Веб-службы и ACS

  • Статья

Обновлено: 19 июня 2015 г.

Область применения: Azure

Ниже приведены участники базового сценария, в котором веб-служба интегрирована с Microsoft Azure Active Directory контроль доступа (также известной как служба контроль доступа или ACS):

  • Приложение проверяющей стороны — ваша веб-служба.

  • Клиент — клиент веб-службы, который пытается получить доступ к вашей веб-службе.

  • Поставщик удостоверений — сайт или служба, которая может проверить подлинность клиента.

  • ACS — раздел ACS , выделенный для приложения проверяющей стороны.

Однако в сценарии с веб-службой предполагается, что у клиента нет доступа к браузера и он действует автономно (пользователь напрямую не участвует в сценарии).

Клиент должен получить маркер безопасности, выданный ACS, чтобы войти в службу. Этот маркер представляет собой подписанное сообщение от ACS в приложение с набором утверждений об удостоверении клиента. ACS не выдает маркер, если клиент впервые не подтверждает свою личность.

В сценарии веб-службы и ACS клиент может подтвердить свою личность следующими способами:

  • Путем проверки подлинности непосредственно с помощью ACS и использования типов учетных данных удостоверения службы ACS

    Примечание

    Дополнительные сведения об удостоверениях служб см. в разделе "Удостоверения служб".

    На следующем рисунке показан сценарий веб-службы с клиентом, подтверждающим его удостоверение с помощью типов учетных данных удостоверения службы ACS.

    Windows Azure Active Direct Access Control

    1. Клиент проходит проверку подлинности с помощью ACS с помощью одного из типов учетных данных удостоверения службы ACS. В ACS это может быть маркер SWT, подписанный симметричным ключом, сертификатом X.509 или паролем. Дополнительные сведения см. в разделе "Удостоверения служб".

    2. ACS проверяет полученные учетные данные, вводит полученные утверждения удостоверения в обработчик правил ACS, вычисляет выходные утверждения и создает маркер, содержащий эти утверждения.

    3. ACS возвращает клиенту выданный ACS маркер.

    4. Клиент отправляет выданный ACS маркер приложению проверяющей стороны.

    5. Приложение проверяющей стороны проверяет маркер, выданный ACS, а затем возвращает запрошенное представление ресурса.

  • Предоставляя маркер безопасности от другого доверенного издателя (поставщика удостоверений), который выполнил проверку подлинности клиента.

    На следующем рисунке представлен сценарий веб-службы, где клиент подтверждает свою подлинность с помощью маркера безопасности, полученного от поставщика удостоверений.

    ACS 2.0 Web Service Scenario

    1. Клиент входит в поставщик удостоверений (например, отправляет учетные данные).

    2. После проверки подлинности клиента поставщик удостоверений выдает маркер.

    3. Поставщик удостоверений возвращает маркер клиенту.

    4. Клиент отправляет выданный поставщиком удостоверений маркер ACS.

    5. ACS проверяет выданный поставщиком удостоверений маркер, вводит данные в маркер, выданный поставщиком удостоверений, в обработчик правил ACS, вычисляет выходные утверждения и создает маркер, содержащий эти утверждения.

    6. ACS выдает клиенту маркер.

    7. Клиент отправляет выданный ACS маркер приложению проверяющей стороны.

    8. Приложение проверяющей стороны проверяет подпись маркера, выданного ACS, и проверяет утверждения в выданном ACS маркере.

    9. Затем приложение проверяющей стороны возвращает запрошенное представление ресурса.

См. также:

Основные понятия

Служба Access Control Service 2.0
начало работы с ACS
Практическое руководство. Создание службы ASP.NET с поддержкой первых утверждений с помощью ACS