Omówienie uwierzytelniania pakietu Windows Azure Pack
Dotyczy: Windows Azure Pack
Windows pakiet Azure Pack for Windows Server używa uwierzytelniania opartego na oświadczeniach w celu udzielenia dostępu do portalu zarządzania dla administratorów, portalu zarządzania dla dzierżaw i interfejsu API REST zarządzania usługami. Ta sekcja zawiera omówienie sposobu implementacji uwierzytelniania opartego na oświadczeniach przez pakiet Windows Azure Pack. Zestaw deweloperów Windows Azure Pack zawiera przykładową aplikację SampleAuthApplication, która demonstruje sposób uwierzytelniania w portalach Administracja i portalach usługi Azure Pack Windows Azure Pack. Aby uzyskać więcej informacji na temat Windows pakietu Azure Pack i uwierzytelniania, zobacz https://go.microsoft.com/fwlink/?LinkId=331159.
Omówienie
Warstwa zarządzania Windows Azure Pack zapewnia rozbudowany interfejs API REST i szeroką gamę poleceń cmdlet Windows PowerShell, które zapewniają programowy dostęp do kontroli i obsługi składników zarządzania administratorami. Te interfejsy API i polecenia cmdlet wymagają uwierzytelnienia obiektu wywołującego przez podanie tokenu zabezpieczającego podpisanego przez zaufane źródło. W przypadku uwierzytelniania opartego na oświadczeniach ten token jest dostarczany przez jednostkę zewnętrzną znaną jako usługa tokenu zabezpieczającego (STS). Relacja zaufania jest ustanawiana między Windows Azure Pack, który jest określany jako jednostka uzależniona (RP) i STS, który umożliwia usłudze STS podpisywanie tokenów zabezpieczających, a także zezwala Windows pakietowi Azure Pack na weryfikowanie autentyczności tokenów. Aby usługa STS wystawiła token, musi najpierw zweryfikować tożsamość użytkownika. Można to zrobić, odbierając zaufany token podpisany z innej zaufanej usługi STS (w przypadku federacji), gwarantując tożsamość użytkownika. Alternatywnie można to zrobić, korzystając z jednostki o nazwie Identity Provider (IdP), która wie, jak korzystać z użytkowników i uwierzytelniać swoje tożsamości.
Istnieje możliwość utworzenia różnych topologii we wdrożeniu Windows Azure Pack.
Przykład — jeden
Portal zarządzania dla dzierżawców można skonfigurować tak, aby Windows ufał witrynie uwierzytelniania dzierżawy (członkostwa) pakietu Windows Azure Pack, a portal zarządzania dla administratorów można skonfigurować tak, aby ufał witrynie uwierzytelniania usługi Azure Pack Administracja (Windows). W tym przykład Windows zie witryna uwierzytelniania dzierżawy (członkostwa) pakietu Azure Pack działa jako dostawca tożsamości/STS. Jest to dostawca tożsamości, ponieważ może zweryfikować nazwy użytkowników i hasła w magazynie członkostwa i jest to usługa STS, ponieważ po zweryfikowaniu tożsamości użytkownika może ona wystawiać i podpisywać token zabezpieczający identyfikujący użytkownika. Dotyczy to również witryny uwierzytelniania Administracja.
Przykład — dwa
Portal zarządzania dla administratorów i portalu zarządzania dzierżawców można skonfigurować tak, aby ufał Active Directory Federation Services 2.0 dla systemu Windows Server 2012 R2 (AD FS 2.0) Jest to zalecana topologia dla scenariuszy produkcyjnych.
Istnieje możliwość skonfigurowania usług AD FS 2.0 do uwierzytelniania użytkowników przy użyciu poświadczeń usługi Active Directory (AD). W tym scenariuszu usługa AD odgrywa rolę dostawcy tożsamości, a usługi AD FS 2.0 pełnią rolę usługi STS. Razem tworzą funkcje dostawcy tożsamości/usługi STS.
Istnieje możliwość skonfigurowania usług AD FS 2.0 do federowania z zewnętrznym usługą STS. W tym scenariuszu usługi AD FS 2.0 pełnią rolę usługi STS.
Łańcuch zaufania między Windows pakietem Azure Pack a ostatnim dostawcą tożsamości może być bardzo długi. Łańcuch może mieć nieograniczoną liczbę usług STS między Windows pakietem Azure Pack (jako dostawcą usług) i końcowym dostawcą tożsamości.
