Dela via

Webbtjänster och ACS

  • Artikel

Uppdaterad: 19 juni 2015

Gäller för: Azure

Följande är deltagarna i det grundläggande scenariot där en webbtjänst är integrerad med Microsoft Azure Active Directory Access Control (kallas även Access Control Service eller ACS):

  • Förlitande partprogram – Din webbtjänst.

  • Klient – En webbtjänstklient som försöker få åtkomst till din webbtjänst.

  • Identitetsprovider – en plats eller tjänst som kan autentisera klienten.

  • ACS – partitionen av ACS som är dedikerad till ditt förlitande part-program.

Webbtjänstscenariot förutsätter dock att klienten inte har åtkomst till en webbläsare och agerar självständigt (utan att en användare deltar direkt i scenariot).

Klienten måste hämta en säkerhetstoken som utfärdats av ACS för att kunna logga in på din tjänst. Denna token är ett signerat meddelande från ACS till ditt program, med en uppsättning anspråk om klientens identitet. ACS utfärdar inte en token om inte klienten först bevisar sin identitet.

I ett webbtjänst- och ACS-scenario kan en klient bevisa sin identitet på följande sätt:

  • Genom att autentisera direkt med ACS och använda ACS-tjänstens identitetsautentiseringstyper

    Anteckning

    Mer information om tjänstidentiteter finns i Tjänstidentiteter.

    Följande bild illustrerar webbtjänstscenariot där klienten bevisar sin identitet med acs-tjänstens identitetsautentiseringstyper.

    Windows Azure Active Direct Access Control

    1. Klienten autentiserar med ACS med någon av autentiseringstyperna för ACS-tjänstidentitet. I ACS kan detta vara en SWT-token (Simple Web Token) signerad med en symmetrisk nyckel, ett X.509-certifikat eller ett lösenord. Mer information finns i Tjänstidentiteter.

    2. ACS verifierar de mottagna autentiseringsuppgifterna, matar in de mottagna identitetsanspråken i ACS-regelmotorn, beräknar utdataanspråken och skapar en token som innehåller dessa anspråk.

    3. ACS returnerar den ACS-utfärdade token till klienten.

    4. Klienten skickar den ACS-utfärdade token till det förlitande partprogrammet.

    5. Det förlitande partprogrammet verifierar den token som utfärdats av ACS och returnerar sedan den begärda resursrepresentationen.

  • Genom att presentera en säkerhetstoken från en annan betrodd utfärdare (identitetsprovider) som har autentiserat klienten

    Följande bild illustrerar webbtjänstscenariot där klienten bevisar sin identitet med en säkerhetstoken från en identitetsprovider.

    ACS 2.0 Web Service Scenario

    1. Klienten loggar in på identitetsprovidern (skickar till exempel autentiseringsuppgifterna).

    2. När klienten har autentiserats utfärdar identitetsprovidern en token.

    3. Identitetsprovidern returnerar token till klienten.

    4. Klienten skickar den token som utfärdats av identitetsprovidern till ACS.

    5. ACS verifierar token som utfärdats av identitetsprovidern, matar in data i den token som utfärdats av identitetsprovidern till ACS-regelmotorn, beräknar utdataanspråken och skapar en token som innehåller dessa anspråk.

    6. ACS utfärdar en token till klienten.

    7. Klienten skickar den ACS-utfärdade token till det förlitande partprogrammet.

    8. Det förlitande partprogrammet validerar signaturen på den ACS-utfärdade token och validerar anspråken i den ACS-utfärdade token.

    9. Det förlitande partprogrammet returnerar den begärda resursrepresentationen.

Se även

Begrepp

Access Control Service 2.0
Komma igång med ACS
Anvisningar: Skapa min första anspråksmedvetna ASP.NET-tjänst med ACS