Comment sécuriser la communication entre le portail, Service Provider Foundation, et d'autres composants ?
S’applique à : Windows Azure Pack
Avec différents composants (portail de gestion pour les administrateurs, API Gestion des services, Service Provider Foundation et VMM) impliqués dans la fourniture du service Clouds de machines virtuelles, il est impératif que la communication se produise sur des canaux sécurisés entre chaque composant. L’illustration suivante montre comment un utilisateur est authentifié entre le portail de gestion pour les administrateurs, l’API Gestion des services, Service Provider Foundation et VMM.
.jpeg "Security in VM Clouds")
Un utilisateur, sans revendications, accède au portail.
Le portail redirige l'utilisateur vers le service d'émission de jetons sécurisé (STS).
Le service STS redirige l'utilisateur vers une page de connexion.
L'utilisateur entre les informations d'identification dans la page de connexion.
L'utilisateur est authentifié par STS.
En retour, STS émet un jeton de revendication à l'utilisateur
L'utilisateur utilise les revendications pour accéder au portail.
Le portail transmet les revendications à l’API Gestion des services.
L’utilisateur est ensuite authentifié auprès de Service Provider Foundation à l’aide de l’authentification de base. L’API Gestion des services traite Service Provider Foundation par le biais de l’authentification de base en tant qu’administrateur, mais transmet les informations d’abonnement client et d’ID utilisateur à Service Provider Foundation.
Service Provider Foundation valide les demandes à l’aide des métadonnées de rôle stockées dans la base de données Service Provider Foundation. Une fois qu’il est vérifié qu’un demandeur a accès à l’étendue et à des objets spécifiques dans la demande, Service Provider Foundation utilise des informations d’identification pour le pool d’applications de service sous-jacent (fourni lors de l’installation de Service Provider Foundation) pour effectuer des tâches de gestion pour le compte du demandeur. Ce compte de pool d'applications du service doit déjà être un compte d'administrateur sur le serveur VMM.