Servicio de administración de ACS

  • Artículo

Actualizado: 19 de junio de 2015

Se aplica a: Azure

Se aplica a

Active Directory Access Control de Microsoft Azure (también conocido como Access Control Service o ACS)

Resumen

AcS Management Service es un componente de ACS que permite administrar y configurar los valores en un espacio de nombres Access Control mediante programación. Puede usar el servicio de administración de ACS como alternativa o complementarlo con el Portal de administración de ACS, que proporciona una interfaz gráfica de usuario para ACS.

En este tema se explica lo siguiente:

  • Cómo encaja el servicio de administración de ACS en la arquitectura general de ACS

  • Cuando sea adecuado usar el servicio de administración de ACS para configurar las opciones de ACS

  • Cómo usar el servicio de administración de ACS de forma más eficaz

Información general

Puede usar el protocolo ACS Management Service y Open Data (OData) para administrar y configurar los componentes de ACS en un espacio de nombres de Access Control mediante programación.

En el diagrama siguiente se muestran los componentes de ACS y sus relaciones.

ACS v2 Management Service

La administración mediante programación puede ser especialmente eficaz en escenarios como los siguientes.

  • Adición de nuevos inquilinos a un servicio SaaS Si tiene un producto de software como servicio, como Office 365, puede escribir código que se ejecute cada vez que un nuevo cliente se suscribe al servicio. El código funciona con el servicio de administración de ACS para configurar el nuevo inquilino para el proveedor de identidades que seleccionen. Para obtener un ejemplo en funcionamiento del código fuente de la aplicación SaaS que agrega nuevos inquilinos a ACS, consulte https://www.fabrikamshipping.com/.

  • Implementación de soluciones: al implementar nuevas soluciones, puede agregar una tarea personalizada para configurar ACS como parte de la implementación. El servicio de administración de ACS puede ayudarle a automatizar la implementación y minimizar las tareas de configuración manual después de implementar la aplicación.

  • Interfaz de usuario personalizada: puede usar el Portal de administración de ACS, una interfaz de usuario basada en web hospedada en su propio dominio, para administrar y configurar componentes de ACS. Sin embargo, si la interfaz de usuario se cambia de nombre, se inserta en una consola de administración más grande o se expone a través de una interfaz de usuario no basada en web, puede usar el servicio de administración de ACS para administrar y configurar las opciones de ACS.

  • Características adicionales Aunque la mayoría de las tareas se pueden realizar en el Portal de administración de ACS, algunas solo están disponibles mediante el servicio de administración de ACS. Por ejemplo, puede agregar proveedores de identidades de OpenID personalizados solo mediante el servicio de administración de ACS.

Acceso al servicio de administración de ACS 2.0

Para acceder al servicio de administración de ACS para un espacio de nombres de Access Control determinado, debe proporcionar la dirección URL del punto de conexión del servicio de administración al cliente de OData.

Para buscar la dirección URL del punto de conexión del servicio de administración para un espacio de nombres Access Control, use el procedimiento siguiente.

  1. Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y, a continuación, haga clic en Active Directory. (Sugerencia de solución de problemas: falta el elemento "Active Directory" o no está disponible)

  2. Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)

  3. Haga clic en Servicio de administración.

    La dirección URL aparece en la sección Dirección URL del servicio de administración de la página.

El formato de una dirección URL del punto de conexión es https://< Namespace.accesscontrol.windows.net/v2/mgmt/service donde Namespace> es el nombre del espacio de nombres de Access Control.

El servicio de administración de ACS usa ACS para la autenticación. ACS acepta una credencial de administración emitida en el protocolo OAuth WRAP y, en respuesta, emite un token SWT al cliente. El token SWT es necesario para el acceso al servicio de administración de ACS.

Use cualquiera de los siguientes tipos de credenciales de cuenta para autenticarse en el servicio de administración de ACS:

  • Contraseñas: use el protocolo WRAP de OAuth para enviar una contraseña en una solicitud de token de texto no cifrado a ACS. El campo de contraseña corresponde al parámetro wrap_password en una solicitud de token de OAuth WRAP v0.9 y el campo de nombre de usuario corresponde al parámetro wrap_name . Para obtener más información, vea "Solicitudes de token de contraseña" en How to: Request a Token from ACS via the OAuth WRAP Protocol.

  • Claves simétricas: use una clave simétrica para firmar un token SWT y, a continuación, use el protocolo OAuth WRAP para enviar el token a ACS. Para obtener más información, consulte "Solicitudes de token SWT" en How to: Request a Token from ACS via the OAuth WRAP Protocol.

  • Certificados X.509: use un certificado X.509 para validar la firma de un token de portador SAML enviado a ACS para la autenticación. Para obtener más información, consulte "Solicitudes de token SAML" en Procedimiento para solicitar un token de ACS mediante el protocolo WRAP de OAuth.

Puede agregar y configurar cuentas de servicio de administración con todos estos tipos de credenciales en el Portal de administración de ACS. Para obtener más información, consulte Portal de administración de ACS.

Entidades de datos del servicio de administración de ACS 2.0

Un modelo de datos de entidades organiza los datos de configuración en registros de tipos de entidades (o entidades) y las asociaciones entre ellos. El modelo de datos de cada espacio de nombres de Access Control se describe en el documento de metadatos del servicio OData disponible en: https://< namespace.accesscontrol.windows.net>/v2/mgmt/service/$metadata, donde <el espacio de nombres> es el nombre del espacio de nombres Access Control.

Este documento XML utiliza el lenguaje de definición de esquemas conceptuales (CSDL) para describir el módulo de entidad. Puede descargar este documento y usarlo para generar clases con tipo en el código.

Para obtener más información sobre los tipos de entidad de ACS y sus propiedades, consulte Referencia de la API del servicio de administración de ACS.

Datos de entidades predeterminados

Cada Access Control espacio de nombres contiene datos de configuración predeterminados que se exponen al servicio de administración de ACS, pero no está disponible en el Portal de administración de ACS. Normalmente, el espacio de nombres Access Control usa internamente estos datos de configuración y no está relacionado con las aplicaciones de usuario de confianza personalizadas. Estos datos incluyen:

  • Aplicación de usuario autenticado AccessControlManagement: representa el Portal de administración de ACS y el servicio de administración de ACS, que son partes de confianza del espacio de nombres Access Control.

  • Grupo de reglas y reglas de AccessControlManagement: contiene las reglas de acceso para el Portal de administración de ACS y el servicio de administración de ACS. Puede configurar las reglas y los grupos de reglas en el Portal de administración de ACS.

  • Windows proveedor de identidades y emisor de Live ID: representa Windows Live ID (cuenta Microsoft), el proveedor de identidades y el emisor predeterminados. Este proveedor de identidades no se puede eliminar, ya que lo usa el usuario de confianza AccessControlManagement para la autenticación en el Portal de administración de ACS.

  • LOCAL_AUTHORITY Emisor: emisor usado en el motor de reglas de ACS para la salida de notificaciones por PARTE de ACS.

Vea también

Tareas

Ejemplo de código: Servicio de administración

Conceptos

Componentes de ACS 2.0
Referencia de API de servicio de administración de ACS
Procedimiento para solicitar un token de ACS mediante el protocolo WRAP de OAuth
Cómo: Usar el servicio de administración de ACS para configurar Facebook como proveedor de identidades de Internet
Cómo: Usar el servicio de administración de ACS para configurar AD FS 2.0 como proveedor de identidades de Enterprise
Cómo: Usar el servicio de administración de ACS para configurar un proveedor de identidades openID

Otros recursos

https://www.fabrikamshipping.com/