ポータル、Service Provider Foundation、および他のコンポーネント間の通信をセキュリティで保護する方法

 

適用対象: Azure Pack Windows

VM クラウド サービスの配信に関わるさまざまなコンポーネント (管理者向け管理ポータル、Service Management API、Service Provider Foundation、VMM 用) では、各コンポーネント間のセキュリティで保護されたチャネル経由で通信を行うことが不可欠です。 次の図は、管理者、Service Management API、Service Provider Foundation、VMM の管理ポータル間でユーザーが認証される方法を示しています。

1. ユーザーは、要求なしでポータルにアクセスします。

2. ポータルはユーザーを Secure Token Service (STS) にリダイレクトします。

3. STS はユーザーをログイン ページにリダイレクトします。

4. ユーザーは、ログイン ページに資格情報を入力します。

5. ユーザーは STS に対して認証されます。

6. 応答として、STS はユーザーに要求トークンを発行します。

7. ユーザーは、この要求を使用してポータルにアクセスします。

8. ポータルは、要求を Service Management API に渡します。

9. その後、ユーザーは基本認証を使用して Service Provider Foundation で認証されます。 Service Management API は、管理者としての基本認証を通じて Service Provider Foundation に対処しますが、テナント サブスクリプションとユーザー ID 情報を Service Provider Foundation に渡します。

10. Service Provider Foundation は、Service Provider Foundation データベースに格納されているロール メタデータを使用して要求を検証します。 要求元が要求内のスコープと特定のオブジェクトにアクセス可能であることが確認されると、Service Provider Foundation は基になるサービス アプリケーション プールの資格情報 (Service Provider Foundation のインストール時に提供) を使用して、要求元に代わって管理タスクを実行します。 サービス アプリケーション プールに対応するこのアカウントは、既に VMM サーバー上の管理者になっている必要があります。

参照

仮想マシン クラウド アーキテクチャについて