Your SlideShare is downloading. ×
5.保护您的互联网应用—Azure权限管理服务
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

5.保护您的互联网应用—Azure权限管理服务

1,098
views

Published on

Published in: Technology, Business

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,098
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Slide objectives:Introduce yourselfIntroduce briefly the topicSpeaking Points: Your usual intro
  • Slide objectives:Remind to the audience which area of the Azure offering we are tacklingProvide a sense of continuity in respect to other sessionsSpeaking Points: By now you are surely very familiar with this picture, however it is always usefulto make sure we know where we stand in the context of our Azure Services platform offering
  • Slide objectives:Show that the AC service is part of a comprehensive, cross-company strategy for identity managementIntroduce the names of neighboring technologies that will later be useful for taking advantage of the AC serviceSpeaking Points: Another taxonomy in which we find the AC service is the one associated to the company wide strategy that Microsoft maintains about identity…
  • Web Service 安全性提供了使安全性令牌与消息相关联从而进行单个消息认证的通用机制。Web Service 安全性不需要特定类型的安全性令牌。Web Service 安全性旨在提供可扩展性并支持多种安全性令牌格式,以适应多种认证机制。例如,客户机可以提供对标识和特定业务证书的证明。安全性令牌嵌入在 SOAP 头的 SOAP 消息中。SOAP 头中的安全性令牌从消息发送方传播到期望的消息接收方。Windows Live ID 是 Windows Live ID 服务进行的一组声明这些声明可以是单独的用户、组织、设备和服务大多数声明将基于帐户(服务代表其用户维护这些帐户)中存储的信息,其声明方式与过去 Password 的工作方式很类似该服务还将依赖于其他联合身份提供方所颁发的声明
  • Slide objectives:… Reinforce the externalization idea and remind the audience of why and how to sue the access cotnrolservice
  • Transcript

