Web 服務與 ACS
更新日期:2015 年 6 月 19 日
適用對象:Azure
以下是 Web 服務與Microsoft Azure Active Directory 存取控制 (也稱為 存取控制 Service 或 ACS) 整合的基本案例參與者:
信賴憑證者應用程式 - 您的 Web 服務。
用戶端 - 嘗試取得您 Web 服務存取權的 Web 服務用戶端。
身分識別提供者 - 可驗證用戶端的網站或服務。
ACS — ACS 的分割區,專用於您的信賴憑證者應用程式。
但是,Web 服務案例假設用戶端沒有瀏覽器的存取權,而是自發性地行動 (沒有使用者直接參與案例)。
用戶端必須取得 ACS 所簽發的安全性權杖,才能登入您的服務。 此權杖是來自 ACS 到應用程式的已簽署訊息,其中包含一組關於用戶端身分識別的宣告。 除非用戶端先證明其身分識別,否則 ACS 不會發出權杖。
在 Web 服務和 ACS 案例中,用戶端可以透過下列方式證明其身分識別:
使用 ACS 直接驗證並使用 ACS 服務身分識別認證類型
注意
如需服務識別的詳細資訊,請參閱 服務身分識別。
下圖說明用戶端使用 ACS 服務身分識別認證類型證明其身分識別的 Web 服務案例。
用戶端會使用其中一種 ACS 服務識別認證類型向 ACS 進行驗證。 在 ACS 中,這可以是簡單 Web 權杖 (SWT) 使用對稱金鑰、X.509 憑證或密碼簽署的權杖。 如需詳細資訊,請參閱 服務識別。
ACS 會驗證收到的認證、將收到的身分識別宣告輸入 ACS 規則引擎、計算輸出宣告,並建立包含這些宣告的權杖。
ACS 會將 ACS 發行的權杖傳回給用戶端。
用戶端會將 ACS 發行的權杖傳送至信賴憑證者應用程式。
信賴憑證者應用程式會驗證 ACS 所發出的權杖,然後傳回所要求的資源標記法。
藉由呈現從另一個已驗證過該用戶端的受信任簽發者 (身分識別提供者) 提供的安全性權杖
下圖說明 Web 服務案例,其中用戶端以來自身分識別提供者簽發的安全性權杖來證明他的身分識別。
用戶端登入到身分識別提供者 (例如,傳送認證)。
在驗證用戶端之後,身分識別提供者簽發權杖。
身分識別提供者會將權杖傳回用戶端。
用戶端會將識別提供者發行的權杖傳送至 ACS。
ACS 會驗證識別提供者發行的權杖、將識別提供者發行權杖中的資料輸入至 ACS 規則引擎、計算輸出宣告,以及建立包含這些宣告的權杖。
ACS 會向用戶端發出權杖。
用戶端會將 ACS 發行的權杖傳送至信賴憑證者應用程式。
信賴憑證者應用程式會驗證 ACS 發行權杖上的簽章,並在 ACS 發行的權杖中驗證宣告。
信賴憑證者應用程式傳回所要求的資源表示法。