Защита веб-приложений с помощью ACS
Обновлено: 19 июня 2015 г.
Область применения: Azure
Важно!
Пространства имен ACS могут перенести конфигурации поставщика удостоверений Google из OpenID 2.0 в OpenID Connect. Миграция должна быть завершена до 1 июня 2015 г. Подробные инструкции см. в статье о переносе пространств имен ACS в Google OpenID Подключение.
Сценарий
В этом сценарии веб-приложение требуется интегрировать со сторонней системой управления удостоверениями и проверки подлинности.
В сценарии есть несколько проблем:
Как перенаправлять не прошедшие проверку подлинности запросы на нужный поставщик удостоверений?
Как проверять входящие токены, выдаваемые поставщиком удостоверений?
Как разбирать входящие токены?
Как реализовать проверки авторизации?
Как преобразовывать токены, добавляя, удаляя и изменяя типы и значения утверждений?
Как делать все это в конфигурации, а не коде?
Решение
Microsoft Azure Active Directory контроль доступа (также известный как служба контроль доступа или ACS) предоставляет решение для сценария, как показано на следующем рисунке.
Windows Identity Foundation (WIF) используется для перенаправления запросов без проверки подлинности в ACS. ACS перенаправляет запросы на настроенный поставщик удостоверений.
Windows Identity Foundation (WIF) используется для проверки входящих токенов.
Windows Identity Foundation (WIF) используется для разбора входящих токенов.
Windows Identity Foundation (WIF) используется для проверок авторизации.
Обработчик правил ACS используется для преобразования маркеров.
Большая часть работы выполняется с помощью конфигурации в web.config приложения или (или) на портале управления ACS.
Сводка решения
Категория | Разделы |
---|---|
Федерация |
Пояснение Инструкции
|
Проверка подлинности |
Пояснение Инструкции |
Авторизация |
Пояснение Инструкции |
Передача и преобразование токенов |
Пояснение Инструкции |
Управление отношениями доверия |
Пояснение Инструкции |
Примеры кода |