웹 서비스 및 ACS
업데이트: 2015년 6월 19일
Azure에 적용합니다.
다음은 웹 서비스가 Microsoft Azure Active Directory Access Control(Access Control Service 또는 ACS라고도 함)와 통합되는 기본 시나리오의 참가자입니다.
신뢰 당사자 응용 프로그램 - 웹 서비스입니다.
클라이언트 - 웹 서비스 액세스 권한을 얻으려 하는 웹 서비스 클라이언트입니다.
ID 공급자 - 클라이언트를 인증할 수 있는 사이트 또는 서비스입니다.
ACS - 신뢰 당사자 애플리케이션 전용 ACS의 파티션입니다.
그러나 웹 서비스 시나리오에서는 클라이언트가 브라우저 액세스 권한을 가지고 있지 않으며 자치적으로 작동한다고 가정합니다(사용자가 시나리오에 직접 참여하지 않음).
클라이언트는 서비스에 로그온하기 위해 ACS에서 발급한 보안 토큰을 가져와야 합니다. 이 토큰은 클라이언트의 ID에 대한 클레임 집합을 사용하여 ACS에서 애플리케이션으로 서명된 메시지입니다. ACS는 클라이언트가 먼저 자신의 ID를 증명하지 않는 한 토큰을 발급하지 않습니다.
웹 서비스 및 ACS 시나리오에서 클라이언트는 다음과 같은 방법으로 자신의 ID를 증명할 수 있습니다.
ACS를 사용하여 직접 인증하고 ACS 서비스 ID 자격 증명 형식을 사용하여
참고
서비스 ID에 대한 자세한 내용은 서비스 ID를 참조하세요.
다음 그림에서는 클라이언트가 ACS 서비스 ID 자격 증명 형식으로 자신의 ID를 증명하는 웹 서비스 시나리오를 보여 줍니다.
.gif "Windows Azure Active Direct Access Control")
클라이언트는 ACS 서비스 ID 자격 증명 유형 중 하나를 사용하여 ACS로 인증합니다. ACS에서는 대칭 키, X.509 인증서 또는 암호로 서명된 SWT(단순 웹 토큰) 토큰일 수 있습니다. 자세한 내용은 서비스 ID를 참조하세요.
ACS는 수신된 자격 증명의 유효성을 검사하고, 수신된 ID 클레임을 ACS 규칙 엔진에 입력하고, 출력 클레임을 계산하고, 해당 클레임이 포함된 토큰을 만듭니다.
ACS는 ACS에서 발급한 토큰을 클라이언트에 반환합니다.
클라이언트는 ACS에서 발급한 토큰을 신뢰 당사자 애플리케이션에 보냅니다.
신뢰 당사자 애플리케이션은 ACS에서 발급한 토큰의 유효성을 검사한 다음 요청된 리소스 표현을 반환합니다.
해당 클라이언트를 인증한 신뢰할 수 있는 타 발급자(ID 공급자)의 보안 토큰 제공
다음 그림에서는 클라이언트가 ID 공급자의 보안 토큰을 사용하여 해당 ID를 증명하는 웹 서비스 시나리오를 보여 줍니다.
.gif "ACS 2.0 Web Service Scenario")
클라이언트가 자격 증명을 보내는 등의 방법으로 ID 공급자에 로그인합니다.
클라이언트가 인증되면 ID 공급자가 토큰을 발급합니다.
ID 공급자가 토큰을 클라이언트로 반환합니다.
클라이언트는 ID 공급자가 발급한 토큰을 ACS에 보냅니다.
ACS는 ID 공급자가 발급한 토큰의 유효성을 검사하고, ID 공급자가 발급한 토큰의 데이터를 ACS 규칙 엔진에 입력하고, 출력 클레임을 계산하고, 해당 클레임이 포함된 토큰을 만듭니다.
ACS는 클라이언트에 토큰을 발급합니다.
클라이언트는 ACS에서 발급한 토큰을 신뢰 당사자 애플리케이션에 보냅니다.
신뢰 당사자 애플리케이션은 ACS에서 발급한 토큰에 대한 서명의 유효성을 검사하고 ACS에서 발급한 토큰에서 클레임의 유효성을 검사합니다.
신뢰 당사자 응용 프로그램이 요청된 리소스 표현을 반환합니다.
참고 항목
개념
Access Control Service 2.0
ACS를 사용하는 시작
방법: ACS를 사용하여 첫 번째 클레임 인식 ASP.NET 서비스 만들기