使用 ACS 保护 Web 应用程序

更新时间：2015 年 6 月 19 日

适用于：Azure

重要

ACS 命名空间可以将其 Google 标识提供程序配置从 OpenID 2.0 迁移到 OpenID Connect。 迁移必须在 2015 年 6 月 1 日之前完成。 有关详细指导，请参阅将 ACS 命名空间迁移到 Google OpenID 连接。

方案

在此方案中，Web 应用程序需要与第三方身份验证标识管理系统集成。

有几个与此方案关联的难题：

• 如何将未经身份验证的请求重定向到所需的标识提供程序？

• 如何验证标识提供程序颁发的传入令牌？

• 如何分析传入令牌？

• 如何实施授权检查？

• 如何通过添加、删除或更改声明类型和值来转换令牌？

• 如何使用配置而非编码完成上述所有操作？

解决方案

Microsoft Azure Active Directory 访问控制 (也称为访问控制服务或 ACS) 提供了解决方案，如下图所示。

• Windows Identity Foundation (WIF) 用于将未经身份验证的请求重定向到 ACS。 ACS 将请求重定向到配置的标识提供者。

• 使用 Windows Identity Foundation (WIF) 验证传入令牌。

• 使用 Windows Identity Foundation (WIF) 分析传入令牌。

• 使用 Windows Identity Foundation (WIF) 实施授权检查。

• ACS 规则引擎用于转换令牌。

• 大部分工作都是在应用程序的web.config中或通过 ACS 管理门户完成的。

解决方案摘要

类别	主题
联合	已说明 操作指南 如何：将 AD FS 2.0 配置为标识提供者 如何：将 Facebook 配置为标识提供者 如何：将 Google 配置为标识提供者 如何：配置 Yahoo！ 作为标识提供者
身份验证	已说明 登录页与主领域发现 操作指南 如何：使用 ACS 创建我的第一个声明感知 ASP.NET 应用程序 如何：在 ASP.NET Web 应用程序中托管登录页
Authorization	已说明 声明感知 Web 应用程序和服务中的授权 操作指南 如何：使用 WIF 和 ACS 在声明感知 ASP.NET 应用程序中实现声明授权 如何：使用 WIF 和 ACS 在声明感知 ASP.NET 应用程序中实现基于角色访问控制 (RBAC)
令牌流动与转换	已说明 ACS 中支持的令牌格式 规则组和规则 操作指南 如何：使用规则实现令牌转换逻辑
信任管理	已说明 证书和密钥 操作指南 如何：使用 X.509 证书在 ACS 和 ASP.NET Web 应用程序之间配置信任
代码示例	代码示例：ASP.NET 简单窗体 代码示例：ASP.NET 简单 MVC 2

另请参阅

概念

使用 ACS 的方案和解决方案