ACS 관리 서비스
업데이트: 2015년 6월 19일
Azure에 적용합니다.
적용 대상
Microsoft Azure Active Directory 액세스 제어(액세스 제어 서비스 또는 ACS라고도 함)
요약
ACS 관리 서비스는 프로그래밍 방식으로 Access Control 네임스페이스의 설정을 관리하고 구성할 수 있는 ACS 구성 요소입니다. ACS 관리 서비스를 대신 사용하거나 ACS용 그래픽 사용자 인터페이스를 제공하는 ACS 관리 포털을 보완할 수 있습니다.
이 항목에서는 다음에 대해 설명합니다.
ACS 관리 서비스가 전체 ACS 아키텍처에 적합한 방법
ACS 관리 서비스를 사용하여 ACS 설정을 구성하는 것이 적절한 경우
ACS 관리 서비스를 가장 효과적으로 사용하는 방법
개요
ACS 관리 서비스 및 OData(Open Data) 프로토콜을 사용하여 프로그래밍 방식으로 Access Control 네임스페이스에서 ACS 구성 요소를 관리하고 구성할 수 있습니다.
다음 다이어그램에서는 ACS의 구성 요소와 해당 관계를 보여 줍니다.
.gif "ACS v2 Management Service")
다음은 프로그래밍 방식으로 관리하는 기능이 특히 유용할 수 있는 몇 가지 시나리오입니다.
SaaS 서비스에 새 테넌트 추가 Office 365 같은 서비스로서의 소프트웨어 제품이 있는 경우 새 고객이 서비스에 등록할 때마다 실행되는 코드를 작성할 수 있습니다. 코드는 ACS 관리 서비스와 함께 작동하여 선택한 ID 공급자에 대한 새 테넌트 구성 ACS에 새 테넌트를 추가하는 SaaS 애플리케이션 소스 코드의 작업 샘플은 다음을 참조하세요 https://www.fabrikamshipping.com/.
솔루션 배포 - 새 솔루션을 배포할 때 배포의 일부로 ACS를 구성하는 사용자 지정 작업을 추가할 수 있습니다. ACS 관리 서비스를 사용하면 애플리케이션을 배포한 후 배포를 자동화하고 수동 구성 작업을 최소화할 수 있습니다.
사용자 지정 사용자 인터페이스 - 자체 도메인에서 호스트되는 웹 기반 사용자 인터페이스인 ACS 관리 포털을 사용하여 ACS 구성 요소를 관리하고 구성할 수 있습니다. 그러나 사용자 인터페이스가 브랜드를 변경하거나, 더 큰 관리 콘솔에 포함되거나, 웹 기반이 아닌 사용자 인터페이스를 통해 노출되는 경우 ACS 관리 서비스를 사용하여 ACS 설정을 관리하고 구성할 수 있습니다.
추가 기능 대부분의 작업은 ACS 관리 포털에서 수행할 수 있지만 일부는 ACS 관리 서비스를 사용해야만 사용할 수 있습니다. 예를 들어 ACS 관리 서비스를 사용하여 사용자 지정 OpenID ID 공급자를 추가할 수 있습니다.
ACS 2.0 관리 서비스 액세스
특정 Access Control 네임스페이스에 대한 ACS 관리 서비스에 액세스하려면 OData 클라이언트에 관리 서비스 엔드포인트 URL을 제공해야 합니다.
Access Control 네임스페이스에 대한 관리 서비스 엔드포인트 URL을 찾으려면 다음 절차를 사용합니다.
Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)
Access Control 네임스페이스를 관리하려면 네임스페이스를 선택한 다음 관리를 클릭합니다. 또는 Access Control 네임스페이스를 클릭하고 네임스페이스를 선택한 다음 관리를 클릭합니다.
관리 서비스를 클릭합니다.
페이지의 관리 서비스 URL 섹션에 URL이 표시됩니다.
엔드포인트 URL의 형식은 https://< Namespace.accesscontrol.windows.net/v2/mgmt/service>. 여기서 네임스페이스는 Access Control 네임스페이스의 이름입니다.
ACS 관리 서비스는 인증에 ACS를 사용합니다. ACS는 OAuth WRAP 프로토콜에서 발급된 관리 자격 증명을 수락하고 이에 대한 응답으로 클라이언트에 SWT 토큰을 발급합니다. ACS 관리 서비스에 액세스하려면 SWT 토큰이 필요합니다.
