预设医护计划 我的医护和我的选择...• 定期检查您的预设医护计划文件。 选择声明书 此文件旨在强调您的意愿、价值观和信仰。它可以帮助那些您身边的人,在您无法为自
5.保护您的互联网应用—Azure权限管理服务
-
Upload
garyyoung -
Category
Technology
-
view
1.132 -
download
7
Transcript of 5.保护您的互联网应用—Azure权限管理服务
1
Azure™ Services Platform
微软云计算平台权限管理服务
杨刚Technical Manager
万锐信息技术服务有限公司Email: [email protected]
MSN: [email protected]
2
Azure™ Services Platform
Microsoft Identity Software + ServicesOne identity model that puts users in control of their identities
“Geneva” Framework
Live Framework
Windows CardSpace “Geneva”
Active Directory
“Geneva” Server
Microsoft Services
Connector
Sof
twar
eS
ervi
ces C
laims-B
ased Access
Live Identity Services
Microsoft Federation Gateway
.Net Access Control Service
主 要 内 容
“ 云”权限管理服务系统概述 请求和发放令牌流程 演示 申请和发放令牌的过程“ 云”权限管理服务结构解析 演示 “ 云”权限管理服务的未来拓展
问题?
不同的互联网应用如何可以进行统一的登陆 & 授权?
目前有多少可行的解决方案?
系统概述
您的应用服务
消息 工作流
权限
管理
您的用户
< 任何身份提供者 >
LiveID 用户
某个域用户 数据
这是谁? 他可以做什么?
网站
基础知识准备安全令牌( Security Token )
安全性令牌表示一组由客户机所作的声明,这可能包括名称、密码、标识、密钥、证书、组和特权等等。
声明 (Claim)安全令牌服务 (Security Token Service)Windows Live ID 服务
“ 云”权限管理服务主要特点
能自动和一系列现有的商用电子身份提供服务和技术进行联合
将您的互联网应用的复杂的权限管理逻辑转换成为一系列的规则 (Rule) 以方便您的使用
能为各种网络服务和网络应用提供服务
目前应用于微软云计算平台的各项互联网应用和服务
应用流程
您的安全令牌服务( 云平台 )
您的互联网应用
2. 发送
身份
及相
关声
明4. 发
送安
全令
牌,
其中
包含
其所
拥有
权限
的声
明
5. 发送包含安全令牌的请求
0. 定期更新证书 / 密钥
您的用户
1. 为您的客户定义一条访问规则
6. 检查令牌中声明的
内容
3. 根据您定义的规则自动生成用户权限的声明
基本组成部分
网站您可以通过访问这个网站来新建和管理访问控制规则
用户 API您可以通过编写程序调用用户 API 来管理访问访问规则
安全令牌服务这个服务运行在云计算平台上,用来发放安全令牌
解决方案的用户资料
通过我们的网站注册您的解决方案权限管理服务在云存储中拥有一个用户信息库
解决方案的用户名 / 密码X509 证书CardSpace v1 自行核发卡片 (Self Issued)
权限管理服务目前还没有成为一个身份提供服务的计划权限管理服务计划在将来使用 Windows Live ID作为用户信息库
被动联盟服务
可以用任何支持 HTTP 重定向的客户端访问例如:各种浏览器
对于您的网络应用将您的用户重定向到微软云平台权限管理服务,然后解析其返回的用户令牌,根据令牌的内容给予其一个 session cookie目前微软云计算平台各个网站都采用了这项技术
权限管理服务如今可以和微软 Windows Live ID 以及 Geneva 服务器进行联盟
我们将很快支持 Federation Gateway 以及跟其他支持被动网络服务联盟协议 (WS-Federation) 的第三方身份提供者的联盟
被动联盟端口
服务地址 + 解决方案名称 + 联盟目标此外还需要查询字串等参数
和 Windows Live ID 联盟的端口:https://accesscontrol.windows.net/passivests/
{solutionName}/LiveFederation.aspx
和 Geneva 服务器联盟的端口:https://accesscontrol.windows.net/passivests/
{solutionName}/Federation.aspx
这两个端口在未来将会合并
主动服务模式
主要为智能客户端或者网络服务提供服务例如基于 WPF或者 WCF 的应用
对于发送请求的程序:在令牌请求中包含所需的声明,然后发送到权限管理服务;在得到请求的回应后将其发到目标网络应用微软云计算平台的 SDK里面有相应例子
采用网络服务信任 (WS-Trust)1.3 进行交互这项技术已经被 WCF 3.5 以及多个 Java栈所支持
主动服务端口
不同的用户私密访问不同的端口服务地址 + 解决方案名称 + 用户私密种类用户名 / 密码访问端口:
https://accesscontrol.windows.net/sts/{solutionName}/username_for_certificate
X509 证书访问端口:https://accesscontrol.windows.net/sts/
{solutionName}/certificate
Card Space 访问端口:https://accesscontrol.windows.net/sts/
{solutionName}/issued_for_certificate
演 示申请和发放令牌的过程
基本架构解析
主要由四个服务组成:安全令牌服务,规则管理服务,规则处理引擎,网站安全令牌服务和规则管理服务提供公共的 API
数据存储
数据模型
规则处理引擎
安全令牌服务网站
规则管理服务
安全令牌服务的结构Security Token Service
Custom Handlers, Authenticators, Policies …
IDFX
SOAP 客户端 HTTP 客户端
互联网
网络服务信任(WS-Trust )
网络服务联盟(WS-Federation)
Security Token Service
Custom Handlers, Authenticators, Policies …
IDFX
安全令牌服务
自定义的认证服务,策略
微软 Geneva框架
微软 WCF 前端
安全令牌服务的存储云
计算
平台
存储
服务
Foo 帐户的容器(Container)
Foo 规则容器 1
范围 (Scopes)集合
范围 1 的指针
范围 2 的指针
范围 N 的指针
范围 1
规则 1
规则 2
Foo 规则容器 N
范围 N
.
.
.
.
.
.
Foo 规则容器 2
范围 2
未来拓展
支持基于 REST 的请求Support for the Federation Gateway用 Windows Live ID 作为用户信息库将安全控制服务部署在微软云计算平台的计算服务中支持完全用户自定义策略
22
总结 外部的认证和授权是解决问题的好办法 .NET Access Control 服务是很强大并且方便的扩展你现有授权模式的方法
试一下
23
Q & A
24
© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED
OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.