ACS-Verwaltungsdienst

Artikel
11/09/2015

Aktualisiert: 19. Juni 2015

Gilt für: Azure

Gilt für:

Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS)

Zusammenfassung

ACS Management Service ist eine ACS-Komponente, mit der Sie die Einstellungen in einem Access Control-Namespace programmgesteuert verwalten und konfigurieren können. Sie können den ACS-Verwaltungsdienst als Alternative oder Ergänzung zum ACS-Verwaltungsportal verwenden, das eine Grafikschnittstelle für ACS bereitstellt.

In diesem Thema wird Folgendes erläutert:

Wie der ACS-Verwaltungsdienst in die allgemeine ACS-Architektur passt
Wenn es geeignet ist, den ACS-Verwaltungsdienst zu verwenden, um ACS-Einstellungen zu konfigurieren
So verwenden Sie den ACS-Verwaltungsdienst am effektivsten

Übersicht

Sie können das ACS-Verwaltungsdienst- und Open Data-Protokoll (OData) verwenden, um die ACS-Komponenten in einem Access Control Namespace programmgesteuert zu verwalten und zu konfigurieren.

Das folgende Diagramm veranschaulicht die Komponenten von ACS und deren Beziehungen.

ACS v2 Management Service

Die programmgesteuerte Verwaltung kann in den folgenden aufgeführten Szenarien besonders effektiv sein.

Hinzufügen neuer Mandanten zu einem SaaS-Dienst Wenn Sie über ein Software-as-a-Service-Produkt verfügen, z. B. Office 365, können Sie Code schreiben, der ausgeführt wird, wenn sich ein neuer Kunde für Ihren Dienst anmeldet. Der Code funktioniert mit dem ACS-Verwaltungsdienst, um den neuen Mandanten für den Identitätsanbieter zu konfigurieren, den sie auswählen. Ein Arbeitsbeispiel für SaaS-Anwendungscode, der neue Mandanten zu ACS hinzufügt, finden Sie unter https://www.fabrikamshipping.com/.
Bereitstellen von Lösungen – Wenn Sie neue Lösungen bereitstellen, können Sie eine benutzerdefinierte Aufgabe hinzufügen, um ACS als Teil der Bereitstellung zu konfigurieren. Der ACS-Verwaltungsdienst kann Ihnen helfen, die Bereitstellung zu automatisieren und manuelle Konfigurationsaufgaben zu minimieren, nachdem die Anwendung bereitgestellt wurde.
Benutzerdefinierte Benutzeroberfläche – Sie können das ACS-Verwaltungsportal verwenden, eine webbasierte Benutzeroberfläche, die in ihrer eigenen Domäne gehostet wird, um ACS-Komponenten zu verwalten und zu konfigurieren. Wenn die Benutzeroberfläche jedoch erneut in eine größere Verwaltungskonsole eingebettet oder über nicht webbasierte Benutzeroberfläche verfügbar gemacht wird, können Sie den ACS-Verwaltungsdienst verwenden, um Ihre ACS-Einstellungen zu verwalten und zu konfigurieren.
Zusätzliche Features Obwohl die meisten Aufgaben im ACS-Verwaltungsportal ausgeführt werden können, stehen einige nur mithilfe des ACS-Verwaltungsdiensts zur Verfügung. Sie können beispielsweise benutzerdefinierte OpenID-Identitätsanbieter nur mithilfe des ACS-Verwaltungsdiensts hinzufügen.

Zugreifen auf den ACS 2.0-Verwaltungsdienst

Um auf den ACS-Verwaltungsdienst für einen bestimmten Access Control Namespace zuzugreifen, müssen Sie die Verwaltungsdienst-Endpunkt-URL für den OData-Client bereitstellen.

Um die URL des Verwaltungsdienst-Endpunkts für einen Access Control-Namespace zu finden, verwenden Sie die folgende Prozedur.

Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Problembehandlungstipps: Das Element "Active Directory" fehlt oder nicht verfügbar)
Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)
Klicken Sie auf Verwaltungsdienst.

Die URL wird im Abschnitt Management-Dienst-URL der Seite angezeigt.

Das Format für eine Endpunkt-URL ist https://< Namespace.accesscontrol.windows.net/v2/mgmt/service>, bei dem Namespace der Name Ihres Access Control Namespace ist.

Der ACS-Verwaltungsdienst verwendet ACS für die Authentifizierung. ACS akzeptiert eine in OAuth WRAP-Protokoll ausgestellte Verwaltungsanmeldeinformationen und stellt als Antwort ein SWT-Token für den Client bereit. Das SWT-Token ist für den Zugriff auf den ACS-Verwaltungsdienst erforderlich.

