ACS-hanteringstjänst

Uppdaterad: 19 juni 2015

Gäller för: Azure

Gäller för

Microsoft Azure Active Directory Access Control (även kallat Access Control Service eller ACS)

Sammanfattning

ACS Management Service är en ACS-komponent som gör att du kan hantera och konfigurera inställningarna i ett Access Control namnområde programmatiskt. Du kan använda ACS Management Service som ett alternativ eller komplettera ACS-hanteringsportalen, som tillhandahåller ett grafiskt användargränssnitt för ACS.

Det här avsnittet förklarar följande:

• Så här passar ACS Management Service in i den övergripande ACS-arkitekturen

• När det är lämpligt att använda ACS-hanteringstjänsten för att konfigurera ACS-inställningar

• Så här använder du ACS Management Service mest effektivt

Översikt

Du kan använda PROTOKOLLET ACS Management Service och Open Data (OData) för att hantera och konfigurera ACS-komponenterna i ett Access Control namnområde programmatiskt.

Följande diagram illustrerar komponenterna i ACS och deras relationer.

Programmatisk hantering kan vara särskilt effektiv i scenarier som följande.

• Lägga till nya klienter i en SaaS-tjänst Om du har en programvaruprodukt som en tjänst, till exempel Office 365, kan du skriva kod som körs när en ny kund registrerar sig för din tjänst. Koden fungerar med ACS Management Service för att konfigurera den nya klientorganisationen för den identitetsprovider som de väljer. Ett fungerande exempel på SaaS-programmets källkod som lägger till nya klienter i ACS finns i https://www.fabrikamshipping.com/.

• Distribuera lösningar – När du distribuerar nya lösningar kan du lägga till en anpassad uppgift för att konfigurera ACS som en del av distributionen. ACS-hanteringstjänsten kan hjälpa dig att automatisera distributionen och minimera manuella konfigurationsuppgifter när programmet har distribuerats.

• Anpassat användargränssnitt – Du kan använda ACS-hanteringsportalen, ett webbaserat användargränssnitt som finns på en egen domän, för att hantera och konfigurera ACS-komponenter. Men om användargränssnittet omprofileras, bäddas in i en större hanteringskonsol eller exponeras via ett icke-webbaserat användargränssnitt kan du använda ACS-hanteringstjänsten för att hantera och konfigurera dina ACS-inställningar.

• Ytterligare funktioner Även om de flesta uppgifter kan utföras i ACS-hanteringsportalen är vissa endast tillgängliga med hjälp av ACS-hanteringstjänsten. Du kan till exempel bara lägga till anpassade OpenID-identitetsprovidrar med hjälp av ACS-hanteringstjänsten.

Åtkomst till ACS 2.0-hanteringstjänsten

För att få åtkomst till ACS-hanteringstjänsten för en viss Access Control namnområde måste du ange slutpunkts-URL:en för hanteringstjänsten till OData-klienten.

Använd följande procedur för att hitta url:en för hanteringstjänstens slutpunkt för ett Access Control namnområde.

1. Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)

2. Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control Namnområden, välj namnområdet och klicka sedan på Hantera.)

3. Klicka på Hanteringstjänst.

   URL:en visas i avsnittet Hanteringstjänst-URL på sidan.

Formatet för en slutpunkts-URL är https://< Namespace.accesscontrol.windows.net/v2/mgmt/service> där Namnområde är namnet på Access Control namnområde.

ACS Management Service använder ACS för autentisering. ACS accepterar en hanteringsautentiseringsuppgift som utfärdats i OAuth WRAP-protokollet och utfärdar som svar en SWT-token till klienten. SWT-token krävs för åtkomst till ACS-hanteringstjänsten.

Använd någon av följande typer av kontoautentiseringsuppgifter för att autentisera till ACS-hanteringstjänsten:

• Lösenord – Använd OAuth WRAP-protokollet för att skicka ett lösenord i en begäran om klartexttoken till ACS. Lösenordsfältet motsvarar parametern wrap_password i en OAuth WRAP v0.9-tokenbegäran och fältet användarnamn motsvarar parametern wrap_name . Mer information finns i "Begäranden om lösenordstoken" i Så här begär du en token från ACS via OAuth WRAP Protocol.

• Symmetriska nycklar – Använd en symmetrisk nyckel för att signera en SWT-token och använd sedan OAuth WRAP-protokollet för att skicka token till ACS. Mer information finns i "SWT-tokenbegäranden" i Så här begär du en token från ACS via OAuth WRAP Protocol.

• X.509-certifikat – Använd ett X.509-certifikat för att verifiera signaturen för en SAML-ägartoken som skickas till ACS för autentisering. Mer information finns i "SAML-tokenbegäranden" i Så här begär du en token från ACS via OAuth WRAP Protocol

Du kan lägga till och konfigurera hanteringstjänstkonton med alla dessa typer av autentiseringsuppgifter i ACS-hanteringsportalen. Mer information finns i ACS-hanteringsportalen.

ACS 2.0 Management Service-dataentiteter

En entitetsdatamodell organiserar konfigurationsdata i poster för entitetstyper (eller entiteter) och associationerna mellan dem. Datamodellen för varje Access Control namnområde beskrivs i dokumentet OData-tjänstmetadata som är tillgängligt på: https://< namespace.accesscontrol.windows.net>/v2/mgmt/service/$metadata, där <namnområdet> är namnet på Access Control namnrymd.

Det här XML-dokumentet använder konceptuellt schemadefinitionsspråk (CSDL) för att beskriva entitetsmodulen. Du kan ladda ned det här dokumentet och använda det för att generera inskrivna klasser i koden.

Mer information om ACS-entitetstyper och deras egenskaper finns i REFERENS för ACS Management Service API.

Standardentitetsdata

Varje Access Control namnområde innehåller standardkonfigurationsdata som exponeras för ACS-hanteringstjänsten, men som inte är tillgängliga i ACS-hanteringsportalen. Dessa konfigurationsdata används vanligtvis internt av Access Control namnområde och är inte relaterade till anpassade förlitande partprogram. Dessa data omfattar:

• AccessControlManagement Relying Party Application – Representerar ACS-hanteringsportalen och ACS-hanteringstjänsten, som är förlitande parter i Access Control namnområdet.

• AccessControlManagement Rule Group and Rules – Innehåller åtkomstreglerna för ACS-hanteringsportalen och ACS-hanteringstjänsten. Du kan konfigurera regler och regelgrupper i ACS-hanteringsportalen.

• Windows Live ID Identity Provider and Issuer – Representerar Windows Live ID (Microsoft-konto), standardidentitetsprovider och utfärdare. Det går inte att ta bort den här identitetsprovidern eftersom den används av den förlitande parten AccessControlManagement för autentisering till ACS-hanteringsportalen.

• LOCAL_AUTHORITY Issuer – Utfärdare som används i ACS-regelmotorn för anspråksutdata från ACS.

Se även

Uppgifter

Kodexempel: Hanteringstjänst

Begrepp

ACS 2.0-komponenter
API-referens för ACS Management Service
Anvisningar: Begära en token från ACS via OAuth WRAP Protocol
Anvisningar: Använda ACS-hanteringstjänsten för att konfigurera Facebook som en Internet-identitetsprovider
Anvisningar: Använd ACS-hanteringstjänsten för att konfigurera AD FS 2.0 som en företagsidentitetsprovider
Anvisningar: Använd ACS-hanteringstjänsten för att konfigurera en OpenID-identitetsprovider

Andra resurser

https://www.fabrikamshipping.com/