Compartilhar via


Serviço de Gerenciamento ACS

Atualizado: 19 de junho de 2015

Aplica-se ao Azure

Aplica-se a

Access Control do Active Directory do Microsoft Azure (também conhecido como Access Control Service ou ACS)

Resumo

O Serviço de Gerenciamento do ACS é um componente ACS que permite gerenciar e definir as configurações em um namespace Controle de Acesso programaticamente. Você pode usar o Serviço de Gerenciamento do ACS como alternativa ou complementar ao Portal de Gerenciamento do ACS, que fornece uma interface gráfica do usuário para ACS.

Este tópico explica o seguinte:

  • Como o Serviço de Gerenciamento do ACS se encaixa na arquitetura geral do ACS

  • Quando for apropriado usar o Serviço de Gerenciamento do ACS para definir as configurações do ACS

  • Como usar o Serviço de Gerenciamento do ACS de forma mais eficaz

Visão geral

Você pode usar o protocolo OData (Serviço de Gerenciamento de ACS e Dados Abertos) para gerenciar e configurar os componentes do ACS em um namespace Controle de Acesso programaticamente.

O diagrama a seguir ilustra os componentes do ACS e suas relações.

ACS v2 Management Service

O gerenciamento programático pode ser especialmente eficaz em cenários como os que seguem.

  • Adicionando novos locatários a um serviço SaaS Se você tiver um produto de software como serviço, como Office 365, poderá escrever um código que é executado sempre que um novo cliente se inscrever em seu serviço. O código funciona com o Serviço de Gerenciamento do ACS para configurar o novo locatário para o provedor de identidade selecionado. Para obter um exemplo funcional do código-fonte do aplicativo SaaS que adiciona novos locatários ao ACS, consulte https://www.fabrikamshipping.com/.

  • Implantação de soluções – ao implantar novas soluções, você pode adicionar uma tarefa personalizada para configurar o ACS como parte da implantação. O Serviço de Gerenciamento do ACS pode ajudá-lo a automatizar a implantação e minimizar as tarefas de configuração manuais após a implantação do aplicativo.

  • Interface do usuário personalizada – você pode usar o Portal de Gerenciamento do ACS, uma interface do usuário baseada na Web hospedada em seu próprio domínio, para gerenciar e configurar componentes do ACS. No entanto, se a interface do usuário for renomeada, inserida em um console de gerenciamento maior ou exposta por meio da interface do usuário não baseada na Web, você poderá usar o Serviço de Gerenciamento do ACS para gerenciar e definir as configurações do ACS.

  • Recursos adicionais Embora a maioria das tarefas possa ser executada no Portal de Gerenciamento do ACS, algumas estão disponíveis apenas usando o Serviço de Gerenciamento do ACS. Por exemplo, você pode adicionar provedores de identidade OpenID personalizados apenas usando o Serviço de Gerenciamento do ACS.

Acessando o Serviço de Gerenciamento do ACS 2.0

Para acessar o Serviço de Gerenciamento do ACS para um namespace Controle de Acesso específico, você deve fornecer a URL do ponto de extremidade do Serviço de Gerenciamento ao cliente OData.

Para localizar a URL do ponto de extremidade do Serviço de Gerenciamento para um namespace Controle de Acesso, use o procedimento a seguir.

  1. Acesse o Portal de Gerenciamento de Microsoft Azure (https://manage.WindowsAzure.com), entre e clique no Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou não está disponível)

  2. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

  3. Clique em Serviço de Gerenciamento.

    A URL aparece na seção URL do Serviço de Gerenciamento da página.

O formato de uma URL de ponto de extremidade é https://< Namespace.accesscontrol.windows.net/v2/mgmt/service> em que Namespace é o nome do namespace Controle de Acesso.

O Serviço de Gerenciamento do ACS usa ACS para autenticação. O ACS aceita uma credencial de gerenciamento emitida no protocolo OAuth WRAP e, em resposta, emite um token SWT para o cliente. O token SWT é necessário para acesso ao Serviço de Gerenciamento do ACS.

