Sdílet prostřednictvím

Webové služby a služba ACS

  • Článek

Aktualizováno: 19. června 2015

Platí pro: Azure

Následují účastníci základního scénáře, ve kterém je webová služba integrovaná s Microsoft Azure Active Directory Access Control (označuje se také jako služba Access Control nebo služba ACS):

  • Aplikace předávající strany – vaše webová služba

  • Klient – klient webové služby, který se pokouší získat přístup k vaší webové službě.

  • Zprostředkovatel identity – lokalita nebo služba, která může klienta ověřit.

  • ACS – oddíl služby ACS, který je vyhrazený pro aplikaci předávající strany.

Scénář webové služby však předpokládá, že klient nemá přístup k prohlížeči a funguje samostatně (bez přímé účasti uživatele ve scénáři).

Klient musí získat token zabezpečení vydaný službou ACS, aby se mohl přihlásit k vaší službě. Tento token je podepsaná zpráva ze služby ACS do vaší aplikace se sadou deklarací identity klienta. Služba ACS nevydá token, pokud klient nejprve neprokáže svou identitu.

Ve webové službě a scénáři služby ACS může klient prokázat svou identitu následujícími způsoby:

  • Ověřováním přímo se službou ACS a použitím typů přihlašovacích údajů identity služby ACS

    Poznámka

    Další informace o identitách služeb najdete v tématu Identity služby.

    Následující obrázek znázorňuje scénář webové služby s klientem, který prokáže identitu pomocí typů přihlašovacích údajů identity služby ACS.

    Windows Azure Active Direct Access Control

    1. Klient se ověřuje pomocí služby ACS pomocí jednoho z typů přihlašovacích údajů identity služby ACS. V ACS to může být token SWT (Simple Web Token) podepsaný symetrickým klíčem, certifikátem X.509 nebo heslem. Další informace naleznete v tématu Identity služby.

    2. Služba ACS ověří přijaté přihlašovací údaje, zadává přijaté deklarace identity do modulu pravidel služby ACS, vypočítá výstupní deklarace identity a vytvoří token, který tyto deklarace identity obsahuje.

    3. Služba ACS vrátí klientovi token vydaný službou ACS.

    4. Klient odešle token vydaný službou ACS do aplikace předávající strany.

    5. Aplikace předávající strany ověří token vydaný službou ACS a pak vrátí požadovanou reprezentaci prostředků.

  • Předložením tokenu zabezpečení od jiného důvěryhodného vystavitele (zprostředkovatele identity), který ověřil tohoto klienta

    Následující obrázek znázorňuje scénář webové služby s klientem, který prokáže identitu pomocí tokenu zabezpečení od zprostředkovatele identity.

    ACS 2.0 Web Service Scenario

    1. Klient se přihlásí k zprostředkovateli identity (například odešle přihlašovací údaje).

    2. Po ověření klienta vydá zprostředkovatel identity token.

    3. Zprostředkovatel identity vrátí token klientovi.

    4. Klient odešle token vydaný zprostředkovatelem identity do služby ACS.

    5. Služba ACS ověří token vydaný zprostředkovatelem identity, zadává data do modulu pravidel služby ACS, vypočítá výstupní deklarace identity a vytvoří token, který tyto deklarace identity obsahuje.

    6. Služba ACS vydá token klientovi.

    7. Klient odešle token vydaný službou ACS do aplikace předávající strany.

    8. Aplikace předávající strany ověří podpis v tokenu vydaném službou ACS a ověří deklarace identity v tokenu vydaném službou ACS.

    9. Aplikace předávající strany vrátí požadovanou reprezentaci prostředků.

Viz také

Koncepty

Access Control Service 2.0
Začínáme se službou ACS
Postupy: Vytvoření první služby ASP.NET pracující s deklaracemi pomocí služby ACS