Usługa zarządzania usługą ACS

Zaktualizowano: 19 czerwca 2015 r.

Dotyczy: Azure

Dotyczy

Microsoft Azure Active Directory Access Control (znana również jako usługa Access Control lub ACS)

Podsumowanie

AcS Management Service to składnik ACS, który umożliwia programowe zarządzanie ustawieniami i konfigurowanie ich w przestrzeni nazw Access Control. Usługę zarządzania ACS można użyć jako alternatywy lub uzupełnić portal zarządzania ACS, który udostępnia graficzny interfejs użytkownika usługi ACS.

W tym temacie opisano następujące kwestie:

• Jak usługa zarządzania ACS pasuje do ogólnej architektury ACS

• Gdy właściwe jest użycie usługi zarządzania ACS w celu skonfigurowania ustawień usług ACS

• Jak najektywniej korzystać z usługi zarządzania ACS

Omówienie

Za pomocą protokołu ACS Management Service i Open Data (OData) można programowo zarządzać składnikami acS i konfigurować je w przestrzeni nazw Access Control.

Na poniższym diagramie przedstawiono składniki usług ACS i ich relacje.

Zarządzanie programowe może być szczególnie skuteczne w scenariuszach, takich jak poniższe.

• Dodawanie nowych dzierżaw do usługi SaaS Jeśli masz produkt typu oprogramowanie jako usługa, taki jak Office 365, możesz napisać kod uruchamiany za każdym razem, gdy nowy klient zarejestruje się w swojej usłudze. Kod współpracuje z usługą zarządzania ACS, aby skonfigurować nową dzierżawę dla wybranego dostawcy tożsamości. Aby zapoznać się z roboczym przykładem kodu źródłowego aplikacji SaaS, który dodaje nowe dzierżawy do usługi ACS, zobacz https://www.fabrikamshipping.com/.

• Wdrażanie rozwiązań — podczas wdrażania nowych rozwiązań można dodać zadanie niestandardowe, aby skonfigurować usługę ACS w ramach wdrożenia. Usługa zarządzania ACS może pomóc zautomatyzować wdrożenie i zminimalizować zadania konfiguracji ręcznej po wdrożeniu aplikacji.

• Niestandardowy interfejs użytkownika — do zarządzania i konfigurowania składników ACS można użyć portalu zarządzania ACS, internetowego interfejsu użytkownika hostowanego we własnej domenie. Jeśli jednak interfejs użytkownika jest zmieniany, osadzony w większej konsoli zarządzania lub uwidaczniany za pośrednictwem interfejsu użytkownika innego niż internet, możesz użyć usługi zarządzania ACS do zarządzania i konfigurowania ustawień acS.

• Dodatkowe funkcje Chociaż większość zadań można wykonać w portalu zarządzania ACS, niektóre z nich są dostępne tylko przy użyciu usługi zarządzania ACS. Można na przykład dodać niestandardowych dostawców tożsamości OpenID tylko przy użyciu usługi ZARZĄDZANIA ACS.

Uzyskiwanie dostępu do usługi zarządzania ACS 2.0

Aby uzyskać dostęp do usługi zarządzania ACS dla określonej przestrzeni nazw Access Control, należy podać adres URL punktu końcowego usługi zarządzania do klienta OData.

Aby znaleźć adres URL punktu końcowego usługi zarządzania dla przestrzeni nazw Access Control, wykonaj poniższą procedurę.

1. Przejdź do portalu zarządzania Microsoft Azure (https://manage.WindowsAzure.com), zaloguj się, a następnie kliknij pozycję Active Directory. (Porada dotycząca rozwiązywania problemów: brak elementu "Active Directory" lub jest on niedostępny)

2. Aby zarządzać przestrzenią nazw Access Control, wybierz przestrzeń nazw, a następnie kliknij pozycję Zarządzaj. (Lub kliknij Access Control przestrzenie nazw, wybierz przestrzeń nazw, a następnie kliknij pozycję Zarządzaj).

3. Kliknij pozycję Usługa zarządzania.

   Adres URL jest wyświetlany w sekcji Adres URL usługi zarządzania na stronie.

Format adresu URL punktu końcowego to https://< Namespace.accesscontrol.windows.net/v2/mgmt/service>, gdzie przestrzeń nazw to nazwa przestrzeni nazw Access Control.

Usługa zarządzania ACS używa usługi ACS do uwierzytelniania. Usługa ACS akceptuje poświadczenia zarządzania wystawione w protokole OAuth WRAP, a w odpowiedzi wystawia token SWT klientowi. Token SWT jest wymagany do uzyskania dostępu do usługi zarządzania ACS.