Aby uwierzytelnić użytkownika, użytkownik musi przejść do ostatniego dostawcy tożsamości/usługi STS, aby podać jego poświadczenia. W zamian dostaje token. Token musi być wymieniany dla nowego tokenu przez każdą usługę STS w łańcuchu zaufania, a na koniec token wystawiony przez ostatnią usługę STS może zostać przedstawiony w celu Windows pakietu Azure Pack.
Obsługiwani dostawcy tożsamości
Korzystając z Windows Azure Pack, można użyć dowolnej usługi STS, która spełnia następujące warunki:
Obsługa WS-Federation
Uwidacznia punkt końcowy metadanych federacji
Możliwość generowania tokenów JWT przy użyciu co najmniej nazwy UPN i opcjonalnie oświadczeń "Grupy"
Ważne
Dotyczy to tylko pierwszej usługi STS w łańcuchu (najbliżej Windows Azure Pack). Dalsze węzły w łańcuchu nie wymagają tych wymagań. Powinny mieć możliwość interakcji z poprzednimi i następnymi węzłami w łańcuchu zaufania.
Przykładowe użycie dostawcy tożsamości innej firmy jest udokumentowane w Windows dostawcy tożsamości innych firm w usłudze Azure Pack.
Gotowe do użycia, Windows Azure Pack for Windows Server dostarczane z dwoma rodzajami usługi STS.
Witryna uwierzytelniania dzierżawy
lokacja uwierzytelniania Administracja
Active Directory Federation Services 2.0 dla systemu Windows Server 2012 R2 może służyć do dostarczania tożsamości z pakietem Windows Azure Pack. Wcześniejsze wersje usług AD FS nie są zgodne, ponieważ nie generują tokenów JWT. Przewodnik instalacji Windows pakietu Azure Pack zawiera więcej informacji na temat sposobu federowania usług AD FS 2.0 z pakietem Windows Azure Pack. Dostawcy tożsamości innych firm mogą służyć do dostarczania tożsamości do Windows Azure Pack przez sfederowanie z usługami AD FS.
Aby uzyskać więcej informacji na temat konfigurowania usług AD FS 2.0 i Windows Azure Pack, zobacz https://technet.microsoft.com/en-us/library/dn296436.aspx.
Witryna uwierzytelniania dzierżawy
Witryna uwierzytelniania dzierżawy jest dostawcą tożsamości opartym na dostawcy członkostwa ASP.Net/STS. Użytkownik dzierżawy wprowadza swoją nazwę użytkownika i hasło na stronie logowania. Następnie są one weryfikowane w bazie danych dostawcy członkostwa ASP.Net. Dostawca członkostwa ma nad nim głowę USŁUGI STS, która może weryfikować użytkownika i wystawiać podpisane tokeny zabezpieczające JWT dla autoryzowanych użytkowników. Obsługuje on protokół WS-Federation: profil pasywnego żądania XE " WS-Federation Protocol: Pasywny profil żądającego" (uwierzytelnianie za pośrednictwem przeglądarki) i protokół WS-Trust Protocol: Active Requestor Profile XE "WS-Trust Protocol: Active Requestor Profile" (uwierzytelnianie za pośrednictwem klientów inteligentnych).
lokacja uwierzytelniania Administracja
Lokacja uwierzytelniania Administracja to usługa STS oparta na Windows Authentication (Kerberos/NTLM), która pobiera poświadczenia aktualnie zalogowanego użytkownika i wystawia tokeny zabezpieczające podpisaneJWT dla autoryzowanych użytkowników. Obsługuje protokół WS-Fed przepływów pasywnych (uwierzytelnianie za pośrednictwem przeglądarki) i protokół WS-Trust dla aktywnych przepływów (uwierzytelnianie za pośrednictwem klientów inteligentnych).
Ostrzeżenie
Chociaż teoretycznie te dwa usługi STS mogą być używane zamiennie, lokacje Administracja i uwierzytelniania dzierżawy powinny być używane tylko dla Administracja i lokacji dzierżawy. Zmiana tego układu spowoduje przerwanie scenariuszy dzierżawy. W scenariuszach wdrażania w środowisku produkcyjnym zdecydowanie zaleca się użycie usług AD FS.