托管命名空间

更新时间：2015 年 6 月 19 日

适用于：Azure

托管命名空间是一个访问控制命名空间，部分由另一个服务管理。这些访问控制命名空间类似于标准访问控制命名空间，只是无法查看或编辑其托管设置，并且不能使用特定于应用程序的证书为信赖方应用程序签名令牌。

托管命名空间的示例

Azure 服务总线使用专用访问控制命名空间来控制对服务总线服务的访问。这些命名空间的特征是，命名空间名称中带有“-sb”。

Azure 缓存使用专用访问控制命名空间来控制对缓存服务的访问。这些命名空间的特征是，命名空间名称中带有“-cache”。

令牌签名证书和密钥 - 命名空间的令牌签名证书和密钥是自动管理的。在 ACS 管理门户中，这些证书和密钥处于隐藏状态，用户无法在命名空间级别添加新的令牌签名证书或密钥。在管理服务中，客户端无法读取或写入到 ServiceKeys 表。

自动管理令牌解密证书。在 ACS 管理门户中，这些证书是隐藏的，用户无法添加新的令牌解密证书。

当向托管命名空间添加新的信赖方应用程序时，证书和密钥处理取决于要添加的信赖方的类型：

托管命名空间中 Microsoft 管理的信赖方应用程序（如 Service Bus 命名空间或缓存命名空间中的 Service Bus 信赖方）必须使用该命名空间的证书和密钥。如果颁发给托管命名空间中 Microsoft 管理的信赖方应用程序的令牌是使用特定于应用程序的（专用）证书或密钥签名的，则身份验证将无法正常工作。

当你将 Microsoft 管理的信赖方应用程序添加到托管命名空间（如 Service Bus 命名空间中的 Service Bus 信赖方）时，请选择“使用服务命名空间证书(标准)”选项，以指示 ACS 对托管命名空间中的所有应用程序使用该证书。

在“证书和密钥”页上，不要选择“添加令牌签名证书”。如果要求你在特定情况下（如在使用 SWT 协议时）输入证书或密钥，请输入所需的信息，然后在保存后返回到该页并删除特定于应用程序的证书或密钥。
添加所管理的自定义信赖方应用程序时，请选择“ 使用专用证书 ”选项创建特定于应用程序的证书或密钥。不要依赖于为整个命名空间配置的 ACS 管理的证书和密钥。如果你依赖于这些证书和密钥，则请注意：这些证书和密钥通常在一年内到期，而你不能续订它们。自定义解决方案不应使用托管命名空间，而应改用标准访问控制命名空间。

解密证书 - 自动管理令牌解密证书。在 ACS 管理门户中，这些证书是隐藏的，用户无法添加新的令牌解密证书。在管理服务中，客户端无法读取或写入到 ServiceKeys 表。

托管命名空间不用于自定义解决方案，就像常规访问控制命名空间一样。