ACS felügyeleti szolgáltatás
Frissítve: 2015. június 19.
Érintett kiadások: Azure
A következőre érvényes:
Microsoft Azure Active Directory Access Control (más néven Access Control Service vagy ACS)
Összefoglalás
Az ACS felügyeleti szolgáltatás egy ACS-összetevő, amely lehetővé teszi a beállítások programozott módon történő kezelését és konfigurálását egy Access Control névtérben. Használhatja az ACS felügyeleti szolgáltatást az ACS felügyeleti portál alternatívaként vagy kiegészítéseként, amely grafikus felhasználói felületet biztosít az ACS-hez.
Ez a témakör a következőket ismerteti:
Hogyan illeszkedik az ACS felügyeleti szolgáltatás a teljes ACS-architektúrába?
Ha megfelelő az ACS felügyeleti szolgáltatás használata az ACS-beállítások konfigurálásához
Az ACS felügyeleti szolgáltatás leghatékonyabb használata
Áttekintés
Az ACS Management Service és az Open Data (OData) protokoll használatával programozott módon kezelheti és konfigurálhatja az ACS-összetevőket egy Access Control névtérben.
Az alábbi ábra az ACS összetevőit és kapcsolatait szemlélteti.
A programozott felügyelet különösen hatékony lehet az alábbihoz hasonló helyzetekben.
Új bérlők hozzáadása SaaS-szolgáltatáshoz Ha szolgáltatásként nyújtott szoftverrel rendelkezik, például Office 365, írhat olyan kódot, amely akkor fut, amikor egy új ügyfél regisztrál a szolgáltatásra. A kód az ACS felügyeleti szolgáltatással együttműködve konfigurálja az új bérlőt a kiválasztott identitásszolgáltatóhoz. Az SaaS-alkalmazás forráskódjának működő mintáját, amely új bérlőket ad hozzá az ACS-hez, tekintse meg a következőt https://www.fabrikamshipping.com/: .
Megoldások üzembe helyezése – Új megoldások üzembe helyezésekor hozzáadhat egy egyéni feladatot az ACS konfigurálásához az üzembe helyezés részeként. Az ACS felügyeleti szolgáltatással automatizálhatja az üzembe helyezést, és minimalizálhatja a manuális konfigurációs feladatokat az alkalmazás üzembe helyezése után.
Egyéni felhasználói felület – Az ACS felügyeleti portálja, a saját tartományán üzemeltetett webes felhasználói felület az ACS-összetevők kezelésére és konfigurálására használható. Ha azonban a felhasználói felület át van alakítva, egy nagyobb felügyeleti konzolba van beágyazva, vagy nem webalapú felhasználói felületen keresztül van elérhetővé téve, az ACS felügyeleti szolgáltatással kezelheti és konfigurálhatja az ACS-beállításokat.
További funkciók Bár a legtöbb feladat elvégezhető az ACS felügyeleti portálon, néhány csak az ACS felügyeleti szolgáltatással érhető el. Egyéni OpenID-identitásszolgáltatókat például csak az ACS felügyeleti szolgáltatással adhat hozzá.
Az ACS 2.0 felügyeleti szolgáltatás elérése
Ha egy adott Access Control névtérhez szeretné elérni az ACS felügyeleti szolgáltatást, meg kell adnia a felügyeleti szolgáltatás végpontjának URL-címét az OData-ügyfélnek.
A felügyeleti szolgáltatás végpontjának URL-címét az alábbi eljárással keresheti meg egy Access Control névtérhez.
Lépjen a Microsoft Azure felügyeleti portálra (https://manage.WindowsAzure.com), jelentkezzen be, majd kattintson az Active Directoryra. (Hibaelhárítási tipp: Az "Active Directory" elem hiányzik vagy nem érhető el)
Egy Access Control névtér kezeléséhez jelölje ki a névteret, majd kattintson a Kezelés gombra. (Vagy kattintson Access Control Névterek elemre, jelölje ki a névteret, majd kattintson a Kezelés gombra.)
Kattintson a Felügyeleti szolgáltatás elemre.
Az URL-cím megjelenik a felügyeleti szolgáltatás URL-cím szakaszában.
A végpont URL-címének formátuma https://< Namespace.accesscontrol.windows.net/v2/mgmt/service>, ahol a névtér a Access Control névtér neve.
Az ACS felügyeleti szolgáltatás ACS-t használ a hitelesítéshez. Az ACS elfogadja az OAuth WRAP protokollban kiadott felügyeleti hitelesítő adatokat, és válaszul kiad egy SWT-jogkivonatot az ügyfélnek. Az SWT-jogkivonat szükséges az ACS felügyeleti szolgáltatáshoz való hozzáféréshez.
