Visão geral de autenticação do Windows Azure Pack
Aplica-se a: Windows Azure Pack
Windows Azure Pack for Windows Server usa autenticação baseada em declarações para conceder acesso ao portal de gerenciamento para administradores, o portal de gerenciamento para locatários e a API REST do Gerenciamento de Serviços. Esta seção fornece uma visão geral de como Windows Azure Pack implementa a autenticação baseada em declarações. O Windows Kit de Desenvolvedores do Azure Pack inclui um exemplo, SampleAuthApplication, que demonstra como autenticar nos Windows portais de Administração e locatário do Azure Pack. Para obter mais informações sobre Windows Azure Pack e autenticação, consulte https://go.microsoft.com/fwlink/?LinkId=331159.
Visão geral
A camada de gerenciamento do Windows Azure Pack fornece uma ampla API REST e uma ampla gama de cmdlets de Windows PowerShell que fornecem acesso programático para controlar e operar os componentes de gerenciamento de administradores. Essas APIs e cmdlets exigem que o chamador seja autenticado fornecendo um token de segurança, assinado por uma fonte confiável. Na autenticação baseada em declarações, esse token é fornecido por uma entidade externa conhecida como STS (Serviço de Token de Segurança). Uma relação de confiança é estabelecida entre Windows Azure Pack, que é conhecido como RP (Terceira Parte Confiável) e um STS que permite que o STS assine tokens de segurança e também permita que Windows Pacote do Azure verifique a autenticidade dos tokens. Para que o STS emita um token, ele precisa primeiro verificar a identidade do usuário. Isso pode ser feito recebendo um token assinado confiável de um STS confiável diferente (no caso de federação), garantindo a identidade do usuário. Como alternativa, isso pode ser feito consultando uma entidade chamada IdP (Provedor de Identidade), que sabe como interagir com os usuários e autenticar suas identidades.
É possível criar topologias diferentes em um Windows implantação do Azure Pack.
Exemplo – Um
O portal de gerenciamento para locatários pode ser configurado para confiar no Windows Site de Autenticação do Locatário do Azure Pack (Associação) e o portal de gerenciamento para administradores pode ser configurado para confiar no site de autenticação do Windows Azure Pack Administração (Windows). Neste exemplo, o site de autenticação Windows Locatário do Azure Pack (Associação) está atuando como um IdP/STS. É um IdP porque pode verificar nomes de usuário e senhas em um repositório de associação e é um STS, pois depois de verificar a identidade do usuário, ele pode emitir e assinar um token de segurança que identifica o usuário. Isso também se aplica ao site de autenticação Administração.
Exemplo – Dois
O portal de gerenciamento para administradores e o portal de gerenciamento para locatários podem ser configurados para confiar Serviços de Federação do Active Directory (AD FS) 2.0 para o Window Server 2012 R2 (AD FS 2.0) Essa é a topologia recomendada para cenários de produção.
É possível configurar o AD FS 2.0 para autenticar usuários por suas credenciais do AD (Active Directory). Nesse cenário, o AD está desempenhando a função IdP e o AD FS 2.0 está desempenhando a função STS. Juntos, eles formam a funcionalidade IDP/STS.
É possível configurar o AD FS 2.0 para federar com um STS externo. Nesse cenário, o AD FS 2.0 está desempenhando a função STS.
A cadeia de confiança entre Windows Azure Pack e o IDP final pode ser muito longa. A cadeia pode ter um número ilimitado de STSs entre Windows Pacote do Azure (como RP) e o IdP final.
Para autenticar um usuário, o usuário precisa acessar o último IDP/STS para fornecer suas credenciais. Em troca, obtém um token. O token precisa ser trocado por um novo token por cada STS na cadeia de confiança e, por fim, o token emitido pelo último STS pode ser apresentado ao Windows Azure Pack.
Provedores de identidade com suporte
Com Windows Pacote do Azure, você pode usar qualquer STS que possa atender às seguintes condições:
Suporte WS-Federation
Expõe um ponto de extremidade de metadados de federação
Ser capaz de gerar tokens JWT com pelo menos 'UPN' e, opcionalmente, declarações 'Groups'
Importante
Isso se aplica somente ao primeiro STS na cadeia (mais próximo de Windows Azure Pack). Outros nós na cadeia não precisam desses requisitos. Eles só devem ser capazes de interagir com os nós anteriores e próximos na Cadeia de Confiabilidade.
O uso de exemplo de um provedor de identidade de terceiros é documentado em Windows provedores de identidade de terceiros do Azure Pack.
Pronto para uso, Windows o Azure Pack para Windows Server é fornecido com dois tipos de STS.
Site de Autenticação de Locatário
Site de Autenticação Administração
Serviços de Federação do Active Directory (AD FS) 2.0 para Windows Server 2012 R2 pode ser usado para fornecer identidades com Windows Pacote do Azure. As versões anteriores do AD FS não são compatíveis, pois não geram tokens JWT. O Guia de instalação do Windows Azure Pack tem mais informações sobre como federar o AD FS 2.0 com Windows Azure Pack. Provedores de identidade de terceiros podem ser usados para fornecer identidades para Windows Azure Pack federando com o AD FS.
Para obter mais informações sobre como configurar o AD FS 2.0 e Windows Azure Pack, consulte https://technet.microsoft.com/en-us/library/dn296436.aspx.
Site de Autenticação de Locatário
O Site de Autenticação de Locatário é um idP/STS baseado em provedor de associação de ASP.Net. O usuário locatário insere seu nome de usuário e senha na página de logon. Em seguida, eles são verificados no banco de dados ASP.Net Provedor de Associação. O provedor de associação tem uma cabeçalho sts sobre ele que é capaz de validar o usuário e emitir tokens de segurança JWT assinados para usuários autorizados. Ele dá suporte ao protocolo WS-Federation: protocolo XE " WS-Federation Protocol: Passive Requestor Profile" (autenticação por meio do navegador) e WS-Trust Protocol: Active Requestor Profile XE "WS-Trust Protocol: Active Requestor Profile" (autenticação por meio de Clientes Inteligentes).
Site de Autenticação Administração
O site de autenticação Administração é um STS baseado em Autenticação Windows (Kerberos/NTLM) que capta as credenciais do usuário conectado no momento e emite tokens de segurança JWT assinados para usuários autorizados. Ele dá suporte ao protocolo WS-Fed para fluxos passivos (autenticação por meio do navegador) e protocolo WS-Trust para fluxos ativos (autenticação por meio de Clientes Inteligentes).
Aviso
Embora teoricamente esses dois STSs possam ser usados de forma intercambiável, os sites de autenticação de Administração e locatário devem ser usados apenas para os sites de Administração e locatário, respectivamente. A troca dessa disposição fará com que os cenários de locatário sejam interrompidos. Em cenários de implantação de produção, é altamente recomendável que o AD FS seja usado.