Эта документация перемещена в архив и не поддерживается.

Служба управления ACS

Опубликовано: Апрель 2011 г.

Обновлено: Июнь 2015 г.

Назначение: Azure

Microsoft Azure Active Directory Access Control (также называется Access Control Service или ACS)

Служба управления Служба управления доступом представляет собой компонент Служба управления доступом для программного управления и настройки параметров в Пространство имен Access Control. Службу управления Служба управления доступом можно использовать в качестве альтернативы или дополнения к порталу управления Служба управления доступом, который предоставляет графический пользовательский интерфейс для Служба управления доступом.

В этом разделе рассматриваются следующие вопросы.

  • Место службы управления Служба управления доступом в общей архитектуре Служба управления доступом

  • Целесообразность использования службы управления Служба управления доступом для настройки параметров Служба управления доступом

  • Максимально эффективное использование службы управления Служба управления доступом

Службу управления Служба управления доступом и протокол Open Data (OData) можно использовать для программного управления и настройки компонентов Служба управления доступом в Пространство имен Access Control.

На следующей схеме показаны компоненты службы Служба управления доступом и их связи.

Служба управления ACS версии 2


Программное управление может быть особенно эффективным в сценариях, аналогичных следующим.

  • Добавление новых клиентов в службу SaaS Если у вас есть продукт SaaS (программное обеспечение как услуга), например Office 365, можно написать код, который выполняется при регистрации нового клиента для службы. Этот код работает вместе со службой управления Служба управления доступом для настройки нового клиента для выбранного поставщика удостоверений. Рабочий пример исходного кода приложения SaaS по добавлению новых клиентов в Служба управления доступом см. на веб-сайте http://www.fabrikamshipping.com/.

  • Развертывание решений — при развертывании новых решений можно добавить пользовательскую задачу, чтобы настроить Служба управления доступом как часть развертывания. Служба управления Служба управления доступом позволяет автоматизировать развертывание и свести к минимуму выполняемые вручную задачи после развертывания приложения.

  • Настраиваемый пользовательский интерфейс — можно использовать портал управления Служба управления доступом, веб-интерфейс, который размещается в собственном домене, для управления и настройки Служба управления доступом компонентов. Однако в случае переименования пользовательского интерфейса, его интеграции в более крупную консоль управления или реализации через интерфейс, отличный от веб-интерфейса, можно воспользоваться службой управления Служба управления доступом и выполнить задачи по управлению и настройке параметров Служба управления доступом.

  • Дополнительные возможности Большинство действий осуществляется на портале управления Служба управления доступом, но некоторые действия доступны только при использовании службы управления Служба управления доступом. Например, добавлять настраиваемых поставщиков удостоверений OpenID можно только с помощью службы управления Служба управления доступом.

Чтобы получить доступ к службе управления Служба управления доступом для конкретного Пространство имен Access Control, необходимо указать URL-адрес конечной точки службы управления к клиенту OData.

Чтобы найти URL-адрес конечной точки службы управления для Пространство имен Access Control, выполните следующую процедуру.

  1. Перейдите на портал управления Microsoft Azure, выполните вход и щелкните Active Directory. (Совет по устранению неполадок. Элемент "Active Directory" отсутствует или недоступен)

  2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

  3. Нажмите Служба управления.

    В разделе страницы URL-адрес службы управления появится URL-адрес.

URL-адрес конечной точки имеет следующий формат: https://<пространство_имен>.accesscontrol.windows.net/v2/mgmt/service, где пространство_имен — имя Пространство имен Access Control.

Служба управления Служба управления доступом использует Служба управления доступом для проверки подлинности. Служба Служба управления доступом принимает учетные данные управления, выданные в протоколе OAuth WRAP, затем в качестве ответа выдает клиенту маркер SWT. Маркер SWT необходим для доступа к службе управления Служба управления доступом.

Для прохождения проверки подлинности в службе управления Служба управления доступом подходят следующие типы учетных данных.

  • Пароли — протокол OAuth WRAP используется для отправки пароля в запросе маркера в службу Служба управления доступом. Поле «Пароль» соответствует параметру wrap_password в запросе маркера OAuth WRAP v0.9, а поле «Имя пользователя» соответствует параметру wrap_name. Подробнее см. в подразделе «Запросы маркера пароля» раздела Инструкции Запрос маркера от ACS с помощью протокола WRAP OAuth.

  • Симметричные ключи — симметричный ключ используется для подписи маркера SWT, после чего маркер отправляется в Служба управления доступом с использованием протокола OAuth WRAP. Подробнее см. в подразделе «Запросы маркера SWT» раздела Инструкции Запрос маркера от ACS с помощью протокола WRAP OAuth.

  • Сертификаты X.509 — сертификат X.509 используется для проверки подписи маркера носителя SAML, отправленного в службу Служба управления доступом для проверки подлинности. Подробнее см. в подразделе «Запросы маркера SAML» раздела Инструкции Запрос маркера от ACS с помощью протокола WRAP OAuth.

Добавление и настройка учетных записей службы управления со всеми указанными типами учетных данных выполняется на портале управления Служба управления доступом. Дополнительные сведения см. в Портал управления ACS.

Модель данных сущности упорядочивает данные конфигурации в виде записей типов сущностей (или сущностей) и связей между ними. Модель данных для каждого Пространство имен Access Control описана в документе по метаданным службы OData, доступному по адресу: https://<пространство_имен>.accesscontrol.windows.net/v2/mgmt/service/$metadata, где <пространство_имен> — имя Пространство имен Access Control.

Для описания модели сущностей в этом XML-документе используется язык CSDL. Этот документ можно загрузить и применять для создания типизированных классов в коде.

Подробнее о типах сущностей Служба управления доступом и их свойствах см. в разделе Справочник по API службы управления ACS.

В каждом Пространство имен Access Control содержатся данные конфигурации по умолчанию, которые доступны в службе Служба управления доступом, но отсутствуют на портале управления Служба управления доступом. Эти данные конфигурации обычно используются пространством имен Пространство имен Access Control внутренним образом и не связаны с настраиваемыми приложениями проверяющей стороны. В число этих данных входят следующие.

  • Приложение проверяющей стороны AccessControlManagement — представляет портал управления Служба управления доступом и службу управления Служба управления доступом, которые являются проверяющими сторонами Пространство имен Access Control.

  • Правила и группа правил AccessControlManagement — содержит правила доступа для портала управления Служба управления доступом и службы управления Служба управления доступом. Настроить правила и группы правил можно на портале управления Служба управления доступом.

  • Windows Live IDПоставщик и издатель удостоверений — представляет Идентификатор Windows Live ID (учетная запись Майкрософт), заданного по умолчанию поставщика и издателя удостоверений. Этого поставщика удостоверений нельзя удалить, поскольку проверяющая сторона AccessControlManagement использует его для проверки подлинности на портале управления Служба управления доступом.

  • Издатель LOCAL_AUTHORITY — издатель, используемый в обработчике правил Служба управления доступом для вывода утверждений Служба управления доступом.

См. также

Показ: