben (első kapcsolódó cikk) ismertetett módon.
Active Directory megfeleltetés
A tökéletes .NET Passport – AD megfeleltetéshez hozzá kell rendelnünk a PUID-t (a .NET Passport egyedi azonosítóját) egy Active Directory azonosítóhoz. Az első megfeleltetést előrelátásnak nevezhetnénk. Az "altSecurityIdentities" Active Directory séma attribútum használható a megfeleltetéshez. Az IIS 6.0-ban használjuk az "AuthFlag" meta jelzőt, hogy definiáljuk a megfeleltetés viselkedésmódját. Az alapértelmezett megfeleltetés a .NET Passport – Active Directory azonosító.
A viselkedésmód megváltoztatható a Metaedit-tel a következő módon:
- PassportRequireADMapping = Value = 0 – nincs AD megfeleltetés
- PassportRequireADMapping = Value = 1 AD megfeleltetés
- PassportRequireADMapping = Value = 2 AD megfeleltetés – ha 401-es hibával tér vissza