Služba správy služby ACS

Aktualizováno: 19. června 2015

Platí pro: Azure

Platí pro

Microsoft Azure Active Directory Access Control (označované také jako služba Access Control nebo služba ACS)

Souhrn

Služba ACS Management Service je komponenta služby ACS, která umožňuje spravovat a konfigurovat nastavení v oboru názvů Access Control programově. Službu pro správu služby ACS můžete použít jako alternativu nebo doplněk k portálu pro správu služby ACS, který poskytuje grafické uživatelské rozhraní služby ACS.

Toto téma vysvětluje následující:

• Jak služba pro správu služby ACS zapadá do celkové architektury služby ACS

• Pokud je vhodné ke konfiguraci nastavení služby ACS použít službu pro správu služby ACS.

• Jak efektivně používat službu pro správu služby ACS

Přehled

Pomocí protokolu ACS Management Service a Open Data (OData) můžete spravovat a konfigurovat komponenty služby ACS v oboru názvů Access Control programově.

Následující diagram znázorňuje komponenty služby ACS a jejich vztahy.

Programová správa může být zvlášť efektivní ve scénářích, jako jsou následující.

• Přidání nových tenantů do služby SaaS Pokud máte produkt typu software jako služba, například Office 365, můžete napsat kód, který se spustí pokaždé, když se k vaší službě zaregistruje nový zákazník. Kód funguje se službou pro správu služby ACS ke konfiguraci nového tenanta pro zprostředkovatele identity, kterého vybere. Funkční ukázka zdrojového kódu aplikace SaaS, která přidává nové tenanty do služby ACS, najdete v tématu https://www.fabrikamshipping.com/.

• Nasazení řešení – Při nasazování nových řešení můžete přidat vlastní úlohu pro konfiguraci služby ACS v rámci nasazení. Služba pro správu služby ACS vám může pomoct automatizovat nasazení a minimalizovat ruční úlohy konfigurace po nasazení aplikace.

• Vlastní uživatelské rozhraní – Ke správě a konfiguraci komponent služby ACS můžete použít portál pro správu služby ACS, webové uživatelské rozhraní hostované ve vlastní doméně. Pokud je uživatelské rozhraní přeznamenané, vložené do větší konzoly pro správu nebo vystavené prostřednictvím webového uživatelského rozhraní, můžete ke správě a konfiguraci nastavení služby ACS použít službu pro správu služby ACS.

• Další funkce I když je možné provádět většinu úloh na portálu pro správu služby ACS, některé jsou k dispozici pouze pomocí služby pro správu služby ACS. Můžete například přidat vlastní zprostředkovatele identity OpenID jenom pomocí služby ACS Management Service.

Přístup ke službě pro správu ACS 2.0

Pokud chcete získat přístup ke službě pro správu služby ACS pro konkrétní obor názvů Access Control, musíte klientovi OData zadat adresu URL koncového bodu služby pro správu.

Pokud chcete najít adresu URL koncového bodu služby správy pro obor názvů Access Control, použijte následující postup.

1. Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)

2. Chcete-li spravovat obor názvů Access Control, vyberte obor názvů a klepněte na tlačítko Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)

3. Klikněte na Službu správy.

   Adresa URL se zobrazí v části Adresa URL služby pro správu na stránce.

Formát adresy URL koncového bodu je https://< Namespace.accesscontrol.windows.net/v2/mgmt/service> kde obor názvů je název vašeho oboru názvů Access Control.

Služba pro správu služby ACS používá službu ACS k ověřování. Služba ACS přijímá přihlašovací údaje pro správu vydané v protokolu OAuth WRAP a v reakci na to vydá token SWT klientovi. Token SWT se vyžaduje pro přístup ke službě pro správu služby ACS.