Az ACS felügyeleti szolgáltatásban a következő típusú fiókhitelesítő adatokkal végezhet hitelesítést:
Jelszavak – Az OAuth WRAP protokoll használatával egyszerű szöveges jogkivonat-kérésben küldhet jelszót az ACS-nek. A jelszó mező megfelel az OAuth WRAP v0.9 jogkivonat-kérés wrap_password paraméterének, a felhasználónév mező pedig a wrap_name paraméternek. További információ: "Jelszójogkivonat-kérések" az Útmutató: Jogkivonat kérése az ACS-től az OAuth WRAP Protokollon keresztül.
Szimmetrikus kulcsok – Az SWT-jogkivonat aláírásához használjon szimmetrikus kulcsot, majd az OAuth WRAP protokoll használatával küldje el a jogkivonatot az ACS-nek. További információ: "SWT-tokenkérelmek" az Útmutató: Jogkivonat kérése az ACS-ből az OAuth WRAP protokollon keresztül.
X.509-tanúsítványok – X.509-tanúsítvánnyal ellenőrizheti az ACS-nek hitelesítésre küldött SAML-tulajdonosi jogkivonat aláírását. További információ: "SAML-jogkivonat-kérések" a How to: Request a Token from ACS via the OAuth WRAP Protocol (SAML-jogkivonat-kérések) című témakörben.
Az ACS felügyeleti portálon az összes ilyen típusú hitelesítőadat-típussal hozzáadhat és konfigurálhat felügyeleti szolgáltatásfiókokat. További információt az ACS felügyeleti portálon talál.
Az ACS 2.0 felügyeleti szolgáltatás adatentitásai
Az entitás-adatmodellek a konfigurációs adatokat entitástípusok (vagy entitások) rekordjaiba és a közöttük lévő társításokba rendezik. Az egyes Access Control-névterek adatmodelljének leírását az OData szolgáltatás metaadat-dokumentuma ismerteti, amely a következő címen érhető el: https://< namespace.accesscontrol.windows.net>/v2/mgmt/service/$metadata, ahol <a névtér> a Access Control névtér neve.
Ez az XML-dokumentum fogalmi sémadefiníciós nyelvet (CSDL) használ az entitásmodul leírásához. Letöltheti ezt a dokumentumot, és felhasználhatja gépelt osztályok létrehozására a kódban.
Az ACS-entitástípusokkal és azok tulajdonságaival kapcsolatos további információkért lásd az ACS Management Service API-referenciáját.
Alapértelmezett entitásadatok
Minden Access Control névtér olyan alapértelmezett konfigurációs adatokat tartalmaz, amelyek elérhetők az ACS felügyeleti szolgáltatás számára, de nem érhetők el az ACS felügyeleti portálon. Ezeket a konfigurációs adatokat általában a Access Control névtér használja, és nem kapcsolódik egyéni függő entitások alkalmazásához. A adatok tartalma:
AccessControlManagement függő entitásalkalmazás – Az ACS felügyeleti portált és az ACS felügyeleti szolgáltatást jelöli, amelyek a Access Control névtér függő entitásai.
AccessControlManagement szabálycsoport és szabályok – Az ACS felügyeleti portál és az ACS felügyeleti szolgáltatás hozzáférési szabályait tartalmazza. A szabályokat és szabálycsoportokat az ACS felügyeleti portálon konfigurálhatja.
Windows Live ID Identitásszolgáltató és -kibocsátó – Az Windows Live ID (Microsoft-fiók), az alapértelmezett identitásszolgáltató és -kibocsátó. Ez az identitásszolgáltató nem törölhető, mert az AccessControlManagement függő entitás használja az ACS felügyeleti portálon való hitelesítéshez.
LOCAL_AUTHORITY Kiállító – Az ACS szabálymotorban használt kiállító az ACS jogcímkimenetéhez.
Lásd még:
Feladatok
Kódminta: Felügyeleti szolgáltatás
Alapelvek
Az ACS 2.0 összetevői
Az ACS management szolgáltatás API-referenciája
Útmutató: Jogkivonat kérése az ACS-től az OAuth WRAP protokollon keresztül
Útmutató: Az ACS felügyeleti szolgáltatás használata a Facebook internetes identitásszolgáltatóként való konfigurálásához
Útmutató: Az ACS felügyeleti szolgáltatás használata az AD FS 2.0 vállalati identitásszolgáltatóként való konfigurálásához
Útmutató: OpenID-identitásszolgáltató konfigurálása az ACS felügyeleti szolgáltatással