다음 유형의 계정 자격 증명을 사용하여 ACS 관리 서비스에 인증합니다.
암호 - OAuth WRAP 프로토콜을 사용하여 ACS에 일반 텍스트 토큰 요청의 암호를 보냅니다. 암호 필드는 OAuth WRAP v0.9 토큰 요청의 wrap_password 매개 변수에 해당하며 사용자 이름 필드는 wrap_name 매개 변수에 해당합니다. 자세한 내용은 방법 : OAuth WRAP 프로토콜을 통해 ACS에서 토큰 요청의 "암호 토큰 요청"을 참조하세요.
대칭 키 - 대칭 키를 사용하여 SWT 토큰에 서명한 다음 OAuth WRAP 프로토콜을 사용하여 토큰을 ACS로 보냅니다. 자세한 내용은 방법 : OAuth WRAP 프로토콜을 통해 ACS에서 토큰 요청의 "SWT 토큰 요청"을 참조하세요.
X.509 인증서 - X.509 인증서를 사용하여 인증을 위해 ACS로 전송된 SAML 전달자 토큰의 서명의 유효성을 검사합니다. 자세한 내용은 방법: OAuth WRAP 프로토콜을 통해 ACS에서 토큰 요청의 "SAML 토큰 요청"을 참조하세요.
ACS 관리 포털에서 이러한 자격 증명 유형을 모두 사용하여 관리 서비스 계정을 추가하고 구성할 수 있습니다. 자세한 내용은 ACS 관리 포털을 참조하세요.
ACS 2.0 관리 서비스 데이터 엔터티
엔터티 데이터 모델은 엔터티 형식(또는 엔터티) 레코드와 레코드 간의 연결 형식으로 구성 데이터를 구성합니다. 각 Access Control 네임스페이스에 대한 데이터 모델은 OData 서비스 메타데이터 문서에서 https:// <namespace.accesscontrol.windows.net>/v2/mgmt/service/$metadata 설명합니다. 여기서 <네임스페이스는> Access Control 네임스페이스의 이름입니다.
이 XML 문서에서는 CDSL(개념 스키마 정의 언어)을 사용하여 엔터티 모듈을 설명합니다. 이 문서를 다운로드하여 코드에서 형식이 지정된 클래스를 생성하는 데 사용할 수 있습니다.
ACS 엔터티 형식 및 해당 속성에 대한 자세한 내용은 ACS 관리 서비스 API 참조를 참조하세요.
기본 엔터티 데이터
모든 Access Control 네임스페이스에는 ACS 관리 서비스에 노출되지만 ACS 관리 포털에서는 사용할 수 없는 기본 구성 데이터가 포함됩니다. 이 구성 데이터는 일반적으로 Access Control 네임스페이스에서 내부적으로 사용되며 사용자 지정 신뢰 당사자 애플리케이션과 관련이 없습니다. 이러한 데이터는 다음과 같습니다.
AccessControlManagement 신뢰 당사자 애플리케이션 - ACCESS CONTROL 네임스페이스의 신뢰 당사자인 ACS 관리 포털 및 ACS 관리 서비스를 나타냅니다.
AccessControlManagement 규칙 그룹 및 규칙 - ACS 관리 포털 및 ACS 관리 서비스에 대한 액세스 규칙을 포함합니다. ACS 관리 포털에서 규칙 및 규칙 그룹을 구성할 수 있습니다.
Windows Live ID ID 공급자 및 발급자 - 기본 ID 공급자 및 발급자인 Windows Live ID(Microsoft 계정)를 나타냅니다. 이 ID 공급자는 ACS 관리 포털에 대한 인증을 위해 AccessControlManagement 신뢰 당사자가 사용하므로 삭제할 수 없습니다.
LOCAL_AUTHORITY 발급자 - ACS에서 클레임 출력을 위해 ACS 규칙 엔진에서 사용되는 발급자입니다.
참고 항목
작업
개념
ACS 2.0 구성 요소
ACS 관리 서비스 API 참조
방법: OAuth WRAP 프로토콜을 통해 ACS에서 토큰 요청
방법: ACS 관리 서비스를 사용하여 Facebook을 인터넷 ID 공급자로 구성
방법: ACS 관리 서비스를 사용하여 AD FS 2.0을 Enterprise ID 공급자로 구성
방법: ACS 관리 서비스를 사용하여 OpenID ID 공급자 구성