本文档已存档,并且将不进行维护。

ACS 管理服务

发布时间: 2011年4月

更新时间: 2015年6月

应用到: Azure

Microsoft Azure Active Directory 访问控制(也称为访问控制服务或 ACS)

ACS 管理服务是 ACS 的一个关键组件,允许你以编程方式管理和配置 “访问控制”命名空间中的设置。你可以使用 ACS 管理服务作为 ACS 管理门户的替代或补充工具,后者提供了 ACS 的图形用户界面。

本主题介绍以下内容:

  • ACS 管理服务如何适合整个 ACS 体系结构

  • 何时适合使用 ACS 管理服务配置 ACS 设置

  • 如何最有效地使用 ACS 管理服务

你可以使用 ACS 管理服务和开放数据 (OData) 协议以编程方式管理和配置 “访问控制”命名空间中的 ACS 组件。

下图演示了 ACS 的组件及其关系。

ACS v2 管理服务


在类似于下面的方案中,编程方式的管理可能特别有效。

  • 将新租户添加到 SaaS 服务 - 如果你有一个软件即服务产品(如 Office 365),可以编写每当新客户注册你的服务时运行的代码。该代码将使用 ACS 管理服务来配置新租户选择的标识提供程序。有关可将新租户添加到 ACS 的 SaaS 应用程序源代码的工作示例,请参阅 http://www.fabrikamshipping.com/

  • 部署解决方案 - 部署新解决方案时,你可以添加将 ACS 配置为部署一部分的自定义任务。ACS 管理服务可帮助你自动执行部署,并最大程度地减少部署应用程序后的手动配置任务。

  • 自定义用户界面 - 你可以使用 ACS 管理门户(一个托管在自身域中的基于 Web 的用户界面)管理和配置 ACS 组件。但是,如果出于品牌目的更改用户界面、用户界面嵌入到更大的管理控制台,或通过非基于 Web 的用户界面公开用户界面,则你可以使用 ACS 管理服务来管理和配置 ACS 设置。

  • 其他功能 - 尽管可以在 ACS 管理门户中执行大多数任务,但某些任务只能通过使用 ACS 管理服务来完成。例如,只能使用 ACS 管理服务添加自定义 OpenID 标识提供程序。

若要访问特定 “访问控制”命名空间的 ACS 管理服务,你必须提供 OData 客户端的管理服务终结点 URL。

若要查找 “访问控制”命名空间的管理服务终结点 URL,请使用以下过程。

  1. 转到 Microsoft Azure 管理门户 (https://manage.WindowsAzure.com) 并登录,然后单击“Active Directory”。(故障排除提示:“Active Directory”项缺失或不可用

  2. 若要管理访问控制命名空间,请选择该命名空间,然后单击“管理”。(或者,单击“访问控制命名空间”,选择命名空间,然后单击“管理”。)

  3. 单击“管理服务”。

    该 URL 显示在页的“管理服务 URL”部分中。

终结点 URL 的格式为 https://<Namespace>.accesscontrol.windows.net/v2/mgmt/service,其中,Namespace 是 “访问控制”命名空间的名称。

ACS 管理服务使用 ACS 进行身份验证。ACS 接受 OAuth WRAP 协议中颁发的管理凭据,在响应中, 将 SWT 令牌颁发给客户端。访问 ACS 管理服务时需要提供该 SWT 令牌。

使用下列任一类型的帐户凭据向 ACS 管理服务进行身份验证:

可以在 ACS 管理门户中使用所有这些凭据类型添加和配置管理服务帐户。有关详细信息,请参阅ACS 管理门户

实体数据模型以实体类型(或实体)记录的形式组织配置数据及其之间的关联。以下网页上的 OData 服务元数据文档中描述了每个 “访问控制”命名空间的数据模型:https://<namespace>.accesscontrol.windows.net/v2/mgmt/service/$metadata,其中,<namespace> 是 “访问控制”命名空间的名称。

此 XML 文档使用概念架构定义语言 (CDSL) 描述实体模块。你可以下载此文档,并使用它在代码中生成类型化类。

有关 ACS 实体类型及其属性的详细信息,请参阅 ACS 管理服务 API 参考

每个 “访问控制”命名空间包含公开给 ACS 管理服务、但在 ACS 管理门户中未提供的默认配置数据。此配置数据通常由 “访问控制”命名空间在内部使用,并且与自定义信赖方应用程序无关。此数据包括:

  • AccessControlManagement 信赖方应用程序 - 表示 ACS 管理门户和 ACS 管理服务,它们是 “访问控制”命名空间的信赖方。

  • AccessControlManagement 规则组和规则 - 包含 ACS 管理门户和 ACS 管理服务的访问规则。可以在 ACS 管理门户中配置规则和规则组。

  • Windows Live ID 标识提供程序和颁发者 - 表示 Windows Live ID(Microsoft 帐户),即默认的标识提供程序和颁发者。不能删除此标识提供程序,因为 AccessControlManagement 信赖方使用此标识提供程序向 ACS 管理门户进行身份验证。

  • LOCAL_AUTHORITY 颁发者 - 在 ACS 所输出声明的 ACS 规则引擎中使用的颁发者。

另请参阅

显示: