ACS Management-service

Bijgewerkt: 19 juni 2015

Van toepassing op: Azure

Van toepassing op

Microsoft Azure Active Directory Access Control (ook wel Access Control Service of ACS genoemd)

Samenvatting

ACS Management Service is een ACS-onderdeel waarmee u de instellingen in een Access Control naamruimte programmatisch kunt beheren en configureren. U kunt de ACS Management Service gebruiken als alternatief of aanvulling op de ACS-beheerportal, die een grafische gebruikersinterface biedt voor ACS.

In dit onderwerp wordt het volgende uitgelegd:

• Hoe de ACS Management Service in de algehele ACS-architectuur past

• Wanneer het geschikt is om de ACS Management-service te gebruiken om ACS-instellingen te configureren

• De ACS Management Service het effectiefst gebruiken

Overzicht

U kunt het OData-protocol (ACS Management Service en Open Data) gebruiken om de ACS-onderdelen in een Access Control naamruimte programmatisch te beheren en te configureren.

In het volgende diagram ziet u de onderdelen van ACS en de bijbehorende relaties.

Programmatisch beheer kan met name effectief zijn in scenario's zoals de volgende.

• Nieuwe tenants toevoegen aan een SaaS-service Als u een software-as-a-service-product hebt, zoals Office 365, kunt u code schrijven die wordt uitgevoerd wanneer een nieuwe klant zich registreert voor uw service. De code werkt met de ACS Management-service om de nieuwe tenant te configureren voor de id-provider die ze selecteren. Zie voor een werkend voorbeeld van broncode voor SaaS-toepassingen waarmee nieuwe tenants aan ACS https://www.fabrikamshipping.com/worden toegevoegd.

• Oplossingen implementeren: bij het implementeren van nieuwe oplossingen kunt u een aangepaste taak toevoegen om ACS te configureren als onderdeel van de implementatie. De ACS Management Service kan u helpen de implementatie te automatiseren en handmatige configuratietaken te minimaliseren nadat de toepassing is geïmplementeerd.

• Aangepaste gebruikersinterface: u kunt de ACS-beheerportal, een webgebruikersinterface die wordt gehost op een eigen domein, gebruiken om ACS-onderdelen te beheren en te configureren. Als de gebruikersinterface echter wordt gewijzigd, ingesloten in een grotere beheerconsole of beschikbaar wordt gesteld via een niet-webgebruikersinterface, kunt u de ACS-beheerservice gebruiken om uw ACS-instellingen te beheren en te configureren.

• Aanvullende functies Hoewel de meeste taken kunnen worden uitgevoerd in de ACS-beheerportal, zijn sommige alleen beschikbaar met behulp van de ACS-beheerservice. U kunt bijvoorbeeld alleen aangepaste OpenID-id-id-providers toevoegen met behulp van de ACS-beheerservice.

Toegang tot de ACS 2.0-beheerservice

Als u toegang wilt krijgen tot de ACS Management-service voor een bepaalde Access Control naamruimte, moet u de URL van het beheerservice-eindpunt opgeven voor de OData-client.

Gebruik de volgende procedure om de URL van het beheerservice-eindpunt voor een Access Control naamruimte te vinden.

1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

2. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control Naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

3. Klik op Beheerservice.

   De URL wordt weergegeven in de sectie Beheerservice-URL van de pagina.

De indeling voor een eindpunt-URL is https://< Namespace.accesscontrol.windows.net/v2/mgmt/service> waarbij naamruimte de naam van uw Access Control naamruimte is.

De ACS-beheerservice maakt gebruik van ACS voor verificatie. ACS accepteert een beheerreferentie die is uitgegeven in het OAuth WRAP-protocol en geeft als reactie een SWT-token uit aan de client. Het SWT-token is vereist voor toegang tot de ACS Management-service.

