1

Azure™ Services Platform

微软云计算平台权限管理服务

杨刚Technical Manager

万锐信息技术服务有限公司Email: Gyang@Winarray.com

MSN: YG2008@GMail.com

2

Azure™ Services Platform

Microsoft Identity Software + ServicesOne identity model that puts users in control of their identities

“Geneva” Framework

Live Framework

Windows CardSpace “Geneva”

Active Directory

“Geneva” Server

Microsoft Services

Connector

Sof

twar

eS

ervi

ces C

laims-B

ased Access

Live Identity Services

Microsoft Federation Gateway

.Net Access Control Service

主 要 内 容

“ 云”权限管理服务系统概述 请求和发放令牌流程 演示 申请和发放令牌的过程“ 云”权限管理服务结构解析 演示 “ 云”权限管理服务的未来拓展

问题？

不同的互联网应用如何可以进行统一的登陆 & 授权？

目前有多少可行的解决方案？

系统概述

您的应用服务

消息 工作流

权限

管理

您的用户

< 任何身份提供者 >

LiveID 用户

某个域用户 数据

这是谁？ 他可以做什么？

网站

基础知识准备安全令牌（ Security Token ）

安全性令牌表示一组由客户机所作的声明，这可能包括名称、密码、标识、密钥、证书、组和特权等等。

声明 (Claim)安全令牌服务 (Security Token Service)Windows Live ID 服务

“ 云”权限管理服务主要特点

能自动和一系列现有的商用电子身份提供服务和技术进行联合

将您的互联网应用的复杂的权限管理逻辑转换成为一系列的规则 (Rule) 以方便您的使用

能为各种网络服务和网络应用提供服务

目前应用于微软云计算平台的各项互联网应用和服务

应用流程

您的安全令牌服务( 云平台 )

您的互联网应用

2. 发送

身份

及相

关声

明4. 发

送安

全令

牌，

其中

包含

其所

拥有

权限

的声

明

5. 发送包含安全令牌的请求

0. 定期更新证书 / 密钥

您的用户

1. 为您的客户定义一条访问规则

6. 检查令牌中声明的

内容

3. 根据您定义的规则自动生成用户权限的声明

基本组成部分

网站您可以通过访问这个网站来新建和管理访问控制规则

用户 API您可以通过编写程序调用用户 API 来管理访问访问规则

安全令牌服务这个服务运行在云计算平台上，用来发放安全令牌

解决方案的用户资料

通过我们的网站注册您的解决方案权限管理服务在云存储中拥有一个用户信息库

解决方案的用户名 / 密码X509 证书CardSpace v1 自行核发卡片 (Self Issued)

权限管理服务目前还没有成为一个身份提供服务的计划权限管理服务计划在将来使用 Windows Live ID作为用户信息库

被动联盟服务

可以用任何支持 HTTP 重定向的客户端访问例如：各种浏览器

对于您的网络应用将您的用户重定向到微软云平台权限管理服务，然后解析其返回的用户令牌，根据令牌的内容给予其一个 session cookie目前微软云计算平台各个网站都采用了这项技术

权限管理服务如今可以和微软 Windows Live ID 以及 Geneva 服务器进行联盟

我们将很快支持 Federation Gateway 以及跟其他支持被动网络服务联盟协议 (WS-Federation) 的第三方身份提供者的联盟

被动联盟端口

服务地址 + 解决方案名称 + 联盟目标此外还需要查询字串等参数

和 Windows Live ID 联盟的端口：https://accesscontrol.windows.net/passivests/

{solutionName}/LiveFederation.aspx

和 Geneva 服务器联盟的端口：https://accesscontrol.windows.net/passivests/

{solutionName}/Federation.aspx

这两个端口在未来将会合并

主动服务模式

主要为智能客户端或者网络服务提供服务例如基于 WPF或者 WCF 的应用

对于发送请求的程序：在令牌请求中包含所需的声明，然后发送到权限管理服务；在得到请求的回应后将其发到目标网络应用微软云计算平台的 SDK里面有相应例子

采用网络服务信任 (WS-Trust)1.3 进行交互这项技术已经被 WCF 3.5 以及多个 Java栈所支持

主动服务端口

不同的用户私密访问不同的端口服务地址 + 解决方案名称 + 用户私密种类用户名 / 密码访问端口：

https://accesscontrol.windows.net/sts/{solutionName}/username_for_certificate

X509 证书访问端口：https://accesscontrol.windows.net/sts/

{solutionName}/certificate

Card Space 访问端口：https://accesscontrol.windows.net/sts/

{solutionName}/issued_for_certificate

演 示申请和发放令牌的过程

基本架构解析

主要由四个服务组成：安全令牌服务，规则管理服务，规则处理引擎，网站安全令牌服务和规则管理服务提供公共的 API

数据存储

数据模型

规则处理引擎

安全令牌服务网站

规则管理服务

安全令牌服务的结构Security Token Service

Custom Handlers, Authenticators, Policies …

IDFX

SOAP 客户端 HTTP 客户端

互联网

网络服务信任(WS-Trust )

网络服务联盟(WS-Federation)

Security Token Service

Custom Handlers, Authenticators, Policies …

IDFX

安全令牌服务

自定义的认证服务，策略

微软 Geneva框架

微软 WCF 前端

安全令牌服务的存储云

计算

平台

存储

服务

Foo 帐户的容器(Container)

Foo 规则容器 1

范围 (Scopes)集合

范围 1 的指针

范围 2 的指针

范围 N 的指针

范围 1

规则 1

规则 2

Foo 规则容器 N

范围 N

.

.

.

.

.

.

Foo 规则容器 2

范围 2

未来拓展

支持基于 REST 的请求Support for the Federation Gateway用 Windows Live ID 作为用户信息库将安全控制服务部署在微软云计算平台的计算服务中支持完全用户自定义策略

22

总结 外部的认证和授权是解决问题的好办法 .NET Access Control 服务是很强大并且方便的扩展你现有授权模式的方法

试一下

23

Q & A

24

© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED

OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.