K ověření ve službě pro správu služby ACS použijte některý z následujících typů přihlašovacích údajů účtu:

• Hesla – Pomocí protokolu OAuth WRAP odešlete heslo v požadavku tokenu prostého textu do služby ACS. Pole hesla odpovídá parametru wrap_password v požadavku na token OAuth WRAP v0.9 a pole uživatelského jména odpovídá parametru wrap_name . Další informace najdete v tématu Požadavky tokenu hesla v tématu Postupy: Vyžádání tokenu ze služby ACS prostřednictvím protokolu OAuth WRAP.

• Symetrické klíče – K podepsání tokenu SWT použijte symetrický klíč a pak použijte protokol OAuth WRAP k odeslání tokenu do služby ACS. Další informace najdete v tématu Žádosti o token SWT v tématu Postupy: Vyžádání tokenu ze služby ACS prostřednictvím protokolu OAuth WRAP.

• Certifikáty X.509 – Pomocí certifikátu X.509 ověřte podpis nosného tokenu SAML odeslaného do služby ACS pro ověření. Další informace najdete v tématu Žádosti o token SAML v tématu Postupy: Vyžádání tokenu ze služby ACS prostřednictvím protokolu OAuth WRAP

Účty služby pro správu můžete přidávat a konfigurovat se všemi těmito typy přihlašovacích údajů na portálu pro správu služby ACS. Další informace najdete v tématu Portál pro správu služby ACS.

Entity dat služby správy ACS 2.0

Datový model entity uspořádá konfigurační data do záznamů typů entit (nebo entit) a přidružení mezi nimi. Datový model pro každý obor názvů Access Control je popsaný v dokumentu metadat služby OData, který je k dispozici na adrese: https://< namespace.accesscontrol.windows.net>/v2/mgmt/service/$metadata, kde <obor názvů je název oboru názvů> Access Control.

Tento dokument XML používá k popisu modulu entity koncepční jazyk definice schématu (CSDL). Tento dokument si můžete stáhnout a použít ho k vygenerování typed tříd ve vašem kódu.

Další informace o typech entit služby ACS a jejich vlastnostech najdete v referenčních informacích k rozhraní API služby ACS Management.

Výchozí data entity

Každý obor názvů Access Control obsahuje výchozí konfigurační data, která jsou vystavená službě pro správu služby ACS, ale není k dispozici na portálu pro správu služby ACS. Tato konfigurační data se obvykle používají interně v oboru názvů Access Control a nesouvisí s vlastními aplikacemi předávající strany. Mezi tato data patří:

• Aplikace předávající strany AccessControlManagement – představuje portál pro správu služby ACS a službu pro správu služby ACS, které jsou předávajícími stranami oboru názvů Access Control.

• AccessControlManagement Rule Group and Rules – Obsahuje pravidla přístupu pro portál pro správu služby ACS a službu pro správu služby ACS. Pravidla a skupiny pravidel můžete nakonfigurovat na portálu pro správu služby ACS.

• Windows zprostředkovatele identity a vystavitele identity Live ID – představuje Windows Live ID (účet Microsoft), výchozího zprostředkovatele identity a vystavitele. Tohoto zprostředkovatele identity nelze odstranit, protože ho používá předávající strana AccessControlManagement k ověřování na portálu pro správu služby ACS.

• LOCAL_AUTHORITY Vystavitel – vystavitel použitý v modulu pravidel služby ACS pro výstup deklarací identity službou ACS.

Viz také

Úkoly

Ukázka kódu: Služba pro správu

Koncepty

Komponenty ACS 2.0
Referenční informace k rozhraní API služby ACS Management
Postupy: Vyžádání tokenu ze služby ACS prostřednictvím protokolu OAuth WRAP
Postupy: Konfigurace Facebooku jako zprostředkovatele internetových identit pomocí služby ACS Management Service
Postupy: Konfigurace služby AD FS 2.0 jako zprostředkovatele identity Enterprise pomocí služby ACS Management Service
Postupy: Konfigurace zprostředkovatele identity OpenID pomocí služby ACS Management

Další prostředky

https://www.fabrikamshipping.com/