Служба управления ACS

Обновлено: 19 июня 2015 г.

Область применения: Azure

Применяется к

Microsoft Azure Active Directory Access Control (также называется Access Control Service или ACS)

Сводка

Служба управления ACS — это компонент ACS, который позволяет управлять и настраивать параметры в пространстве имен контроль доступа программными средствами. Службу управления ACS можно использовать как альтернативу или дополнение к порталу управления ACS, который предоставляет графический пользовательский интерфейс для ACS.

В этом разделе рассматриваются следующие вопросы.

• Как служба управления ACS вписывается в общую архитектуру ACS

• Если необходимо использовать службу управления ACS для настройки параметров ACS

• Как эффективно использовать службу управления ACS

Обзор

Вы можете использовать протокол ACS Management Service и Open Data (OData) для программного управления и настройки компонентов ACS в пространстве имен контроль доступа.

На следующей схеме показаны компоненты ACS и их связи.

Программное управление может быть особенно эффективным в сценариях, аналогичных следующим.

• Добавление новых клиентов в службу SaaS Если у вас есть программное обеспечение как услуга, например Office 365, вы можете написать код, который выполняется каждый раз, когда новый клиент регистрируется для вашей службы. Код работает со службой управления ACS, чтобы настроить новый клиент для выбранного поставщика удостоверений. Рабочий пример исходного кода приложения SaaS, который добавляет новые клиенты в ACS, см. в разделе https://www.fabrikamshipping.com/.

• Развертывание решений — при развертывании новых решений можно добавить настраиваемую задачу для настройки ACS в рамках развертывания. Служба управления ACS помогает автоматизировать развертывание и свести к минимуму задачи настройки вручную после развертывания приложения.

• Пользовательский пользовательский интерфейс— вы можете использовать портал управления ACS, веб-интерфейс, размещенный в собственном домене, для управления и настройки компонентов ACS. Однако если пользовательский интерфейс ребрендовывается, внедряется в более крупную консоль управления или предоставляется через пользовательский интерфейс, отличный от веб-интерфейса, вы можете использовать службу управления ACS для управления параметрами ACS и настройки их параметров.

• Дополнительные возможности Хотя большинство задач можно выполнять на портале управления ACS, некоторые из них доступны только с помощью службы управления ACS. Например, можно добавлять настраиваемые поставщики удостоверений OpenID только с помощью службы управления ACS.

Доступ к службе управления ACS 2.0

Чтобы получить доступ к службе управления ACS для определенного контроль доступа пространства имен, необходимо указать URL-адрес конечной точки службы управления для клиента OData.

Чтобы найти URL-адрес конечной точки службы управления для пространства имен контроль доступа, выполните следующую процедуру.

1. Перейдите на портал управления Microsoft Azure (https://manage.WindowsAzure.com), войдите и щелкните Active Directory. (Совет по устранению неполадок: элемент Active Directory отсутствует или недоступен)

2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

3. Нажмите Служба управления.

   В разделе страницы URL-адрес службы управления появится URL-адрес.

Url-адрес конечной точки имеет формат https://< Namespace.accesscontrol.windows.net/v2/mgmt/service> где пространство имен — это имя пространства имен контроль доступа.

Служба управления ACS использует ACS для проверки подлинности. ACS принимает учетные данные управления, выданные в протоколе OAuth WRAP, и, в ответ, выдает клиенту маркер SWT. Маркер SWT необходим для доступа к службе управления ACS.

Для проверки подлинности в службе управления ACS используйте любой из следующих типов учетных данных учетной записи:

• Пароли — используйте протокол OAuth WRAP для отправки пароля в запросе маркера открытого текста в ACS. Поле пароля соответствует параметру wrap_password в запросе маркера OAuth WRAP версии 0.9, а поле имени пользователя соответствует параметру wrap_name . Дополнительные сведения см. в разделе "Запросы маркера пароля" в руководстве по запросу маркера из ACS через протокол OAuth WRAP.

• Симметричные ключи — используйте симметричный ключ для подписи маркера SWT, а затем используйте протокол OAuth WRAP для отправки маркера в ACS. Дополнительные сведения см. в разделе "Запросы маркера SWT" в руководстве по запросу маркера из ACS через протокол OAuth WRAP.

• Сертификаты X.509— используйте сертификат X.509 для проверки подписи токена носителя SAML, отправленного в ACS для проверки подлинности. Дополнительные сведения см. в разделе "Запросы токена SAML" в руководстве по запросу маркера из ACS через протокол OAuth WRAP

Вы можете добавлять и настраивать учетные записи службы управления со всеми этими типами учетных данных на портале управления ACS. Дополнительные сведения см. на портале управления ACS.

Сущности данных службы управления ACS 2.0

Модель данных сущности упорядочивает данные конфигурации в виде записей типов сущностей (или сущностей) и связей между ними. Модель данных для каждого пространства имен контроль доступа описана в документе метаданных службы OData, доступном по адресу: https://< namespace.accesscontrol.windows.net>/v2/mgmt/service/$metadata, где <пространство имен — это имя пространства> имен контроль доступа.

Для описания модели сущностей в этом XML-документе используется язык CSDL. Этот документ можно загрузить и применять для создания типизированных классов в коде.

Дополнительные сведения о типах сущностей ACS и их свойствах см. в справочнике по API службы управления ACS.

Данные сущности по умолчанию

Каждое контроль доступа пространство имен содержит данные конфигурации по умолчанию, предоставляемые службе управления ACS, но недоступны на портале управления ACS. Эти данные конфигурации обычно используются внутри пространства имен контроль доступа и не связаны с пользовательскими приложениями проверяющей стороны. К этим данным относятся:

• Приложение Проверяющей стороны AccessControlManagement — представляет портал управления ACS и службу управления ACS, которые являются проверяющими сторонами пространства имен контроль доступа.

• Группа правил и правила AccessControlManagement— содержит правила доступа для портала управления ACS и службы управления ACS. Правила и группы правил можно настроить на портале управления ACS.

• Windows поставщика удостоверений и издателя Live ID— представляет Windows Live ID (учетная запись Майкрософт), поставщика удостоверений по умолчанию и издателя. Невозможно удалить этот поставщик удостоверений, так как он используется проверяющей стороной AccessControlManagement для проверки подлинности на портале управления ACS.

• LOCAL_AUTHORITY издателя— издатель, используемый в обработчике правил ACS для вывода утверждений ACS.

См. также:

Задания

Пример кода: служба управления

Основные понятия

Компоненты ACS 2.0
Справочник по API службы управления ACS
Практическое руководство. Запрос маркера из ACS с помощью протокола OAuth WRAP
Практическое руководство. Использование службы управления ACS для настройки Facebook в качестве поставщика удостоверений Интернета
Практическое руководство. Использование службы управления ACS для настройки AD FS 2.0 в качестве поставщика удостоверений Enterprise
Практическое руководство. Настройка поставщика удостоверений OpenID с помощью службы управления ACS

Другие ресурсы

https://www.fabrikamshipping.com/