Общие сведения о проверке подлинности пакета Microsoft Azure
Область применения: Windows Azure Pack
Windows Azure Pack для Windows Server использует проверку подлинности на основе утверждений для предоставления доступа к порталу управления администраторам, порталу управления для клиентов и REST API управления службами. В этом разделе представлен обзор того, как Windows Azure Pack реализует проверку подлинности на основе утверждений. Пакет разработчика пакета Azure Windows включает пример SampleAuthApplication, демонстрирующий проверку подлинности на портале Windows Azure Pack Администратор и клиента. Дополнительные сведения о Windows пакете Azure и проверке подлинности см. в разделе https://go.microsoft.com/fwlink/?LinkId=331159.
Обзор
Уровень управления Windows Пакета Azure предоставляет обширный REST API и широкий спектр командлетов Windows PowerShell, которые обеспечивают программный доступ к компонентам управления и управлению ими. Эти API и командлеты требуют проверки подлинности вызывающего объекта путем предоставления маркера безопасности, подписанного доверенным источником. При проверке подлинности на основе утверждений этот маркер предоставляется внешней сущностью, известной как служба маркеров безопасности (STS). Связь доверия устанавливается между Windows пакетом Azure, который называется проверяющей стороной (RP), и службой маркеров безопасности, которая позволяет stS подписывать маркеры безопасности, а также разрешать Windows Пакет Azure для проверки подлинности маркеров. Чтобы служба маркеров безопасности выдаст маркер, сначала необходимо проверить удостоверение пользователя. Это можно сделать, получив доверенный подписанный маркер из другой доверенной службы маркеров безопасности (в случае федерации), гарантируя удостоверение пользователя. Кроме того, это можно сделать, проконсультировавшись с сущностью, называемой поставщиком удостоверений (IdP), которая знает, как взаимодействовать с пользователями и проверять подлинность своих удостоверений.
В развертывании Windows Azure Pack можно создавать различные топологии.
Пример: один
Портал управления для клиентов можно настроить так, чтобы он доверял сайту проверки подлинности Windows клиента Пакета Azure (членство) и порталу управления для администраторов можно настроить доверие Windows сайту проверки подлинности Администратор Пакета Azure (Windows). В этом примере Windows сайт проверки подлинности клиента Пакета Azure (членство) выступает в качестве поставщика удостоверений или stS. Это поставщик удостоверений, так как он может проверять имена пользователей и пароли в хранилище членства и является stS, так как после проверки удостоверения пользователя он может выдавать и подписывать маркер безопасности, который идентифицирует пользователя. Это также относится к сайту проверки подлинности Администратор.
Пример: два
Портал управления для администраторов и портала управления для клиентов можно настроить для доверия службы федерации Active Directory (AD FS) 2.0 для Window Server 2012 R2 (AD FS 2.0). Это рекомендуемая топология для рабочих сценариев.
Можно настроить AD FS 2.0 для проверки подлинности пользователей с помощью учетных данных Active Directory (AD). В этом сценарии AD играет роль поставщика удостоверений, а AD FS 2.0 играет роль STS. Вместе они формируют функциональные возможности поставщика удостоверений и stS.
Можно настроить AD FS 2.0 для федерации с внешней службой маркеров безопасности. В этом сценарии AD FS 2.0 играет роль STS.
Цепочка доверия между Windows Azure Pack и окончательным idP может быть очень длинной. Цепочка может иметь неограниченное количество stS в диапазоне от Windows Пакета Azure (в качестве поставщика услуг) и конечного поставщика удостоверений.
Чтобы пройти проверку подлинности пользователя, пользователь должен перейти к самому последнему idP/STS, чтобы указать свои учетные данные. Взамен он /она получает маркер. Маркер необходимо обменять на новый маркер каждым маркером в цепочке доверия и, наконец, маркер, выданный последней службой маркеров маркеров безопасности, можно представить в Windows Пакет Azure.
Поддерживаемые поставщики удостоверений
С помощью Windows Azure Pack можно использовать любую службу stS, которая может соответствовать следующим условиям:
Поддержка WS-Federation
Предоставляет конечную точку метаданных федерации
Возможность создания токенов JWT с по крайней мере "UPN" и при необходимости утверждениями "Группы"
Важно!
Это относится только к первой stS в цепочке (ближе всего к Windows Azure Pack). Дальнейшие узлы в цепочке не нуждаются в этих требованиях. Они должны просто иметь возможность взаимодействовать с предыдущими и следующими узлами в цепочке доверия.
Пример использования стороннего поставщика удостоверений описан в Windows сторонних поставщиков удостоверений Пакета Azure.
Нестандартное Windows Пакет Azure для Windows Server поставляется с двумя типами STS.
Сайт проверки подлинности клиента
сайт проверки подлинности Администратор
службы федерации Active Directory (AD FS) 2.0 для Window Server 2012 R2 можно использовать для предоставления удостоверений с помощью Windows Пакета Azure. Более ранние версии AD FS несовместимы, так как они не создают токены JWT. В руководстве по установке пакета Azure Windows содержатся дополнительные сведения о том, как настроить федерацию AD FS 2.0 с Windows Azure Pack. Сторонние поставщики удостоверений можно использовать для предоставления удостоверений для Windows Пакета Azure путем федерации с AD FS.
Дополнительные сведения о настройке AD FS 2.0 и Windows Azure Pack см. в статье https://technet.microsoft.com/en-us/library/dn296436.aspx.
Сайт проверки подлинности клиента
Сайт проверки подлинности клиента является поставщиком ASP.Net членства на основе idP/STS. Пользователь клиента вводит свое имя пользователя и пароль на странице входа. Затем они проверяются в базе данных поставщика членства ASP.Net. Поставщик членства имеет заголовок STS, который может проверить пользователя и выпустить подписанные маркеры безопасности JWT для авторизованных пользователей. Он поддерживает протокол WS-Federation: пассивный профилировщик запроса XE "WS-Federation протокол: пассивный профиль инициатора запроса " (проверка подлинности через браузер) и протокол WS-Trust: активный профиль запрашивающего XE "Протокол WS-Trust: Активный профиль запрашивающего сервера" (проверка подлинности с помощью смарт-клиентов).
сайт проверки подлинности Администратор
Сайт проверки подлинности Администратор — это служба маркеров безопасности на основе Windows (Kerberos/NTLM), которая выбирает учетные данные вошедшего в систему пользователя и выдает подписанные маркеры безопасностиJWT для авторизованных пользователей. Он поддерживает протокол WS-Fed для пассивных потоков (аутентификация через браузер) и протокол WS-Trust для активных потоков (проверка подлинности через смарт-клиенты).
Предупреждение
Хотя теоретически эти две службы stS можно использовать взаимозаменяемо, Администратор и сайты проверки подлинности клиента следует использовать только для сайтов Администратор и клиентов соответственно. Изменение этого соглашения приведет к разрыву сценариев клиента. В рабочих сценариях развертывания настоятельно рекомендуется использовать AD FS.