Gebruik een van de volgende typen accountreferenties om te verifiëren bij de ACS Management-service:

• Wachtwoorden: gebruik het OAuth WRAP-protocol om een wachtwoord te verzenden in een aanvraag voor een token zonder opmaak naar ACS. Het wachtwoordveld komt overeen met de parameter wrap_password in een OAuth WRAP v0.9-tokenaanvraag en het gebruikersnaamveld komt overeen met de parameter wrap_name . Zie ' Wachtwoordtokenaanvragen' in Procedure: Een token aanvragen bij ACS via het OAuth WRAP-protocol voor meer informatie.

• Symmetrische sleutels: gebruik een symmetrische sleutel om een SWT-token te ondertekenen en gebruik vervolgens het OAuth WRAP-protocol om het token naar ACS te verzenden. Zie de 'SWT-tokenaanvragen' in Procedure: Een token aanvragen bij ACS via het OAuth WRAP-protocol voor meer informatie.

• X.509-certificaten: gebruik een X.509-certificaat om de handtekening van een SAML Bearer-token te valideren dat is verzonden naar ACS voor verificatie. Zie 'SAML-tokenaanvragen' in Procedure: Een token aanvragen bij ACS via het OAuth WRAP-protocol voor meer informatie.

U kunt beheerserviceaccounts toevoegen en configureren met al deze referentietypen in de ACS-beheerportal. Zie DE ACS-beheerportal voor meer informatie.

Gegevensentiteiten van ACS 2.0 Management Service

Een entiteitsgegevensmodel organiseert configuratiegegevens in records van entiteitstypen (of entiteiten) en de koppelingen ertussen. Het gegevensmodel voor elke Access Control naamruimte wordt beschreven in het document met metagegevens van de OData-service dat beschikbaar is op: https://< namespace.accesscontrol.windows.net>/v2/mgmt/service/$metadata, waarbij <naamruimte de naamruimte> is van de Access Control naamruimte.

In dit XML-document wordt gebruikgemaakt van de conceptuele schemadefinitietaal (CSDL) om de entiteitsmodule te beschrijven. U kunt dit document downloaden en gebruiken om getypte klassen in uw code te genereren.

Zie de naslaginformatie over de ACS-service-API voor meer informatie over de typen ACS-entiteiten en de bijbehorende eigenschappen.

Standaardentiteitsgegevens

Elke Access Control naamruimte bevat standaardconfiguratiegegevens die beschikbaar zijn voor de ACS Management-service, maar is niet beschikbaar in de ACS-beheerportal. Deze configuratiegegevens worden doorgaans intern gebruikt door de Access Control naamruimte en zijn niet gerelateerd aan aangepaste relying party-toepassingen. Deze gegevens omvatten:

• AccessControlManagement Relying Party-toepassing: vertegenwoordigt de ACS-beheerportal en de ACS-beheerservice, die relying party's zijn van de Access Control naamruimte.

• AccessControlManagement-regelgroep en -regels: bevat de toegangsregels voor de ACS-beheerportal en de ACS-beheerservice. U kunt de regels en regelgroepen configureren in de ACS-beheerportal.

• Windows Live ID Identity Provider en Issuer: vertegenwoordigt Windows Live ID (Microsoft-account), de standaardidentiteitsprovider en verlener. Deze id-provider kan niet worden verwijderd, omdat deze wordt gebruikt door de Relying Party accessControlManagement voor verificatie bij de ACS-beheerportal.

• LOCAL_AUTHORITY Issuer: Issuer used in the ACS rules engine for claims output by ACS.

Zie ook

Taken

Codevoorbeeld: Beheerservice

Concepten

ACS 2.0-onderdelen
Naslaginformatie over ACS Management Service-API
Procedure: Een token aanvragen bij ACS via het OAuth WRAP-protocol
Procedure: ACS Management Service gebruiken om Facebook te configureren als een internetprovider
Procedure: ACS Management Service gebruiken om AD FS 2.0 te configureren als een Enterprise Identity Provider
Procedure: ACS Management Service gebruiken om een OpenID Identity Provider te configureren

Meer informatie

https://www.fabrikamshipping.com/