Přehled ověřování sady Azure Pack Windows
Platí pro: Windows Azure Pack
Windows Azure Pack pro Windows Server používá ověřování na základě deklarací identity k udělení přístupu k portálu pro správu správcům, portálu pro správu pro tenanty a rozhraní REST API pro správu služeb. Tato část obsahuje přehled o Windows tom, jak sada Azure Pack implementuje ověřování na základě deklarací identity. Sada Windows Azure Pack Developer Kit obsahuje ukázku SampleAuthApplication, která ukazuje, jak ověřit na portálech Windows Azure Pack Správa a tenantech. Další informace o Windows Azure Packu a ověřování najdete v tématu https://go.microsoft.com/fwlink/?LinkId=331159.
Přehled
Vrstva pro správu sady Azure Pack Windows poskytuje rozsáhlé rozhraní REST API a širokou škálu rutin Windows PowerShell, které poskytují programový přístup k řízení a provozování komponent pro správu. Tato rozhraní API a rutiny vyžadují, aby volající byl ověřen poskytnutím tokenu zabezpečení podepsaného důvěryhodným zdrojem. V ověřování na základě deklarací identity tento token poskytuje externí entita označovaná jako služba tokenů zabezpečení (STS). Vztah důvěryhodnosti je vytvořen mezi Windows Azure Pack, který se označuje jako předávající strana (RP) a stS, která umožňuje službě STS podepsat tokeny zabezpečení a také umožnit Windows Azure Pack ověřit pravost tokenů. Aby služba STS vydala token, musí nejprve ověřit identitu uživatele. Můžete to provést tak, že obdržíte důvěryhodný podepsaný token z jiného důvěryhodného stS (v případě federace), což zaručuje identitu uživatele. Alternativně ji můžete provést konzultacem entity s názvem Zprostředkovatele identity (IDP), která ví, jak komunikovat s uživateli a ověřovat jejich identity.
V nasazení sady Azure Pack Windows je možné vytvořit různé topologie.
Příklad – jedna
Portál pro správu pro tenanty je možné nakonfigurovat tak, aby důvěřoval webu ověřování tenanta Windows sady Azure Pack (členství) a portálu pro správu pro správce tak, aby důvěřoval webu ověřování Windows Azure Packu Správa (Windows). V tomto příkladu Windows web ověřování tenanta sady Azure Pack (členství) funguje jako idP/STS. Jedná se o zprostředkovatele identity, protože může ověřit uživatelská jména a hesla v úložišti členství a jedná se o službu ZABEZPEČENÍ, protože po ověření identity uživatele může vydat a podepsat token zabezpečení, který uživatele identifikuje. Platí to také pro web pro ověřování Správa.
Příklad – dva
Portál pro správu pro správce a portál pro správu pro tenanty je možné nakonfigurovat tak, aby důvěřoval Active Directory Federation Services (AD FS) 2.0 pro Windows Server 2012 R2 (AD FS 2.0) Toto je doporučená topologie pro produkční scénáře.
Službu AD FS 2.0 je možné nakonfigurovat tak, aby ověřila uživatele pomocí přihlašovacích údajů služby Active Directory (AD). V tomto scénáři hraje ad roli zprostředkovatele identity a služba AD FS 2.0 hraje roli služby STS. Společně tvoří funkce protokolu IDP/STS.
Službu AD FS 2.0 je možné nakonfigurovat tak, aby se federovali s externí službou STS. V tomto scénáři hraje služba AD FS 2.0 roli služby STS.
Řetězec důvěryhodnosti mezi sadami Azure Pack Windows a posledním protokolem IDP může být velmi dlouhý. Řetězec může mít neomezený počet stS mezi Windows Azure Pack (jako rp) a posledním zprostředkovatele identity.
Aby se uživatel ověřil, musí přejít na poslední protokol IDP/STS, aby zadal své přihlašovací údaje. Ve návratu dostane token. Token je potřeba vyměnit za nový token každou službou STS v řetězci důvěryhodnosti a nakonec je možné token vydaný poslední službou STS předložit Windows Azure Packu.
Podporované zprostředkovatele identit
S Windows Azure Pack můžete použít libovolnou sadu STS, která může splňovat následující podmínky:
Podpora WS-Federation
Zveřejňuje koncový bod federačních metadat.
Být schopen generovat tokeny JWT s alespoň 'UPN' a volitelně 'Groups' Deklarace identity
Důležité
To platí jenom pro první službu STS v řetězci (nejblíže k Windows Azure Packu). Další uzly v řetězu tyto požadavky nepotřebují. Měly by být schopné pracovat s předchozími a dalšími uzly v řetězci důvěryhodnosti.
Příklad použití zprostředkovatele identity třetí strany je zdokumentovaný na Windows zprostředkovatelů identity třetích stran sady Azure Pack.
Windows Sada Azure Pack pro Windows Server se dodává se dvěma druhy služby STS.
Web ověřování tenanta
web ověřování Správa
Active Directory Federation Services (AD FS) 2.0 pro Windows Server 2012 R2 je možné použít k poskytování identit Windows Azure Packu. Starší verze služby AD FS nejsou kompatibilní, protože negenerují tokeny JWT. Průvodce instalací sady Azure Pack Windows obsahuje další informace o tom, jak federovat službu AD FS 2.0 s Windows Azure Packem. Zprostředkovatelé identit třetích stran je možné použít k poskytování identit Windows Azure Packu federováním se službou AD FS.
Další informace o konfiguraci služby AD FS 2.0 a Windows Azure Pack najdete v tématu https://technet.microsoft.com/en-us/library/dn296436.aspx.
Web ověřování tenanta
Web ověřování tenanta je ASP.Net zprostředkovatele členství založený na idP/STS. Uživatel tenanta zadá svoje uživatelské jméno a heslo na přihlašovací stránce. Ty se pak ověří v databázi poskytovatele členství ASP.Net. Poskytovatel členství má nad ním hlavu stS, která umožňuje ověřování uživatele a vydávání podepsaných tokenů zabezpečení JWT pro autorizované uživatele. Podporuje protokol WS-Federation: Pasivní profil žadatele XE " WS-Federation Protocol: Pasivní requestor profile " (ověřování prostřednictvím prohlížeče) a WS-Trust Protocol: Active Requestor Profile XE "WS-Trust Protocol: Active Requestor Profile" (ověřování prostřednictvím inteligentních klientů).
web ověřování Správa
Web ověřování Správa je služba ZABEZPEČENÍ založená na ověřování Windows (Kerberos/NTLM), která shromažďuje aktuálně přihlášené přihlašovací údaje uživatele a vydává podepsané tokeny zabezpečeníJWT pro autorizované uživatele. Podporuje protokol WS-Fed pro pasivní toky (ověřování prostřednictvím prohlížeče) a protokol WS-Trust pro aktivní toky (ověřování prostřednictvím inteligentních klientů).
Upozornění
I když se tyto dvě služby ZABEZPEČENÍ dají používat zaměnitelně, měly by se Správa a weby ověřování tenanta používat jenom pro Správa a weby tenantů. Propletení tohoto uspořádání způsobí přerušení scénářů tenanta. V produkčních scénářích nasazení se důrazně doporučuje používat službu AD FS.