    • 1. 杨刚 Technical Manager 万锐信息技术服务有限公司 Email: Gyang@Winarray.com MSN: YG2008@GMail.com Azure™ Services Platform 1
    • 2. 2
    • 3. Microsoft Identity Software + Services One identity model that puts users in control of their identities Services Claims-Based Access Microsoft .Net Access Live Identity Federation Control Services Gateway Service Software Microsoft “Geneva” Windows Services “Geneva” Live Server CardSpace Connector Framework Framework “Geneva” Active Directory
    • 4. 主要内容 “云”权限管理服务系统概述 请求和发放令牌流程 演示 申请和发放令牌的过程 “云”权限管理服务结构解析 演示 “云”权限管理服务的未来拓展
    • 5. 问题? 不同的互联网应用如何可以进行统一的登陆&授权? 目前有多少可行的解决方案?
    • 6. 系统概述 这是谁? 他可以做什么? <任何身份提供 工作 消息 者> 流 权限管理 LiveID 用户 数据 网站 某个域用户 您的用户 您的应用服务
    • 7. 基础知识准备 安全令牌(Security Token) 安全性令牌表示一组由客户机所作的声明,这可能包括名称、密码、 标识、密钥、证书、组和特权等等。 声明 (Claim) 安全令牌服务 (Security Token Service) Windows Live ID 服务
    • 8. “云”权限管理服务主要特点 能自动和一系列现有的商用电子身份提供服务和 技术进行联合 将您的互联网应用的复杂的权限管理逻辑转换成 为一系列的规则(Rule)以方便您的使用 能为各种网络服务和网络应用提供服务 目前应用于微软云计算平台的各项互联网应用和 服务
    • 9. 应用流程 3. 根据您定义的 规则自动生成用 户权限的声明 1. 为您的客户定义一条 访问规则 您的安全令牌服务 (云平台) 6. 检查令 0. 定期更新证 书/密钥 牌中声明的 内容 您的互联网 5. 发送包含安全令牌的请求 应用 您的用户
    • 10. 基本组成部分 网站 您可以通过访问这个网站来新建和管理访问控制规则 用户API 您可以通过编写程序调用用户API来管理访问访问规则 安全令牌服务 这个服务运行在云计算平台上,用来发放安全令牌
    • 11. 解决方案的用户资料 通过我们的网站注册您的解决方案 权限管理服务在云存储中拥有一个用户信息库 解决方案的用户名/密码 X509证书 CardSpace v1 自行核发卡片(Self Issued) 权限管理服务目前还没有成为一个身份提供服务的 计划 权限管理服务计划在将来使用Windows Live ID作 为用户信息库
    • 12. 被动联盟服务 可以用任何支持HTTP重定向的客户端访问 例如:各种浏览器 对于您的网络应用 将您的用户重定向到微软云平台权限管理服务,然后解析 其返回的用户令牌,根据令牌的内容给予其一个session cookie 目前微软云计算平台各个网站都采用了这项技术 权限管理服务如今可以和微软Windows Live ID 以 及Geneva服务器进行联盟 我们将很快支持Federation Gateway以及跟其他支持被动 网络服务联盟协议(WS-Federation)的第三方身份提供者 的联盟
    • 13. 被动联盟端口 服务地址+解决方案名称+联盟目标 此外还需要查询字串等参数 和Windows Live ID联盟的端口: https://accesscontrol.windows.net/passivests/{solutionNam e}/LiveFederation.aspx 和Geneva服务器联盟的端口: https://accesscontrol.windows.net/passivests/{solutionNam e}/Federation.aspx 这两个端口在未来将会合并
    • 14. 主动服务模式 主要为智能客户端或者网络服务提供服务 例如基于WPF或者WCF的应用 对于发送请求的程序: 在令牌请求中包含所需的声明,然后发送到权限管理服务; 在得到请求的回应后将其发到目标网络应用 微软云计算平台的SDK里面有相应例子 采用网络服务信任 (WS-Trust)1.3进行交互 这项技术已经被WCF 3.5以及多个Java栈所支持
    • 15. 主动服务端口 不同的用户私密访问不同的端口 服务地址+解决方案名称+用户私密种类 用户名/密码访问端口: https://accesscontrol.windows.net/sts/{solutionName}/usern ame_for_certificate X509证书访问端口: https://accesscontrol.windows.net/sts/{solutionName}/certifi cate Card Space访问端口: https://accesscontrol.windows.net/sts/{solutionName}/issue d_for_certificate
    • 16. 申请和发放令牌的过程
    • 17. 基本架构解析 主要由四个服务组成:安全令牌服务,规则管理 服务,规则处理引擎,网站 安全令牌服务和规则管理服务提供公共的API 网站 安全令牌服务 数据 规则管理服务 模型 规则处理引擎 数据存储
    • 18. 安全令牌服务的结构 Security Token Service 安全令牌服务 Security Token Service 自定义的认证服务,策略 Custom Handlers, Authenticators, Policies … Custom Handlers, Authenticators, Policies … IDFX 微软Geneva框架 IDFX 微软WCF前端 网络服务信任 网络服务联盟 (WS-Trust ) (WS-Federation) 互联网 SOAP 客户端 HTTP 客户端
    • 19. 安全令牌服务的存储 规则 1 规则 2 云计算平台存储服务 范围 1 的指针 范围 1 Foo 规则容器 1 范围 2 的指针 . . . 范围 2 范围 N 的指针 范围(Scopes)集 Foo 规则容器 2 合 . . Foo 帐户的容器 . (Container) 范围 N Foo 规则容器 N
    • 20. 未来拓展 支持基于REST的请求 Support for the Federation Gateway 用Windows Live ID作为用户信息库 将安全控制服务部署在微软云计算平台的计算服 务中 支持完全用户自定义策略
    • 21. 总结 外部的认证和授权是解决问题的好办法   .NET Access Control 服务是很强大并且方便 的扩展你现有授权模式的方法  试一下 22
    • 22. 23
    • 23. © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. 24