ACS 难题 - SSO、标识流和授权
更新时间:2015 年 6 月 19 日
适用于:Azure
总结
本主题概述与分布式云应用程序中的单一登录 (SSO)、标识流和授权相关的常见难题和解决方法。
方案
考虑将以下示意图用于分布式应用程序的典型方案。
以下是此典型方案的主要特征。
.gif "ACS - challenge")
最终用户可以拥有由行业标识提供者管理的现有标识,例如Windows Live ID (Microsoft 帐户) 、Google、Yahoo!、Facebook 或企业 Active Directory。
最终用户与系统交互,这些系统需要通过 Web 浏览器或富客户端进行身份验证和授权。
最终用户与系统交互,这些系统需要通过在桌面、智能电话上或浏览器内运行的丰富客户端(如 Silverlight 或 JavaScript)进行身份验证和授权。
Web 应用程序可与需要进行身份验证和授权的下游 Web 服务交互。
挑战
有多种与此方案相关的常见安全难题。 考虑以下情况:
如何外部化 Web 应用程序的身份验证?
如何外部化 Web 服务的身份验证?
如何将 Internet 凭据用于不同的应用程序?
如何将企业凭据用于不同的应用程序?
如何让安全上下文流经多个物理层?
如何转换用户标识以进行更加细化的、基于声明的授权?
如何实现与其他方的互操作?
如何保护通信的安全?
如何自动进行管理?
解决方法
Microsoft Azure Active Directory 访问控制 (也称为访问控制服务或 ACS) 为这些挑战提供了解决方案。 使用开放标准和协议,例如 WS 联合身份验证、WS 信任、SAML、OAuth 2.0 和 SWT ACS,用户可以构建云和本地应用程序,这些应用程序可以按照以下所述安全地与多个标识提供者互操作:
.gif "ACS-solution")
若要详细了解 ACS 体系结构和关键组件,请参阅 ACS 体系结构。