Visão geral da autenticação do pacote de Windows Azure
Aplica-se a: Windows Azure Pack
Windows Azure Pack for Windows Server utiliza a autenticação baseada em sinistros para conceder acesso ao portal de gestão para administradores, o portal de gestão para inquilinos e a API de Gestão de Serviços. Esta secção fornece uma visão geral de como Windows Azure Pack implementa a autenticação baseada em sinistros. O Windows Azure Pack Developer Kit inclui uma amostra, SampleAuthApplication, que demonstra como autenticar para os portais Windows Azure Pack Administração e Inquilino. Para mais informações sobre Windows Azure Pack e autenticação, consulte https://go.microsoft.com/fwlink/?LinkId=331159.
Descrição Geral
A camada de gestão Windows Azure Pack fornece uma vasta API REST e uma vasta gama de Windows PowerShell cmdlets que proporcionam acesso programático ao controlo e exploram os componentes de gestão de administração. Estas APIs e cmdlets exigem que o chamador seja autenticado fornecendo um sinal de segurança, assinado por uma fonte de confiança. Na autenticação baseada em sinistros, este token é fornecido por uma entidade externa conhecida como Serviço de Token de Segurança (STS). Estabelece-se uma relação de confiança entre Windows Azure Pack, que é referido como Um Partido De Confiança (RP), e uma STS que permite ao STS assinar fichas de segurança e também permitir que Windows Azure Pack verifique a autenticidade dos tokens. Para que o STS emita um token, tem de verificar primeiro a identidade do utilizador. Isto pode ser feito recebendo um token assinado de confiança de um STS de confiança diferente (no caso da federação), garantindo a identidade do utilizador. Em alternativa, pode ser feito consultando uma entidade chamada Fornecedor de Identidade (IdP), que sabe interagir com os utilizadores e autenticar as suas identidades.
É possível criar diferentes topologias numa Windows implantação do Azure Pack.
Exemplo - Um
O portal de gestão para inquilinos pode ser configurado para confiar no Windows Azure Pack Tenant (Membership) Authentication Site e o portal de gestão para administradores podem ser configurados para confiar no Windows Azure Pack Administração (Windows) Site de Autenticação. Neste exemplo, o Windows Azure Pack Tenant (Membership) Authentication Site está a agir como um IdP/STS. Trata-se de um IdP porque pode verificar nomes de utilizador e palavras-passe contra uma loja de membros e é um STS, porque depois de verificar a identidade do utilizador, pode emitir e assinar um token de segurança que identifica o utilizador. Isto também se aplica ao Administração Site de Autenticação.
Exemplo - Dois
O portal de gestão para administradores e o portal de gestão para inquilinos podem ser configurados para confiar Serviços de Federação do Ative Directory (AD FS) 2.0 para o Window Server 2012 R2 (AD FS 2.0) Esta é a topologia recomendada para cenários de produção.
É possível configurar a AD FS 2.0 para autenticar os utilizadores pelas suas credenciais ative directory (AD). Neste cenário, a AD está a desempenhar o papel de IdP e a AD FS 2.0 está a desempenhar o papel de STS. Juntos formam a funcionalidade IDP/STS.
É possível configurar a AD FS 2.0 para federar com uma STS externa. Neste cenário, a AD FS 2.0 está a desempenhar o papel de STS.
A cadeia de confiança entre Windows Azure Pack e o IDP final pode ser muito longa. A cadeia pode ter um número ilimitado de STSs entre Windows Azure Pack (como o RP) e o IdP final.
Para autenticar um utilizador, o utilizador precisa de ir ao último IDP/STS para fornecer as suas credenciais. Em troca recebe um símbolo. O símbolo precisa de ser trocado por um novo símbolo por cada STS da cadeia de fiducimento e, finalmente, o símbolo emitido pela última STS pode ser apresentado à Windows Azure Pack.
Fornecedores de Identidade Apoiados
Com Windows Azure Pack pode utilizar qualquer STS que possa satisfazer as seguintes condições:
WS-Federation de apoio
Expõe um ponto final de metadados da Federação
Ser capaz de gerar fichas JWT com pelo menos 'UPN' e op opcionalmente 'Grupos' Claims
Importante
Isto aplica-se apenas ao primeiro STS da cadeia (mais próximo Windows Azure Pack). Outros nós na cadeia não necessitam destes requisitos. Eles devem ser capazes de interagir com os nós anteriores e próximos na Cadeia de Confiança.
O uso de exemplo de um fornecedor de identidade de terceiros é documentado em Windows Fornecedores de Identidade de Terceiros do Azure Pack.
Fora da caixa, Windows Azure Pack para Windows server com dois tipos de STS.
Local de Autenticação de Inquilinos
Site de Autenticação Administração
Serviços de Federação do Ative Directory (AD FS) 2.0 para o Windows Server 2012 R2 pode ser usado para fornecer identidades com Windows Azure Pack. As versões anteriores do AD FS não são compatíveis, uma vez que não geram fichas JWT. O Guia de instalação Windows Azure Pack tem mais informações sobre como federar o AD FS 2.0 com Windows Azure Pack. Os Fornecedores de Identidade de Terceiros podem ser utilizados para fornecer identidades para Windows Azure Pack, federando com FS AD.
Para obter mais informações sobre a configuração do AD FS 2.0 e Windows Azure Pack, consulte https://technet.microsoft.com/en-us/library/dn296436.aspx.
Local de Autenticação de Inquilinos
O Site de Autenticação de Inquilinos é um Fornecedor de Adesão ASP.Net baseado em idP/STS. O utilizador do inquilino introduz o seu nome de utilizador e senha na página de login. Estes são verificados na base de dados do Fornecedor de Adesão ASP.Net. O fornecedor de adesão tem uma cabeça STS sobre ele que é capaz de validar o utilizador e emitir fichas de segurança JWT assinadas para utilizadores autorizados. Suporta o protocolo WS-Federation: Protocolo de WS-Federation do Perfil do Solicitador Passivo XE: Perfil de Solicitador Passivo " (autenticação através do navegador) e Protocolo de WS-Trust: Perfil do Solicitador Ativo XE "WS-Trust Protocol: Ative Requestor Profile" (autenticação através de Clientes Inteligentes).
Site de Autenticação Administração
O Administração Authentication Site é um STS baseado em Windows (Kerberos/NTLM) que recolhe as credenciais e problemas do utilizador atualmente registados para utilizadores autorizados. Suporta o protocolo WS-Fed para fluxos passivos (autenticação através do navegador) e WS-Trust Protocolo para Fluxos Ativos (autenticação através de Clientes Inteligentes).
Aviso
Embora teoricamente estas duas STSs possam ser utilizadas intercambiavelmente, os Administração e Locatários de Autenticação só devem ser utilizados para os Administração e Locatários, respectivamente. A troca deste acordo fará com que os cenários dos inquilinos se rompam. Em cenários de implantação de produção é altamente recomendado que a AD FS seja utilizada.