ACS 管理服務

發行項
11/09/2015

更新日期：2015 年 6 月 19 日

適用對象：Azure

適用於

Microsoft Azure Active Directory 存取控制服務 (也稱為「存取控制服務」或 ACS)

總結

ACS 管理服務是 ACS 元件，可讓您以程式設計方式管理和設定存取控制命名空間中的設定。您可以使用 ACS 管理服務作為 ACS 管理入口網站的替代或補充專案，以提供 ACS 的圖形使用者介面。

本主題說明下列資訊：

ACS 管理服務如何融入整體 ACS 架構
當適合使用 ACS 管理服務來設定 ACS 設定時
如何最有效地使用 ACS 管理服務

概觀

您可以使用 ACS 管理服務和 Open Data (OData) 通訊協定，以程式設計方式管理及設定存取控制命名空間中的 ACS 元件。

下圖說明 ACS 的元件及其關聯性。

ACS v2 Management Service

以程式設計方式管理對於以下情況特別有效。

將新的租使用者新增至 SaaS 服務如果您有軟體即服務產品，例如 Office 365，您可以撰寫每當新客戶註冊服務時所執行的程式碼。此程式碼會與 ACS 管理服務搭配運作，為他們選取的識別提供者設定新的租使用者。如需將新租使用者新增至 ACS 的 SaaS 應用程式原始程式碼運作範例，請參閱 https://www.fabrikamshipping.com/ 。
部署解決方案— 部署新解決方案時，您可以新增自訂工作，以將 ACS 設定為部署的一部分。 ACS 管理服務可協助您在部署應用程式之後自動執行部署，並將手動設定工作降至最低。
自訂使用者介面—您可以使用 ACS 管理入口網站，這是裝載在其本身網域的 Web 型使用者介面，可用來管理和設定 ACS 元件。不過，如果使用者介面已重新命名、內嵌至較大的管理主控台，或透過非 Web 型使用者介面公開，您可以使用 ACS 管理服務來管理及設定 ACS 設定。
其他功能 雖然大部分的工作都可以在 ACS 管理入口網站中執行，但有些工作只能透過使用 ACS 管理服務來使用。例如，您只能使用 ACS 管理服務來新增自訂 OpenID 識別提供者。

存取 ACS 2.0 管理服務

若要存取特定存取控制命名空間的 ACS 管理服務，您必須提供 OData 用戶端的管理服務端點 URL。

若要尋找存取控制命名空間的管理服務端點 URL，請使用下列程式。

移至Microsoft Azure管理入口網站 (https://manage.WindowsAzure.com) 登入，然後按一下 [Active Directory]。 (疑難排解提示：「Active Directory」專案遺失或無法使用)
若要管理存取控制命名空間，請選取該命名空間，然後按一下 [管理]。 (或按一下 [存取控制命名空間]、選取 [命名空間]，然後按一下 [管理])。
按一下 [管理服務]。

URL 會出現在頁面的 [管理服務 URL] 區段中。

端點 URL 的格式是 HTTPs:// < Namespace.accesscontrol.windows.net/v2/mgmt/service >，其中Namespace是您存取控制命名空間的名稱。

ACS 管理服務會使用 ACS 進行驗證。 ACS 接受 OAuth WRAP 通訊協定中發出的管理認證，而回應中會向用戶端發出 SWT 權杖。需要 SWT 權杖才能存取 ACS 管理服務。

使用下列任一類型的帳號憑證向 ACS 管理服務進行驗證：

密碼—使用 OAuth WRAP 通訊協定將純文字權杖要求中的密碼傳送至 ACS。密碼欄位會對應至 OAuth WRAP v0.9 權杖要求中的 wrap_password 參數，而使用者名稱欄位會對應至 wrap_name 參數。如需詳細資訊，請參閱如何：透過 OAuth WRAP 通訊協定向 ACS 要求權杖中的。
對稱金鑰— 使用對稱金鑰簽署 SWT 權杖，然後使用 OAuth WRAP 通訊協定將權杖傳送至 ACS。 For more information, see the "SWT token requests" in How to: Request a Token from ACS via the OAuth WRAP Protocol.
X.509 憑證- 使用 X.509 憑證來驗證傳送給 ACS 以進行驗證的 SAML 持有人權杖簽章。 For more information, see "SAML token requests" in How to: Request a Token from ACS via the OAuth WRAP Protocol

您可以在 ACS 管理入口網站中，使用所有這些認證類型來新增及設定管理服務帳戶。如需詳細資訊，請參閱 ACS 管理入口網站。

ACS 2.0 管理服務資料實體

實體資料模型可將設定資料組織到 實體類別 (或實體) 的記錄中，及其間關聯的格式。每個存取控制命名空間的資料模型會在下列位置的 OData 服務元資料檔案中說明：HTTPs:// < namespace.accesscontrol.windows.net > /v2/mgmt/service/$metadata，其中< namespace >是存取控制命名空間的名稱。

此 XML 文件使用概念性的結構描述定義語言 (CDSL) 來說明實體模組。您可以下載這份文件，並使用它來產生程式碼中具類型的類別。

如需 ACS 實體類型及其屬性的詳細資訊，請參閱 ACS 管理服務 API 參考。

預設實體資料

每個存取控制命名空間都包含公開給 ACS 管理服務的預設設定資料，但無法在 ACS 管理入口網站中使用。此設定資料通常是由存取控制命名空間內部使用，而且與自訂信賴憑證者應用程式無關。此資料包括：

AccessControlManagement 信賴憑證者應用程式— 代表 ACS 管理入口網站和 ACS 管理服務，這是存取控制命名空間的信賴憑證者。
AccessControlManagement 規則群組和規則— 包含 ACS 管理入口網站和 ACS 管理服務的存取規則。您可以在 ACS 管理入口網站中設定規則和規則群組。
Windows即時識別碼識別提供者和簽發者— 代表Windows即時識別碼 (Microsoft 帳戶) ，預設識別提供者和簽發者。無法刪除此識別提供者，因為 AccessControlManagement 信賴憑證者會使用它來驗證 ACS 管理入口網站。
LOCAL_AUTHORITY簽發者— ACS 規則引擎中用於 ACS 輸出的簽發者。

另請參閱