Web 服务和 ACS

发布时间: 2011年4月

更新时间: 2011年5月

应用到: Windows Azure

下面提供了将 Web 服务与 Windows Azure AppFabric 访问控制服务 (ACS) 集成的基本方案的参与者：

• 信赖方应用—您的 Web 服务。
  
  
• 客户端—一种 Web 服务客户端，用于尝试获取对您的 Web 服务的访问权限。
  
  
• 标识提供者—可以对客户端进行身份验证的站点或服务。
  
  
• ACS —专用于您的信赖方应用的 ACS 分区。
  
  

Web 服务和 ACS 方案与 Web 应用程序和 ACS 方案很类似（有关详细信息，请参阅 Web 应用程序和 ACS）。但是，Web 服务方案假定客户端不具有访问浏览器的权限，并且它自主地运行（无需用户直接参与方案）。

若要登录到您的服务，客户端必须获取由 ACS 颁发的安全令牌。此令牌是从 ACS 向您的应用程序发送的一条签名消息，其中包含一组关于客户端标识的声明。客户端需要先证明其身份，ACS 才会颁发令牌。

在 Web 服务和 ACS 方案中，客户端可以采用下列方法证明其身份：

• 直接通过 ACS 并使用 ACS 服务标识凭据类型进行身份验证
  
  

  注意
  有关服务标识的详细信息，请参阅服务标识。

  下图说明了客户端使用 ACS 服务标识凭据类型证明其身份的 Web 服务方案。
  
  
  1. 客户端通过 ACS 并使用一种 ACS 服务标识凭据类型进行身份验证。在 ACS 中，这可以是使用对称密钥、X.509 证书或密码进行签名的简单 Web 令牌 (SWT)。有关详细信息，请参阅服务标识。
     
     
  2. ACS 验证收到的凭据，将收到的标识声明输入 ACS 规则引擎，计算输出声明并创建包含这些声明的令牌。
     
     
  3. ACS 将 ACS 颁发的令牌返回到客户端。
     
     
  4. 客户端将 ACS 颁发的令牌发送到信赖方应用。
     
     
  5. 信赖方应用验证由 ACS 颁发的令牌，然后返回请求的资源表示形式。
     
     
• 提供来自其他受信任颁发者（标识提供者，已对该客户端进行身份验证）的安全令牌
  
  下图说明了客户端使用来自标识提供者的安全令牌证明其身份的 Web 服务方案。
  
  
  1. 客户端登录到标识提供者（例如，发送凭据）。
     
     
  2. 对客户端进行身份验证后，标识提供者颁发令牌。
     
     
  3. 标识提供者将令牌返回到客户端。
     
     
  4. 客户端将标识提供者颁发的令牌发送到 ACS。
     
     
  5. ACS 验证标识提供者颁发的令牌，将其中的数据输入 ACS 规则引擎，计算输出声明并创建包含这些声明的令牌。
     
     
  6. ACS 向客户端颁发令牌。
     
     
  7. 客户端将 ACS 颁发的令牌发送到信赖方应用。
     
     
  8. 信赖方应用验证 ACS 颁发的令牌上的签名以及其中的声明。
     
     
  9. 信赖方应用返回请求的资源表示形式。
     
     

另请参见

概念

ACS 入门
如何：对使用 ACS 部署到 Windows Azure 的 REST WCF 服务进行身份验证
如何：使用客户端证书对受 ACS 保护的 WCF 服务进行身份验证
如何：使用用户名和密码进行身份验证以访问受 ACS 保护的 WCF 服务
如何：使用 ACS 创建我的第一个声明感知 ASP.NET 服务
如何：使用对称密钥配置 ACS 和 WCF 服务之间的信任