Freigeben über

Herausforderungen in ACS - SO, Identitätsfluss, Autorisierung

  • Artikel

Aktualisiert: 19. Juni 2015

Gilt für: Azure

Zusammenfassung

In diesem Thema werden allgemeine Herausforderungen und Lösungsansätze beschrieben, die sich auf Einmaliges Anmelden (Single Sign-On, SSO), Identitätsfluss und Autorisierung in verteilten Cloudanwendungen beziehen.

Szenario

Die folgende schematische Abbildung zeigt ein vorschriftsmäßiges Szenario der verteilten Anwendung.

Dieses vorschriftsmäßige Szenario weist die folgenden Schlüsselmerkmale auf.

ACS - challenge

  • Der Endbenutzer kann vorhandene Identitäten haben, die von Branchenidentitätsanbietern verwaltet werden, z. B. Windows Live ID (Microsoft-Konto), Google, Yahoo!, Facebook oder Enterprise Active Directory.

  • Der Endbenutzer interagiert mit dem System, das Authentifizierung und Autorisierung erfordert, über einen Webbrowser oder einen Rich Client.

  • Der Endbenutzer interagiert mit dem System, das Authentifizierung und Autorisierung erfordert, über einen Rich Client, der auf dem Desktop, Smartphone oder in einem Browser (z. B. Silverlight oder JavaScript) ausgeführt wird.

  • Eine Webanwendung kann mit Downstreamwebdiensten interagieren, die Authentifizierung und Autorisierung erfordern.

Herausforderungen

Mit diesem Szenario sind mehrere allgemeine Sicherheitsherausforderungen verbunden. Beachten Sie Folgendes:

  • Wie wird die Authentifizierung für Webanwendungen extern zur Verfügung gestellt?

  • Wie wird die Authentifizierung für Webdienste extern zur Verfügung gestellt?

  • Wie werden Internetanmeldeinformationen mit verschiedenen Anwendungen verwendet?

  • Wie werden Unternehmensanmeldeinformationen mit verschiedenen Anwendungen verwendet?

  • Wie durchläuft ein Sicherheitskontext die physischen Schichten?

  • Wie wird eine Benutzeridentität für die weitere detaillierte, auf Ansprüchen basierende Autorisierung transformiert?

  • Wie erfolgt die Interaktion mit anderen Parteien?

  • Wie wird die Kommunikation gesichert?

  • Wie wird die Verwaltung automatisiert?

Lösungsansatz

Microsoft Azure Active Directory Access Control (auch als Access Control Service oder ACS bezeichnet) bietet eine Lösung für diese Herausforderungen. Mit offenen Standards und Protokollen wie WS-Federation, WS-Trust, SAML, OAuth 2.0 und SWT ACS können Benutzer Cloud- und lokale Anwendungen erstellen, die sicher mit mehreren Identitätsanbietern zusammenarbeiten können, wie in der folgenden Abbildung dargestellt:

ACS-solution

Weitere Informationen zur ACS-Architektur und schlüsselkomponenten finden Sie unter ACS-Architektur.

Weitere Informationen

Konzepte

Szenarien und Lösungen mit ACS