Verwenden Sie eine der folgenden Kontoanmeldeinformationen, um sich beim ACS-Verwaltungsdienst zu authentifizieren:

Kennwörter – Verwenden Sie das OAuth WRAP-Protokoll, um ein Kennwort in einer Nurtexttokenanforderung an ACS zu senden. Das Kennwortfeld entspricht dem wrap_password Parameter in einer OAuth WRAP v0.9-Tokenanforderung und dem Benutzernamenfeld entspricht dem wrap_name Parameter. Weitere Informationen finden Sie unter "Kennworttokenanforderungen" in der Vorgehensweise: Anfordern eines Token von ACS über das OAuth WRAP-Protokoll.
Symmetrische Schlüssel – Verwenden Sie einen symmetrischen Schlüssel, um ein SWT-Token zu signieren, und verwenden Sie dann das OAuth WRAP-Protokoll, um das Token an ACS zu senden. Weitere Informationen finden Sie unter "SWT-Tokenanforderungen" in der Vorgehensweise: Anfordern eines Token von ACS über das OAuth WRAP-Protokoll.
X.509-Zertifikate – Verwenden Sie ein X.509-Zertifikat, um die Signatur eines SAML-Bearertokens zu überprüfen, das an ACS für die Authentifizierung gesendet wurde. Weitere Informationen finden Sie unter "SAML-Tokenanforderungen" in der Vorgehensweise: Anfordern eines Token von ACS über das OAuth WRAP-Protokoll

Sie können Verwaltungsdienstkonten mit allen diesen Anmeldeinformationentypen im ACS-Verwaltungsportal hinzufügen und konfigurieren. Weitere Informationen finden Sie im ACS-Verwaltungsportal.

Datenentitäten des ACS 2.0-Verwaltungsdiensts

Ein Entitätsdatenmodell organisiert die Konfigurationsdaten in Form von Datensätzen für Entitätstypen (oder Entitäten) sowie die Zuordnungen zwischen ihnen. Das Datenmodell für jeden Access Control Namespace wird im OData-Dienstmetadatendokument beschrieben, das unter: https://< namespace.accesscontrol.windows.net>/v2/mgmt/service/$metadata, wobei <Namespace> der Name des Access Control-Namespace ist.

Dieses XML-Dokument verwendet eine CDSL (Conceptual Schema Definition Language) zum Beschreiben des Entitätsmoduls. Sie können dieses Dokument herunterladen und dann zum Generieren typisierter Klassen in Ihrem Code verwenden.

Weitere Informationen zu den ACS-Entitätstypen und ihren Eigenschaften finden Sie unter ACS Management Service API Reference.

Standarddaten der Entität

Jeder Access Control-Namespace enthält Standardkonfigurationsdaten, die dem ACS-Verwaltungsdienst verfügbar gemacht werden, aber im ACS-Verwaltungsportal nicht verfügbar sind. Diese Konfigurationsdaten werden in der Regel intern vom Access Control-Namespace verwendet und sind nicht mit benutzerdefinierten vertrauenden Parteienanwendungen verknüpft. Diese Daten umfassen Folgendes:

AccessControlManagement-Anwendung mit vertrauenden Parteien – Stellt das ACS-Verwaltungsportal und den ACS-Verwaltungsdienst dar, der vertrauende Parteien des Access Control-Namespaces darstellt.
AccessControlManagement-Regelgruppe und -Regeln – Enthält die Zugriffsregeln für das ACS-Verwaltungsportal und den ACS-Verwaltungsdienst. Sie können die Regeln und Regelgruppen im ACS-Verwaltungsportal konfigurieren.
Windows Live ID-Identitätsanbieter und Aussteller – Stellt Windows Live ID (Microsoft-Konto), den Standardidentitätsanbieter und den Aussteller dar. Dieser Identitätsanbieter kann nicht gelöscht werden, da er von der AccessControlManagement-vertrauenden Partei für die Authentifizierung auf das ACS-Verwaltungsportal verwendet wird.
LOCAL_AUTHORITY Aussteller – Aussteller, der im ACS-Regelmodul für die Anspruchsausgabe von ACS verwendet wird.

Weitere Informationen

ACS-Verwaltungsdienst

Gilt für:

Zusammenfassung

Übersicht

Zugreifen auf den ACS 2.0-Verwaltungsdienst

Datenentitäten des ACS 2.0-Verwaltungsdiensts

Standarddaten der Entität

Weitere Informationen

Aufgaben

Konzepte

Weitere Ressourcen

Zusätzliche Ressourcen