Información general de la autenticación de Windows Azure Pack
Se aplica a: Windows Azure Pack
Windows Azure Pack para Windows Server usa la autenticación basada en notificaciones para conceder acceso al portal de administración para administradores, el portal de administración de inquilinos y la API REST de administración de servicios. En esta sección se proporciona información general sobre cómo Windows Azure Pack implementa la autenticación basada en notificaciones. El kit para desarrolladores de Windows Azure Pack incluye un ejemplo, SampleAuthApplication, que muestra cómo autenticarse en el Windows Azure Pack Administración y portales de inquilinos. Para más información sobre Windows Azure Pack y la autenticación, consulte https://go.microsoft.com/fwlink/?LinkId=331159.
Información general
La capa de administración de módulos de Azure Windows proporciona una amplia API REST y una amplia gama de cmdlets de Windows PowerShell que proporcionan acceso mediante programación para controlar y operar los componentes de administración de administración. Estas API y cmdlets requieren que el autor de la llamada se autentique proporcionando un token de seguridad firmado por un origen de confianza. En la autenticación basada en notificaciones, este token lo proporciona una entidad externa conocida como servicio de token de seguridad (STS). Se establece una relación de confianza entre Windows Azure Pack, que se conoce como usuario de confianza (RP) y un STS que permite al STS firmar tokens de seguridad y también permitir que Windows Azure Pack compruebe la autenticidad de los tokens. Para que el STS emita un token, primero debe comprobar la identidad del usuario. Esto se puede hacer mediante la recepción de un token firmado de confianza de un STS de confianza diferente (en el caso de la federación), lo que garantiza la identidad del usuario. Como alternativa, se puede realizar mediante la consulta de una entidad denominada Proveedor de identidades (IdP), que sabe cómo interactuar con los usuarios y autenticar sus identidades.
Es posible crear diferentes topologías en una implementación de Windows Azure Pack.
Ejemplo: uno
El portal de administración de los inquilinos se puede configurar para confiar en el sitio de autenticación de inquilino de azure Pack (pertenencia) Windows y el portal de administración para los administradores se puede configurar para confiar en el sitio de autenticación de Windows azure Pack Administración (Windows). En este ejemplo, el Windows sitio de autenticación de inquilino de Azure Pack (pertenencia) actúa como idP/STS. Es un IdP porque puede comprobar los nombres de usuario y las contraseñas en un almacén de pertenencia y es un STS, porque después de comprobar la identidad del usuario, puede emitir y firmar un token de seguridad que identifique al usuario. Esto también se aplica al sitio de autenticación de Administración.
Ejemplo: dos
El portal de administración para administradores y el portal de administración de inquilinos se pueden configurar para confiar en Servicios de federación de Active Directory (AD FS) 2.0 para Window Server 2012 R2 (AD FS 2.0) Esta es la topología recomendada para escenarios de producción.
Es posible configurar AD FS 2.0 para autenticar a los usuarios mediante sus credenciales de Active Directory (AD). En este escenario, AD está desempeñando el rol idP y AD FS 2.0 está desempeñando el rol STS. Juntos forman la funcionalidad IDP/STS.
Es posible configurar AD FS 2.0 para federarse con un STS externo. En este escenario, AD FS 2.0 está desempeñando el rol STS.
La cadena de confianza entre Windows Azure Pack y el IDP final pueden ser muy largos. La cadena puede tener un número ilimitado de STS entre Windows Azure Pack (como rp) y el IdP final.
Para autenticar a un usuario, el usuario debe ir al último IDP/STS para proporcionar sus credenciales. A cambio, obtiene un token. El token debe intercambiarse por un nuevo token por cada STS de la cadena de confianza y, por último, el token emitido por el último STS se puede presentar a Windows Azure Pack.
Proveedores de identidades admitidos
Con Windows Azure Pack, puede usar cualquier STS que pueda cumplir las condiciones siguientes:
WS-Federation de soporte técnico
Expone un punto de conexión de metadatos de federación
Ser capaz de generar tokens JWT con al menos "UPN" y, opcionalmente, notificaciones "Grupos".
Importante
Esto solo se aplica al primer STS de la cadena (más cercano a Windows Azure Pack). Otros nodos de la cadena no necesitan estos requisitos. Solo deben poder interactuar con los nodos anteriores y siguientes de la cadena de confianza.
El uso de ejemplo de un proveedor de identidades de terceros se documenta en Windows proveedores de identidades de terceros de Azure Pack.
Está lista para usar Windows Azure Pack para Windows Server incluye dos tipos de STS.
Sitio de autenticación de inquilinos
Sitio de autenticación de Administración
Servicios de federación de Active Directory (AD FS) 2.0 para Window Server 2012 R2 se puede usar para proporcionar identidades con Windows Azure Pack. Las versiones anteriores de AD FS no son compatibles, ya que no generan tokens JWT. La guía de instalación de Windows Azure Pack tiene más información sobre cómo federar AD FS 2.0 con Windows Azure Pack. Los proveedores de identidades de terceros se pueden usar para proporcionar identidades a Windows Azure Pack mediante la federación con AD FS.
Para más información sobre cómo configurar AD FS 2.0 y Windows Azure Pack, consulte https://technet.microsoft.com/en-us/library/dn296436.aspx.
Sitio de autenticación de inquilinos
El sitio de autenticación de inquilinos es un idP/STS basado en el proveedor de pertenencia ASP.Net. El usuario del inquilino escribe su nombre de usuario y contraseña en la página de inicio de sesión. A continuación, se comprueban en la base de datos del proveedor de pertenencia de ASP.Net. El proveedor de pertenencia tiene un STS que es capaz de validar al usuario y emitir tokens de seguridad JWT firmados para usuarios autorizados. Admite el protocolo WS-Federation: Perfil de solicitante pasivo XE " WS-Federation Protocol: Perfil de solicitante pasivo " (autenticación a través del explorador) y WS-Trust Protocol: Active Requestor Profile XE "WS-Trust Protocol: Active Requestor Profile" (autenticación a través de clientes inteligentes).
Sitio de autenticación de Administración
El sitio de autenticación de Administración es un STS basado en autenticación Windows (Kerberos/NTLM), que recoge las credenciales del usuario que ha iniciado sesión actualmente y emite tokens de seguridad firmados deJWT para los usuarios autorizados. Admite el protocolo WS-Fed para flujos pasivos (autenticación a través del explorador) y WS-Trust Protocolo para flujos activos (autenticación a través de clientes inteligentes).
Advertencia
Aunque teóricamente estos dos STS se pueden usar indistintamente, el Administración y los sitios de autenticación de inquilinos solo se deben usar para los sitios de Administración e inquilino, respectivamente. Al cambiar esta disposición, los escenarios de inquilino se interrumpirán. En escenarios de implementación de producción, se recomienda encarecidamente usar AD FS.