本文档已存档,并且将不进行维护。

使用 ACS 保护 Web 应用程序

发布时间: 2011年4月

更新时间: 2015年6月

应用到: Azure

Important重要提示
ACS 命名空间可以将其 Google 标识提供者配置从 OpenID 2.0 迁移到 OpenID Connect。必须在 2015 年 6 月 1 日之前完成迁移。有关详细指南,请参阅将 ACS 命名空间迁移到 Google OpenID Connect

在此方案中,Web 应用程序需要与第三方身份验证标识管理系统集成。

ACS v2 Web 应用场景

有几个与此方案关联的难题:

  • 如何将未经身份验证的请求重定向到所需的标识提供者?

  • 如何验证标识提供者颁发的传入令牌?

  • 如何分析传入令牌?

  • 如何实施授权检查?

  • 如何通过添加、删除或更改声明类型和值来转换令牌?

  • 如何使用配置而非编码完成上述所有操作?

Microsoft Azure Active Directory 访问控制(也称为访问控制服务或 ACS) 为这种情况提供了解决方案,如下图所示。

ACS v2 Web 应用场景和解决方案


  • 使用 Windows Identity Foundation (WIF) 将未经身份验证的请求重定向到 ACS。ACS 将这些请求重定向到已配置的标识提供者。

  • 使用 Windows Identity Foundation (WIF) 验证传入令牌。

  • 使用 Windows Identity Foundation (WIF) 分析传入令牌。

  • 使用 Windows Identity Foundation (WIF) 实施授权检查。

  • 使用 ACS 规则引擎来转换令牌。

  • 上述大部分工作是使用应用程序的 web.config 中的配置和/或 ACS 管理门户来完成的。

另请参阅

显示: