Service de gestion ACS

Article
11/09/2015

Mise à jour : 19 juin 2015

S’applique à : Azure

S’applique à

Microsoft Azure Active Directory Access Control (également appelé Access Control Service ou ACS)

Résumé

Le service de gestion ACS est un composant ACS qui vous permet de gérer et de configurer les paramètres dans un espace de noms Access Control par programmation. Vous pouvez utiliser le service de gestion ACS comme alternative ou compléter le portail de gestion ACS, qui fournit une interface utilisateur graphique pour ACS.

Cette rubrique aborde les thèmes suivants :

Comment le service de gestion ACS s’intègre à l’architecture ACS globale
Lorsqu’il est approprié d’utiliser le service de gestion ACS pour configurer les paramètres ACS
Comment utiliser le service de gestion ACS le plus efficacement

Vue d’ensemble

Vous pouvez utiliser le protocole OData (AcS Management Service) et Open Data (OData) pour gérer et configurer les composants ACS dans un espace de noms Access Control par programmation.

Le diagramme suivant illustre les composants d’ACS et leurs relations.

ACS v2 Management Service

Une gestion par programmation peut être particulièrement utile dans les situations suivantes.

Ajout de nouveaux locataires à un service SaaS Si vous avez un produit software-as-a-service, tel que Office 365, vous pouvez écrire du code qui s’exécute chaque fois qu’un nouveau client s’inscrit à votre service. Le code fonctionne avec le service de gestion ACS pour configurer le nouveau locataire pour le fournisseur d’identité qu’il sélectionne. Pour obtenir un exemple fonctionnel de code source d’application SaaS qui ajoute de nouveaux locataires à ACS, consultez https://www.fabrikamshipping.com/.
Déploiement de solutions : lors du déploiement de nouvelles solutions, vous pouvez ajouter une tâche personnalisée pour configurer ACS dans le cadre du déploiement. Le service de gestion ACS peut vous aider à automatiser le déploiement et à réduire les tâches de configuration manuelle après le déploiement de l’application.
Interface utilisateur personnalisée : vous pouvez utiliser le portail de gestion ACS, une interface utilisateur web hébergée sur son propre domaine, pour gérer et configurer les composants ACS. Toutefois, si l’interface utilisateur est renommée, incorporée dans une console de gestion plus grande ou exposée via une interface utilisateur non web, vous pouvez utiliser le service de gestion ACS pour gérer et configurer vos paramètres ACS.
Fonctionnalités supplémentaires Bien que la plupart des tâches puissent être effectuées dans le portail de gestion ACS, certaines sont disponibles uniquement à l’aide du service de gestion ACS. Par exemple, vous pouvez ajouter des fournisseurs d’identité OpenID personnalisés uniquement à l’aide du service de gestion ACS.

Accès au service de gestion ACS 2.0

Pour accéder au service de gestion ACS pour un espace de noms Access Control particulier, vous devez fournir l’URL du point de terminaison du service de gestion au client OData.

Pour rechercher l’URL du point de terminaison du service de gestion pour un espace de noms Access Control, utilisez la procédure suivante.

Accédez au portail de gestion Microsoft Azure (https://manage.WindowsAzure.com), connectez-vous, puis cliquez sur Active Directory. (Conseil de résolution des problèmes : l’élément « Active Directory » est manquant ou non disponible)
Pour gérer un espace de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer. (Ou cliquez sur Espaces de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer.)
Cliquez sur Service de gestion.

L'URL s'affiche dans la section URL du service de gestion de la page.

Le format d’une URL de point de terminaison est https://< Namespace.accesscontrol.windows.net/v2/mgmt/service> où l’espace de noms est le nom de votre espace de noms Access Control.

Le service de gestion ACS utilise ACS pour l’authentification. ACS accepte les informations d’identification de gestion émises dans le protocole OAuth WRAP et, en réponse, émet un jeton SWT au client. Le jeton SWT est requis pour accéder au service de gestion ACS.

Utilisez l’un des types d’informations d’identification de compte suivants pour vous authentifier auprès du service de gestion ACS :

Mots de passe : utilisez le protocole OAuth WRAP pour envoyer un mot de passe dans une demande de jeton en texte clair à ACS. ‎Le champ de mot de passe correspond au paramètre wrap_password dans une demande de jeton OAuth WRAP v0.9, et le champ de nom d'utilisateur correspond au paramètre wrap_name. Pour plus d’informations, consultez « Demandes de jeton de mot de passe » dans How to: Request a Token from ACS via le protocole OAuth WRAP.
Clés symétriques : utilisez une clé symétrique pour signer un jeton SWT, puis utilisez le protocole OAuth WRAP pour envoyer le jeton à ACS. Pour plus d’informations, consultez les « demandes de jeton SWT » dans How to: Request a Token from ACS via le protocole OAuth WRAP.
Certificats X.509 : utilisez un certificat X.509 pour valider la signature d’un jeton du porteur SAML envoyé à ACS pour l’authentification. Pour plus d’informations, consultez « Demandes de jeton SAML » dans How to: Request a Token from ACS via le protocole OAuth WRAP

Vous pouvez ajouter et configurer des comptes de service de gestion avec tous ces types d’informations d’identification dans le portail de gestion ACS. Pour plus d’informations, consultez le portail de gestion ACS.

Entités de données du service de gestion ACS 2.0

Un modèle de données d'entité organise les données de configuration des enregistrements de types d'entité (ou d'entités) et les associations entre eux. Le modèle de données de chaque espace de noms Access Control est décrit dans le document de métadonnées du service OData disponible à l’adresse : https://< namespace.accesscontrol.windows.net>/v2/mgmt/service/$metadata, où <l’espace de noms> est le nom de l’espace de noms Access Control.

Ce document XML utilise le langage CSDL pour décrire le module d'entité. Vous pouvez télécharger ce document et l'utiliser pour générer des classes typées dans votre code.

Pour plus d’informations sur les types d’entités ACS et leurs propriétés, consultez informations de référence sur les API du service de gestion ACS.

Données d'entité par défaut

Chaque espace de noms Access Control contient des données de configuration par défaut exposées au service de gestion ACS, mais n’est pas disponible dans le portail de gestion ACS. Ces données de configuration sont généralement utilisées en interne par l’espace de noms Access Control et ne sont pas liées aux applications de partie de confiance personnalisées. Ces données incluent :

Application de partie de confiance AccessControlManagement : représente le portail de gestion ACS et le service de gestion ACS, qui sont des parties de confiance de l’espace de noms Access Control.
Groupe de règles et règles AccessControlManagement : contient les règles d’accès pour le portail de gestion ACS et le service de gestion ACS. Vous pouvez configurer les règles et les groupes de règles dans le portail de gestion ACS.
Windows fournisseur d’identité et émetteur Live ID : représente Windows Live ID (compte Microsoft), le fournisseur d’identité et l’émetteur par défaut. Ce fournisseur d’identité ne peut pas être supprimé, car il est utilisé par la partie de confiance AccessControlManagement pour l’authentification auprès du portail de gestion ACS.
LOCAL_AUTHORITY Émetteur : émetteur utilisé dans le moteur de règles ACS pour la sortie des revendications par ACS.

Voir aussi

Share via

Service de gestion ACS

S’applique à

Résumé

Vue d’ensemble

Accès au service de gestion ACS 2.0

Entités de données du service de gestion ACS 2.0

Données d'entité par défaut

Voir aussi

Tâches

Concepts

Autres ressources

Ressources supplémentaires