Use qualquer um dos seguintes tipos de credenciais de conta para autenticar no Serviço de Gerenciamento do ACS:

  • Senhas – use o protocolo OAuth WRAP para enviar uma senha em uma solicitação de token de texto não criptografado para o ACS. O campo senha corresponde ao parâmetro wrap_password em uma solicitação de token OAuth WRAP v0.9 e o campo nome de usuário corresponde ao parâmetro wrap_name . Para obter mais informações, consulte "Solicitações de token de senha" em How to: Request a Token from ACS via OAuth WRAP Protocol.

  • Chaves simétricas : use uma chave simétrica para assinar um token SWT e, em seguida, use o protocolo OAuth WRAP para enviar o token ao ACS. Para obter mais informações, consulte as "solicitações de token SWT" em How to: Request a Token from ACS via OAuth WRAP Protocol.

  • Certificados X.509 — use um certificado X.509 para validar a assinatura de um token de portador SAML enviado ao ACS para autenticação. Para obter mais informações, consulte "Solicitações de token SAML" em How to: Request a Token from ACS via OAuth WRAP Protocol

Você pode adicionar e configurar contas de serviço de gerenciamento com todos esses tipos de credencial no Portal de Gerenciamento do ACS. Para obter mais informações, consulte o Portal de Gerenciamento do ACS.

Entidades de dados do Serviço de Gerenciamento do ACS 2.0

Um modelo de dados de entidade organiza dados de configuração em registros de tipos de entidade (ou entidades) e as associações entre elas. O modelo de dados para cada namespace Controle de Acesso é descrito no Documento de Metadados do Serviço OData disponível em: https://< namespace.accesscontrol.windows.net>/v2/mgmt/service/$metadata, em <que o namespace> é o nome do namespace Controle de Acesso.

Este documento XML usa a CSDL (Linguagem de definição de esquema conceitual) para descrever o módulo de entidade. Você pode baixar este documento e usá-lo para gerar classes de tipo em seu código.

Para obter mais informações sobre os tipos de entidade ACS e suas propriedades, consulte a Referência de API do Serviço de Gerenciamento do ACS.

Dados de entidade padrão

Cada namespace Controle de Acesso contém dados de configuração padrão expostos ao Serviço de Gerenciamento do ACS, mas não está disponível no Portal de Gerenciamento do ACS. Normalmente, esses dados de configuração são usados internamente pelo namespace Controle de Acesso e não estão relacionados a aplicativos de terceira parte confiável personalizados. Esses dados incluem:

  • Aplicativo de terceira parte confiável AccessControlManagement — representa o Portal de Gerenciamento do ACS e o Serviço de Gerenciamento do ACS, que são partes confiáveis do namespace Controle de Acesso.

  • Grupo de regras e regras accessControlManagement — contém as regras de acesso para o Portal de Gerenciamento do ACS e o Serviço de Gerenciamento do ACS. Você pode configurar as regras e os grupos de regras no Portal de Gerenciamento do ACS.

  • Windows provedor e emissor de identidade de ID dinâmica — representa Windows ID dinâmica (conta da Microsoft), o provedor de identidade padrão e o emissor. Esse provedor de identidade não pode ser excluído porque é usado pela terceira parte confiável do AccessControlManagement para autenticação no Portal de Gerenciamento do ACS.

  • LOCAL_AUTHORITY Emissor — Emissor usado no mecanismo de regras acs para saída de declarações pelo ACS.

Consulte Também

Tarefas

Exemplo de código: Serviço de Gerenciamento

Conceitos

Componentes do ACS 2.0
Referência de API de Serviço de Gerenciamento ACS
Como solicitar um token do ACS por meio do Protocolo OAuth WRAP
Como usar o Serviço de Gerenciamento do ACS para configurar o Facebook como um provedor de identidade da Internet
Como usar o Serviço de Gerenciamento do ACS para configurar o AD FS 2.0 como um provedor de identidade Enterprise
Como usar o Serviço de Gerenciamento do ACS para configurar um provedor de identidade OpenID

Outros recursos

https://www.fabrikamshipping.com/