导出 (0) 打印
全部展开

ACS 难题 - SSO、标识流和授权

发布时间: 2011年4月

更新时间: 2011年5月

应用到: Windows Azure

摘要

本主题概述与分布式云应用程序中的单一登录 (SSO)、身份流和授权相关的常见问题和解决方法。

方案

考虑将以下示意图用于分布式应用程序的典型方案。

以下是此典型方案的主要特性。

ACS - 难题
  • 最终用户可通过一些行业标识提供者管理现有身份,如 Windows Live ID、Google、Yahoo!、Facebook 或企业 Active Directory。

  • 最终用户与系统交互,这些系统需要通过 Web 浏览器或丰富客户端进行身份验证和授权。

  • 最终用户与系统交互,这些系统需要通过在桌面、智能电话上或浏览器内运行的丰富客户端(如 Silverlight 或 JavaScript)进行身份验证和授权。

  • Web 应用程序可与需要进行身份验证和授权的下游 Web 服务交互。

问题

有多种与此方案相关的常见安全问题。考虑以下问题:

  • 如何外化 Web 应用程序的身份验证?

  • 如何外化 Web 服务的身份验证?

  • 如何将 Internet 凭据用于不同的应用程序?

  • 如何将企业凭据用于不同的应用程序?

  • 如何让安全上下文流经多个物理层?

  • 如何转换用户身份以进行更加严格的、基于声明的授权?

  • 如何与其他方交互操作?

  • 如何保护通信的安全?

  • 如何自动进行管理?

解决方法

Windows Azure AppFabric 访问控制服务 (ACS) 提供了一种解决方案来应对这些问题。通过使用开放的标准和协议(如 WS 联合身份验证、WS 信任、SAML、OAuth 2.0 和 SWT),ACS 可让用户构建能够与多个标识提供者安全交互操作的云应用程序和本地应用程序,如下所示:

ACS - 解决方案


若要了解有关 ACS 体系结构和关键组件的详细信息,请参阅 ACS 体系结构

另请参见

显示:
© 2014 Microsoft