Cette documentation est archivée et n’est pas conservée.

Service de gestion ACS

Publication: avril 2011

Mis à jour: juin 2015

S'applique à: Azure

Microsoft Azure Active Directory Access Control (également appelé Access Control Service ou ACS)

Le service de gestion ACS est un composant ACS qui vous permet de gérer et de configurer les paramètres d'un espace de noms Access Control par programmation. Vous pouvez utiliser le service de gestion ACS à la place ou en complément du portail de gestion ACS, qui fournit une interface utilisateur graphique pour ACS.

Cette rubrique aborde les thèmes suivants :

  • Comment le service de gestion ACS s'adapte à l'architecture globale d'ACS

  • Quand convient-il d'utiliser le service de gestion ACS pour configurer des paramètres ACS

  • Comment utiliser le service de gestion ACS le plus efficacement

Le service de gestion ACS et le protocole OData (Open Data) permettent de gérer et de configurer les composants ACS dans un espace de noms Access Control par programmation.

Le diagramme suivant illustre les composants d'ACS et leurs relations.

Service de gestion ACS v2


Une gestion par programmation peut être particulièrement utile dans les situations suivantes.

  • Ajout de nouveaux locataires à un service SaaS Si vous avez un produit SaaS tel qu'Office 365, vous pouvez écrire du code qui s'exécute chaque fois qu'un nouveau client s'inscrit pour votre service. Le code opère avec le service de gestion ACS afin de configurer le nouveau locataire pour le fournisseur d'identité qu'il sélectionne. Pour obtenir un exemple fonctionnel de code source d'application SaaS qui ajoute des locataires à ACS, consultez http://www.fabrikamshipping.com/.

  • Déploiement de solutions : lors du déploiement de nouvelles solutions, vous pouvez ajouter une tâche personnalisée pour configurer ACS dans le cadre du déploiement. Le service de gestion ACS peut vous aider à automatiser le déploiement et à minimiser les tâches de configuration manuelle une fois l'application déployée.

  • Interface utilisateur personnalisée : vous pouvez utiliser le portail de gestion ACS, une interface utilisateur web qui est hébergée sur son propre domaine, pour gérer et configurer des composants ACS. Toutefois, si l'interface utilisateur est re-nommée, incorporée dans une console de gestion de plus grande taille ou exposée via un interface utilisateur non web, vous pouvez utiliser le service de gestion ACS pour gérer et configurer vos paramètres ACS.

  • Fonctionnalités supplémentaires Si la plupart des tâches peuvent être effectuées dans le portail de gestion ACS, certaines sont accessibles uniquement via le service de gestion ACS. Par exemple, vous pouvez ajouter des fournisseurs d'identité OpenID personnalisés uniquement à l'aide du service de gestion ACS.

Pour accéder au service de gestion ACS pour un espace de noms Access Control particulier, vous devez fournir l'URL de point de terminaison du service de gestion au client OData.

Pour identifier l'URL de point de terminaison du service de gestion pour un espace de noms Access Control, procédez comme suit.

  1. Accédez au Portail de gestion Microsoft Azure (https://manage.WindowsAzure.com), ouvrez une session, puis cliquez sur Active Directory. (Conseil de dépannage : « Active Directory » est manquant ou non disponible)

  2. Pour gérer un espace de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer. (Ou cliquez sur Espaces de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer.)

  3. Cliquez sur Service de gestion.

    L'URL s'affiche dans la section URL du service de gestion de la page.

Le format d'une URL de point de terminaison est https://<Namespace>.accesscontrol.windows.net/v2/mgmt/service, où Namespace est le nom de votre espace de noms Access Control.

Le service de gestion ACS utilise ACS pour l'authentification. ACS accepte une gestion des informations d'identification émises dans le protocole OAuth WRAP et, en réponse, émet un jeton SWT pour le client. Le jeton SWT est requis pour accéder au service de gestion ACS.

Utilisez un des types suivants d'informations d'identification de compte pour l'authentification auprès du service de gestion ACS :

  • Mots de passe : utilisez le protocole OAuth WRAP pour envoyer un mot de passe dans une demande de jeton en texte en clair à ACS. ‎Le champ de mot de passe correspond au paramètre wrap_password dans une demande de jeton OAuth WRAP v0.9, et le champ de nom d'utilisateur correspond au paramètre wrap_name. Pour plus d'informations, consultez « Demandes de jetons de mot de passe » dans Demande de jeton à ACS via le protocole OAuth WRAP.

  • Clés symétriques : utilisez une clé symétrique pour signer un jeton SWT, puis utilisez le protocole OAuth WRAP pour envoyer le jeton à ACS. Pour plus d'informations, consultez « Demandes de jeton SWT » dans Demande de jeton à ACS via le protocole OAuth WRAP.

  • Certificats X.509 : utilisez un certificat X.509 pour valider la signature d'un jeton de support SAML envoyé à ACS pour authentification. Pour plus d'informations, consultez « Demandes de jeton SAML » dans Demande de jeton à ACS via le protocole OAuth WRAP.

Vous pouvez ajouter et configurer des comptes de service de gestion avec tous ces types d'informations d'identification dans le portail de gestion ACS. Pour plus d'informations, consultez Portail de gestion ACS.

Un modèle de données d'entité organise les données de configuration des enregistrements de types d'entité (ou d'entités) et les associations entre eux. Le modèle de données pour chaque espace de noms Access Control est décrit dans le document de métadonnées de service OData disponible à l'adresse : https://<namespace>.accesscontrol.windows.net/v2/mgmt/service/$metadata, où <namespace> est le nom de l'espace de noms Access Control.

Ce document XML utilise le langage CSDL pour décrire le module d'entité. Vous pouvez télécharger ce document et l'utiliser pour générer des classes typées dans votre code.

Pour plus d'informations sur les types d'entités ACS et leurs propriétés, consultez Référence de l'API du service de gestion ACS.

Chaque espace de noms Access Control contient les données de configuration par défaut qui sont exposées au service de gestion ACS, mais ne sont pas disponibles dans le portail de gestion ACS. Ces données de configuration sont généralement utilisées en interne par l'espace de noms Access Control, et ne sont pas liées à des applications par partie de confiance personnalisées. Cette données sont les suivantes :

  • Application par partie de confiance AccessControlManagement : représente le portail de gestion ACS et le service de gestion ACS, qui sont des parties de confiance de l'espace de noms Access Control.

  • Règles et le groupe de règles AccessControlManagement : contient les règles d'accès pour le portail de gestion ACS et le service de gestion ACS. Vous pouvez configurer les règles et groupes de règles dans le portail de gestion ACS.

  • Fournisseur et émetteur d'identité Windows Live ID : représente Windows Live ID (compte Microsoft), le fournisseur et émetteur d'identité par défaut. Ce fournisseur d'identité ne peut pas être supprimé, car il est utilisé par la partie de confiance AccessControlManagement pour l'authentification auprès du portail de gestion ACS.

  • Émetteur LOCAL_AUTHORITY : émetteur utilisé dans le moteur des règles ACS pour les revendications générées par ACS.

Voir aussi

Afficher: