Windows Azure Pack 驗證概觀
適用于:Windows Azure Pack
Windows適用于 Windows Server 的 Azure Pack 會使用宣告型驗證,為系統管理員、租使用者的管理入口網站和服務管理 REST API 授與管理入口網站的存取權。 本節提供Windows Azure Pack 如何實作宣告式驗證的概觀。 Windows Azure Pack 開發人員套件包含範例 SampleAuthApplication,示範如何向Windows Azure Pack 管理員和租使用者入口網站進行驗證。 如需Windows Azure 套件和驗證的詳細資訊,請參閱 https://go.microsoft.com/fwlink/?LinkId=331159 。
概觀
Windows Azure Pack 管理層提供廣泛的 REST API 和各種Windows PowerShell Cmdlet,這些 Cmdlet 提供以程式設計方式存取來控制及操作系統管理員管理元件。這些 API 和 Cmdlet 需要藉由提供由信任來源簽署的安全性權杖來驗證呼叫端。 在宣告型驗證中,此權杖是由稱為安全性權杖服務的外部實體所提供, (STS) 。 Windows Azure Pack 之間建立信任關係,這稱為信賴憑證者 (RP) ,以及允許 STS 簽署安全性權杖的 STS,也允許Windows Azure Pack 驗證權杖的真實性。若要讓 STS 發出權杖,必須先驗證使用者的身分識別。 這可以透過在同盟) 的情況下,從不同的受信任 STS (接收信任的已簽署權杖,以確保使用者的身分識別。 或者,您可以藉由諮詢稱為「識別提供者」的實體 (IdP) 來完成,這會知道如何與使用者互動並驗證其身分識別。
在Windows Azure Pack 部署中,可以建立不同的拓撲。
範例 - 一個
租使用者的管理入口網站可以設定為信任Windows Azure Pack 租使用者 (成員資格) 驗證網站,而系統管理員的管理入口網站可以設定為信任Windows Azure Pack 管理員 (Windows) 驗證網站。 在此範例中,Windows Azure Pack 租使用者 (成員資格) 驗證網站會作為 IdP/STS。 它是 IdP,因為它可以驗證成員資格存放區的使用者名稱和密碼,而且它是 STS,因為在驗證使用者身分識別之後,它可以發出並簽署可識別使用者的安全性權杖。 這也適用于管理員驗證網站。
範例 - 兩個
系統管理員的管理入口網站和租使用者的管理入口網站可以設定為信任 Windows Server 2012 R2 Active Directory 同盟服務 (AD FS 2.0) 這是生產案例的建議拓撲。
您可以設定 AD FS 2.0,使其 Active Directory (AD) 認證來驗證使用者。 在此案例中,AD 正在扮演 IdP 角色,而 AD FS 2.0 正在扮演 STS 角色。 它們一起形成 IDP/STS 功能。
您可以設定 AD FS 2.0 與外部 STS 同盟。 在此案例中,AD FS 2.0 正在扮演 STS 角色。
Windows Azure Pack 與最終 IDP 之間的信任鏈結可能很長。 鏈結在Windows Azure Pack (之間可以有無限數量的 STS,作為 RP) 和最終 IdP。
若要驗證使用者,使用者必須移至最後一個 IDP/STS 以提供其認證。 在 傳回時,他/她會取得權杖。 權杖必須由信任鏈結中的每個 STS 交換新的權杖,最後一個 STS 所簽發的權杖可以呈現給Windows Azure Pack。
支援的識別提供者
使用 Windows Azure Pack,您可以使用任何符合下列條件的 STS:
支援WS-Federation
公開同盟中繼資料端點
能夠產生至少 'UPN' 和 「群組」宣告的 JWT 權杖
重要
這只適用于鏈結中第一個 STS, (最接近Windows Azure Pack) 。 鏈結中的進一步節點不需要這些需求。 他們應該只能夠與信任鏈結中的上一個和下一個節點互動。
協力廠商識別提供者的範例使用方式記載于azure Pack 協力廠商識別提供者Windows。
現Windows適用于 Windows Server 的 Azure Pack 隨附兩種 STS。
租使用者驗證網站
管理員驗證網站
Active Directory 同盟服務 2.0 for Window Server 2012 R2 可用來提供Windows Azure Pack 的身分識別。 舊版 AD FS 不相容,因為它們不會產生 JWT 權杖。 Windows Azure Pack 安裝指南提供如何與 Windows Azure Pack 同盟 AD FS 2.0 的詳細資訊。 協力廠商識別提供者可用來透過與 AD FS 同盟,將身分識別提供給Windows Azure Pack。
如需設定 AD FS 2.0 和 Windows Azure Pack 的詳細資訊,請參閱 https://technet.microsoft.com/en-us/library/dn296436.aspx 。
租使用者驗證網站
租使用者驗證網站是以成員資格提供者為基礎的 idP/STS ASP.Net。 租使用者使用者于登入頁面上輸入其使用者名稱和密碼。 然後,這些會在 ASP.Net 成員資格提供者資料庫中進行驗證。 成員資格提供者具有 STS 前端,能夠驗證使用者,並為授權使用者發出已簽署的 JWT 安全性權杖。 它支援WS-Federation通訊協定:被動要求者設定檔 XE 「WS-Federation通訊協定:被動要求者設定檔」 (透過瀏覽器) 和WS-Trust通訊協定進行驗證:主動要求者設定檔 XE 「WS-Trust Protocol: Active Requestor Profile」 (透過智慧型用戶端進行驗證) 。
管理員驗證網站
管理員驗證網站是Windows驗證 (Kerberos/NTLM) 型 STS,可挑選目前登入使用者的認證,併發出已授權使用者的已簽署JWT 安全性權杖。 它支援透過瀏覽器) 進行被動流程 (驗證的WS-Fed通訊協定,以及透過智慧型用戶端) 驗證 (主動流程的WS-Trust通訊協定。
警告
雖然理論上這兩個 STS 可以交換使用,但管理員和租使用者驗證網站應該分別用於管理員和租使用者網站。 變更此安排會導致租使用者案例中斷。 在生產部署案例中,強烈建議使用 AD FS。