Azure访问控制服务(ACS)与认证
Microsoft Azure访问控制服务
Microsoft Azure访问控制服务(ACS)提供了一种简单的身份验证(身份)方法,以及授权用户(访问控制)使用流行的基于Web的身份提供程序(如Microsoft帐户(以前称为Windows Live))访问应用程序和服务ID),Facebook,Yahoo!,Google和WS-Federation身份提供商。ACS消除了每个社交身份提供商将自定义授权代码写入应用程序的需要。它还提供了一个授权存储,可以通过编程方式访问,也可以通过管理门户访问。
ACS支持以下标准:
- AD FS 2.0
- OAuth 2.0(草案10)
- WS-信托
- WS-Federation协议
- SAML 1.1和2.0
- 简单Web令牌(SWT)和Json Web令牌(JWT)令牌格式
- 集成和可自定义的Home Realm Discovery,允许用户选择其身份提供商
- 基于开放数据协议(OData)的管理服务,提供对ACS配置的编程访问
ACS和SCS认证信任
SharePoint和SharePoint Online之间的S2S身份验证信任
S2S身份验证信任是SharePoint混合功能(如混合搜索)的重要先决条件,它需要SharePoint本地服务器与SharePoint Online之间的通信。实质上,您正在创建一个高信任的授权系统,该系统在SharePoint内部部署和SharePoint Online之间创建,以适应服务器间通信。
实施S2S身份验证信任后,SharePoint内部部署人员可以在SharePoint Online中请求资源。该请求将与本地用户的用户主体名称(UPN)一起在线发送到SharePoint。然后,使用UPN在SharePoint Online用户配置文件存储中查找用户的标识。如果找到匹配,则在云中重新生成(或称为“再水合”)用户身份并用于对搜索结果执行安全修整。
需要为SharePoint验证以下用户属性以查找用户的UPN,然后在用户身份重新生成过程中成功执行匹配:
- 用户主要名称(UPN)
- 简单邮件传输协议(SMTP)地址
- 名称标识符 - 例如Windows安全标识符(SID)
- 会话发起协议(SIP)地址
手动配置S2S信任
手动配置S2S信任涉及以下步骤:
- 创建新的自签名或公共CA颁发的X.509证书作为新的STS令牌签名证书。可以使用默认的服务器场STS证书,但最常见的做法是配置新证书。
- 替换所有SharePoint本地服务器上的STS令牌签名证书。
- 在SharePoint本地服务器上,安装以下内容:
- Microsoft Online Services登录助手
- 适用于Windows PowerShell的Azure Active Directory模块
- SharePoint Online Management Shell
- 在本地SharePoint场和SharePoint Online之间建立信任。
- 将新创建的STS证书上载到SharePoint Online。
- 将服务主体名称(SPN)添加到Azure以用于本地域。
例如,00000003-0000-0ff1-ce00-000000000000“/ * .contsoso.com。SharePoint Online应用程序主体ID始终为00000003-0000-0ff1-ce00-000000000000。
- 在SharePoint内部部署中将SharePoint Online应用程序主体对象ID注册为受信任的提供程序。
- 在内部部署SharePoint Server场和SharePoint Online之间配置通用身份验证领域。
- 在本地配置Azure ACS应用程序代理。
来源:oschina
链接:https://my.oschina.net/u/4389867/blog/3216256