ACS 管理服务
更新时间:2015 年 6 月 19 日
适用于:Azure
适用于
Microsoft Azure Active Directory 访问控制(也称为访问控制服务或 ACS)
总结
ACS 管理服务是一个 ACS 组件,可用于以编程方式管理和配置访问控制命名空间中的设置。 可以使用 ACS 管理服务作为 ACS 管理门户的替代方法或补充,该门户为 ACS 提供图形用户界面。
本主题介绍以下内容:
ACS 管理服务如何适应整个 ACS 体系结构
如果适合使用 ACS 管理服务配置 ACS 设置
如何更有效地使用 ACS 管理服务
概述
可以使用 ACS 管理服务和 Open Data (OData) 协议以编程方式管理和配置 访问控制 命名空间中的 ACS 组件。
下图说明了 ACS 及其关系的组件。
.gif "ACS v2 Management Service")
在类似于下面的方案中,编程方式的管理可能特别有效。
将新租户添加到 SaaS 服务如果你有软件即服务产品(如Office 365),则可以编写每当新客户注册服务时运行的代码。 该代码适用于 ACS 管理服务,为他们选择的标识提供者配置新租户。 有关将新租户添加到 ACS 的 SaaS 应用程序源代码的工作示例,请参阅 https://www.fabrikamshipping.com/。
部署解决方案 - 部署新解决方案时,可以添加自定义任务以将 ACS 配置为部署的一部分。 ACS 管理服务可以帮助你在部署应用程序后自动执行部署并最大程度地减少手动配置任务。
自定义用户界面 - 可以使用 ACS 管理门户(一个基于 Web 的用户界面)在其自己的域中托管,用于管理和配置 ACS 组件。 但是,如果用户界面已重新命名、嵌入到更大的管理控制台中或通过基于 Web 的用户界面公开,则可以使用 ACS 管理服务管理和配置 ACS 设置。
其他功能 虽然大多数任务都可以在 ACS 管理门户中执行,但有些任务只能使用 ACS 管理服务。 例如,只能使用 ACS 管理服务添加自定义 OpenID 标识提供者。
访问 ACS 2.0 管理服务
若要访问特定访问控制命名空间的 ACS 管理服务,必须向 OData 客户端提供管理服务终结点 URL。
若要查找访问控制命名空间的管理服务终结点 URL,请使用以下过程。
转到Microsoft Azure管理门户 (https://manage.WindowsAzure.com) 登录,然后单击“Active Directory”。 (故障排除提示: “Active Directory”项缺失或不可用)
若要管理访问控制命名空间,请选择该命名空间,然后单击“管理”。 (或者,单击“访问控制命名空间”,选择命名空间,然后单击“管理”。)
单击“管理服务”。
该 URL 显示在页的“管理服务 URL”部分中。
终结点 URL 的格式 https://< Namespace.accesscontrol.windows.net/v2/mgmt/service> 其中命名空间是访问控制命名空间的名称。
ACS 管理服务使用 ACS 进行身份验证。 ACS 接受 OAuth WRAP 协议中颁发的管理凭据,并在响应中向客户端发出 SWT 令牌。 访问 ACS 管理服务需要 SWT 令牌。
使用以下任何类型的帐户凭据向 ACS 管理服务进行身份验证:
密码 - 使用 OAuth WRAP 协议将纯文本令牌请求中的密码发送到 ACS。 密码字段对应于 OAuth WRAP v0.9 令牌请求中的 wrap_password 参数,用户名字段对应于 wrap_name 参数。 有关详细信息,请参阅 “如何:通过 OAuth WRAP 协议从 ACS 请求令牌”中的“密码令牌请求”。
对称密钥 - 使用对称密钥对 SWT 令牌进行签名,然后使用 OAuth WRAP 协议将令牌发送到 ACS。 有关详细信息,请参阅 “如何:通过 OAuth WRAP 协议从 ACS 请求令牌”中的“SWT 令牌请求”。
X.509 证书 - 使用 X.509 证书验证发送到 ACS 进行身份验证的 SAML 持有者令牌的签名。 有关详细信息,请参阅“如何:通过 OAuth WRAP 协议从 ACS 请求令牌”中的“SAML 令牌请求”
可以在 ACS 管理门户中添加和配置所有这些凭据类型的管理服务帐户。 有关详细信息,请参阅 ACS 管理门户。
ACS 2.0 管理服务数据实体
实体数据模型以实体类型(或实体)记录的形式组织配置数据及其之间的关联。 每个访问控制命名空间的数据模型在 OData 服务元数据文档(https:// <namespace.accesscontrol.windows.net>/v2/mgmt/service/$metadata)中介绍,其中<命名空间>是访问控制命名空间的名称。
此 XML 文档使用概念架构定义语言 (CDSL) 描述实体模块。 你可以下载此文档,并使用它在代码中生成类型化类。
有关 ACS 实体类型及其属性的详细信息,请参阅 ACS 管理服务 API 参考。
默认实体数据
每个访问控制命名空间都包含向 ACS 管理服务公开的默认配置数据,但在 ACS 管理门户中不可用。 此配置数据通常由访问控制命名空间在内部使用,与自定义信赖方应用程序无关。 此数据包括:
AccessControlManagement 信赖方应用程序 — 表示 ACS 管理门户和 ACS 管理服务,后者是访问控制命名空间的信赖方。
AccessControlManagement 规则组和规则 - 包含 ACS 管理门户和 ACS 管理服务的访问规则。 可以在 ACS 管理门户中配置规则和规则组。
Windows实时 ID 标识提供者和颁发者 — 表示 Windows Live ID (Microsoft 帐户) ,即默认标识提供者和颁发者。 无法删除此标识提供者,因为 AccessControlManagement 信赖方使用它对 ACS 管理门户进行身份验证。
LOCAL_AUTHORITY颁发者 — ACS 规则引擎中使用的颁发者,用于 ACS 输出的声明。
另请参阅
任务
概念
ACS 2.0 组件
ACS 管理服务 API 参考
如何:通过 OAuth WRAP 协议从 ACS 请求令牌
如何:使用 ACS 管理服务将 Facebook 配置为 Internet 标识提供者
如何:使用 ACS 管理服务将 AD FS 2.0 配置为Enterprise标识提供者
如何:使用 ACS 管理服务配置 OpenID 标识提供者