Servizio di gestione ACS
Aggiornamento: 19 giugno 2015
Si applica a: Azure
Si applica a
Microsoft Azure Active Directory Access Control (anche noto come Servizio di controllo di accesso o ACS)
Riepilogo
ACS Management Service è un componente ACS che consente di gestire e configurare le impostazioni in uno spazio dei nomi Controllo di accesso a livello di codice. È possibile usare il servizio di gestione ACS come alternativa o complemento al portale di gestione ACS, che fornisce un'interfaccia utente grafica per ACS.
Questo argomento illustra quanto riportato di seguito:
Come il servizio di gestione ACS rientra nell'architettura ACS complessiva
Quando è appropriato usare il servizio di gestione ACS per configurare le impostazioni ACS
Come usare il servizio di gestione ACS in modo più efficace
Panoramica
È possibile usare il protocollo OData (ACS Management Service) e Open Data (OData) per gestire e configurare i componenti ACS in uno spazio dei nomi Controllo di accesso a livello di codice.
Il diagramma seguente illustra i componenti di ACS e le relative relazioni.
.gif "ACS v2 Management Service")
Di seguito vengono illustrati alcuni scenari la gestione a livello di codice risulta particolarmente utile.
Aggiunta di nuovi tenant a un servizio SaaS Se si dispone di un prodotto software come servizio, ad esempio Office 365, è possibile scrivere codice che viene eseguito ogni volta che un nuovo cliente si iscrive al servizio. Il codice funziona con il servizio di gestione ACS per configurare il nuovo tenant per il provider di identità selezionato. Per un esempio funzionante di codice sorgente dell'applicazione SaaS che aggiunge nuovi tenant a ACS, vedere https://www.fabrikamshipping.com/.
Distribuzione di soluzioni: quando si distribuiscono nuove soluzioni, è possibile aggiungere un'attività personalizzata per configurare ACS come parte della distribuzione. Il servizio di gestione ACS consente di automatizzare la distribuzione e ridurre al minimo le attività di configurazione manuale dopo la distribuzione dell'applicazione.
Interfaccia utente personalizzata: è possibile usare il portale di gestione ACS, un'interfaccia utente basata sul Web ospitata nel proprio dominio, per gestire e configurare i componenti ACS. Tuttavia, se l'interfaccia utente viene rinominata, incorporata in una console di gestione più grande o esposta tramite un'interfaccia utente non basata sul Web, è possibile usare il servizio di gestione ACS per gestire e configurare le impostazioni ACS.
Funzionalità aggiuntive Anche se la maggior parte delle attività può essere eseguita nel portale di gestione ACS, alcune sono disponibili solo tramite il servizio di gestione ACS. Ad esempio, è possibile aggiungere provider di identità OpenID personalizzati solo usando il servizio di gestione ACS.
Accesso al portale di gestione ACS 2.0
Per accedere al servizio di gestione ACS per uno spazio dei nomi Controllo di accesso specifico, è necessario specificare l'URL dell'endpoint del servizio di gestione al client OData.
Per trovare l'URL dell'endpoint del servizio di gestione per uno spazio dei nomi Controllo di accesso, seguire questa procedura.
Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)
Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.
Fare clic su Management service.
L'URL viene visualizzato nella sezione Management Service URL della pagina.
Il formato per un URL dell'endpoint è https://< Namespace.accesscontrol.windows.net/v2/mgmt/service> dove Namespace è il nome dello spazio dei nomi Controllo di accesso.
Il servizio di gestione ACS usa ACS per l'autenticazione. ACS accetta una credenziale di gestione rilasciata nel protocollo OAuth WRAP e, in risposta, rilascia un token SWT al client. Il token SWT è necessario per l'accesso al servizio di gestione ACS.
Usare uno dei tipi di credenziali di account seguenti per eseguire l'autenticazione al servizio di gestione ACS:
Password: usare il protocollo OAuth WRAP per inviare una password in una richiesta di token in testo non crittografato a ACS. Il campo password corrisponde al parametro wrap_password in una richiesta di token OAuth WRAP v0.9 e il campo username corrisponde al parametro wrap_name . Per altre informazioni, vedere "Richieste di token password" in Procedura: Richiedere un token da ACS tramite il protocollo OAuth WRAP.
Chiavi simmetriche: usare una chiave simmetrica per firmare un token SWT e quindi usare il protocollo OAuth WRAP per inviare il token a ACS. Per altre informazioni, vedere "Richieste di token SWT" in Procedura: Richiedere un token da ACS tramite il protocollo OAuth WRAP.
Certificati X.509: usare un certificato X.509 per convalidare la firma di un token di connessione SAML inviato a ACS per l'autenticazione. Per altre informazioni, vedere "Richieste di token SAML" in Procedura: Richiedere un token da ACS tramite il protocollo OAuth WRAP
È possibile aggiungere e configurare gli account del servizio di gestione con tutti questi tipi di credenziali nel portale di gestione ACS. Per altre informazioni, vedere Portale di gestione ACS.
Entità di dati del servizio di gestione ACS 2.0
Con un modello EDM (Entity Data Model), i dati di configurazione vengono organizzati come record di tipi di entità (o entità) e come associazioni tra di essi. Il modello di dati per ogni spazio dei nomi Controllo di accesso è descritto nel documento dei metadati del servizio OData disponibile in: https://< namespace.accesscontrol.windows.net>/v2/mgmt/service/$metadata, dove <namespace> è il nome dello spazio dei nomi Controllo di accesso.
In questo documento XML viene usato il linguaggio CSDL (Conceptual Schema Definition Language) per descrivere i dati disponibili. È possibile scaricare il documento e usarlo per generare classi tipizzate nel codice.
Per altre informazioni sui tipi di entità ACS e sulle relative proprietà, vedere Informazioni di riferimento sulle API del servizio di gestione ACS.
Dati di entità predefiniti
Ogni Controllo di accesso spazio dei nomi contiene i dati di configurazione predefiniti esposti al servizio di gestione ACS, ma non sono disponibili nel portale di gestione ACS. Questi dati di configurazione vengono in genere usati internamente dallo spazio dei nomi Controllo di accesso e non sono correlati alle applicazioni relying party personalizzate. Questi dati includono:
AccessControlManagement Relying Party Application: rappresenta il portale di gestione ACS e il servizio di gestione ACS, che sono relying party dello spazio dei nomi Controllo di accesso.
Regole e gruppo di regole AccessControlManagement: contiene le regole di accesso per il portale di gestione ACS e il servizio di gestione ACS. È possibile configurare le regole e i gruppi di regole nel portale di gestione ACS.
Windows Provider di identità live ID e autorità di certificazione: rappresenta Windows Live ID (account Microsoft), il provider di identità e l'autorità emittente predefiniti. Questo provider di identità non può essere eliminato perché viene usato dalla relying party AccessControlManagement per l'autenticazione nel portale di gestione ACS.
LOCAL_AUTHORITY Issuer : autorità emittente usata nel motore regole ACS per l'output delle attestazioni da ACS.
Vedere anche
Attività
Esempio di codice: Servizio di gestione
Concetti
Componenti di ACS 2.0
Guida di riferimento per l'API dei servizi di gestione ACS
Procedura: Richiedere un token da ACS tramite il protocollo OAuth WRAP
Procedura: Usare il servizio di gestione ACS per configurare Facebook come provider di identità Internet
Procedura: Usare il servizio di gestione ACS per configurare AD FS 2.0 come provider di identità Enterprise
Procedura: Usare il servizio di gestione ACS per configurare un provider di identità OpenID