Użyj dowolnego z następujących typów poświadczeń konta, aby uwierzytelnić się w usłudze zarządzania ACS:

• Hasła — użyj protokołu OAuth WRAP, aby wysłać hasło w żądaniu tokenu zwykłego tekstu do usługi ACS. Pole hasła odpowiada parametrowi wrap_password w żądaniu tokenu OAuth WRAP w wersji 0.9, a pole nazwy użytkownika odpowiada parametrowi wrap_name . Aby uzyskać więcej informacji, zobacz "Żądania tokenów haseł" w temacie Instrukcje: żądanie tokenu z usługi ACS za pośrednictwem protokołu OAuth WRAP.

• Klucze symetryczne — użyj klucza symetrycznego, aby podpisać token SWT, a następnie użyć protokołu OAuth WRAP, aby wysłać token do usługi ACS. Aby uzyskać więcej informacji, zobacz artykuł "Żądania tokenów SWT" w temacie Instrukcje: żądanie tokenu z usługi ACS za pośrednictwem protokołu OAuth WRAP.

• Certyfikaty X.509 — użyj certyfikatu X.509, aby zweryfikować podpis tokenu elementu nośnego SAML wysłanego do usługi ACS na potrzeby uwierzytelniania. Aby uzyskać więcej informacji, zobacz "Żądania tokenów SAML" w temacie Instrukcje: żądanie tokenu z usługi ACS za pośrednictwem protokołu OAuth WRAP

Konta usług zarządzania można dodawać i konfigurować przy użyciu wszystkich tych typów poświadczeń w portalu zarządzania acS. Aby uzyskać więcej informacji, zobacz Portal zarządzania usługą ACS.

Jednostki danych usługi zarządzania ACS 2.0

Model danych jednostki organizuje dane konfiguracji w rekordy typów jednostek (lub jednostek) oraz skojarzenia między nimi. Model danych dla każdej przestrzeni nazw Access Control jest opisany w dokumencie metadanych usługi OData dostępnym pod adresem: https://< namespace.accesscontrol.windows.net>/v2/mgmt/service/$metadata, gdzie <przestrzeń> nazw jest nazwą przestrzeni nazw Access Control.

Ten dokument XML używa języka definicji schematu koncepcyjnego (CSDL) do opisania modułu jednostki. Możesz pobrać ten dokument i użyć go do wygenerowania klas typowych w kodzie.

Aby uzyskać więcej informacji na temat typów jednostek ACS i ich właściwości, zobacz Dokumentacja interfejsu API usługi ACS Management.

Domyślne dane jednostki

Każda przestrzeń nazw Access Control zawiera domyślne dane konfiguracji uwidocznione w usłudze zarządzania ACS, ale nie są dostępne w portalu zarządzania acS. Te dane konfiguracji są zwykle używane wewnętrznie przez przestrzeń nazw Access Control i nie są powiązane z niestandardowymi aplikacjami jednostki uzależnionej. Te dane obejmują:

• AccessControlManagement Aplikacja jednostki uzależnionej — reprezentuje portal zarządzania ACS i usługę zarządzania ACS, które są jednostkami uzależnionymi przestrzeni nazw Access Control.

• AccessControlManagement Rule Group and Rules —zawiera reguły dostępu dla portalu zarządzania ACS i usługi zarządzania ACS. Reguły i grupy reguł można skonfigurować w portalu zarządzania ACS.

• Windows dostawcy tożsamości i wystawcy identyfikatora na żywo — reprezentuje identyfikator na żywo Windows (konto Microsoft), domyślny dostawca tożsamości i wystawca. Nie można usunąć tego dostawcy tożsamości, ponieważ jest on używany przez jednostkę uzależnioną AccessControlManagement do uwierzytelniania w portalu zarządzania ACS.

• LOCAL_AUTHORITY Wystawca — wystawca używany w akompaniamencie reguł ACS dla oświadczeń wyjściowych przez usługę ACS.

Zobacz też

Zadania

Przykład kodu: usługa zarządzania

Pojęcia

Składniki ACS 2.0
Dokumentacja interfejsu API usługi ACS Management
Instrukcje: żądanie tokenu z usługi ACS za pośrednictwem protokołu OAuth WRAP
Instrukcje: konfigurowanie facebooka jako dostawcy tożsamości internetowej za pomocą usługi ZARZĄDZANIA ACS
Instrukcje: używanie usługi zarządzania ACS do konfigurowania usług AD FS 2.0 jako dostawcy tożsamości Enterprise
Instrukcje: konfigurowanie dostawcy tożsamości OpenID za pomocą usługi ZARZĄDZANIA ACS

Inne zasoby

https://www.fabrikamshipping.com/