本文档已存档,并且将不进行维护。

ACS 难题 - SSO、标识流和授权

发布时间: 2011年4月

更新时间: 2015年6月

应用到: Azure

本主题概述与分布式云应用程序中的单一登录 (SSO)、标识流和授权相关的常见难题和解决方法。

考虑将以下示意图用于分布式应用程序的典型方案。

以下是此典型方案的主要特征。

ACS - 难题
  • 最终用户可通过一些行业标识提供程序管理现有标识,如 Windows Live ID(Microsoft 帐户)、Google、Yahoo!、Facebook 或企业 Active Directory。

  • 最终用户与系统交互,这些系统需要通过 Web 浏览器或富客户端进行身份验证和授权。

  • 最终用户与系统交互,这些系统需要通过在桌面、智能电话上或浏览器内运行的丰富客户端(如 Silverlight 或 JavaScript)进行身份验证和授权。

  • Web 应用程序可与需要进行身份验证和授权的下游 Web 服务交互。

有多种与此方案相关的常见安全难题。请考虑以下事项:

  • 如何外部化 Web 应用程序的身份验证?

  • 如何外部化 Web 服务的身份验证?

  • 如何将 Internet 凭据用于不同的应用程序?

  • 如何将企业凭据用于不同的应用程序?

  • 如何让安全上下文流经多个物理层?

  • 如何转换用户标识以进行更加细化的、基于声明的授权?

  • 如何实现与其他方的互操作?

  • 如何保护通信的安全?

  • 如何自动进行管理?

Microsoft Azure Active Directory 访问控制(也称为访问控制服务或 ACS)提供了一种解决方案来应对这些难题。通过使用开放的标准和协议(如 WS 联合身份验证、WS 信任、SAML、OAuth 2.0 和 SWT),ACS 可让用户构建能够与多个标识提供程序安全交互操作的云应用程序和本地应用程序,如下所示:

ACS - 解决方案


若要了解有关 ACS 体系结构和关键组件的详细信息,请参阅 ACS 体系结构

另请参阅

显示: