Windows Azure 安全最佳实践 - 第 6 部分:Azure 服务如何扩展应用程序安全性
多種?Windows Azure服務可以幫助您將應用程序安全性擴展到云。
有三種服務可提供多個提供程序之間的身份標識映射、內部部署數據中心間的連接和相互發送消息的應用程序功能(無論應用程序位于何處)。
·??使用Windows Azure Active Directory,您可以通過位于云中的應用程序的代理身份驗證在應用程序上創建單點登錄應用程序。使用訪問控制服務功能,您可以將來自多個提供程序的標識映射到應用程序可以識別的claims。
·???通過Service Bus,您可以使用安全消息傳遞和中繼功能啟用松散耦合的分布式應用程序。
Windows Azure Active Directory
Windows Azure Active Directory是一種云服務,可對 Windows Azure 和 Microsoft Office 365上的應用程序提供身份認證和訪問功能。Windows Azure Active Directory是一種多租戶云服務,Microsoft Office 365依賴于其身份驗證基礎結構。
Windows Azure Active Directory利用被公認具備企業級質量的 Active Directory的功能,因此您可以輕松將應用程序遷移到云中。您可以使用訪問控制服務 (ACS)(Windows Azure Active Directory的一項功能)啟用單點登錄、安全增強型應用程序以及與現有 Active Directory部署的簡單互操作性。
訪問控制服務
訪問控制服務 (ACS)允許您將點登錄 (SSO) 和集中授權集成到 Web應用程序中。它適用于大多數現代化平臺,并與 Web和企業身份提供程序相集成。
ACS 是一種基于云的服務,它提供了對用戶進行身份驗證和授權以獲取 Web應用程序和服務的訪問權限的一種簡單方式,以及將身份驗證和授權從代碼中分離出來的功能。您可以讓 ACS安排用戶的身份驗證和大部分授權,而不必使用特定于應用程序的用戶帳戶實施身份驗證系統。ACS可以集成基于標準的身份提供程序,包括企業目錄(如 Active Directory)以及 Web身份標識提供商(如 Windows Live ID、Google、Yahoo!和 Facebook)。
訪問控制服務是為使用claim的應用程序制定單點登錄策略的一個關鍵部分。
使用 ACS,可以制定授權決策從應用程序中牽引出來,轉變為一組聲明性規則,以便將傳入的安全claim轉換為應用程序和服務可以識別的claim。通過使用簡單、熟悉的編程模型定義這些規則,使其代碼更為清晰。
在上圖顯示的方案中,最終用戶使用瀏覽器訪問應用程序。瀏覽器接受多個身份提供程序的憑據 -用戶可以使用 Windows Live ID、Google、Yahoo!、Facebook或客戶的 Active Directory登錄應用程序。從身份提供程序獲取token后,ACS將使用您提供的規則轉換token。例如,身份提供程序可以傳遞電子郵件給ACS,您可以將token中的電子郵件更改為名為“electronicmail”的claim(如果需要)。
應用程序依靠 ACS來以應用程序可識別的方式提供claim。
下圖顯示了 Web應用程序各部分間的步驟。Web服務應用程序與此類似。
您的應用程序將顯示為RelyingParty。
?
ACS 可兼容大多數常用的編程和運行時環境,并支持多個協議,包括 Open Authorization (OAuth)、OpenID、WS-Federation和 WS-Trust。
ACS 中提供以下功能:
·?與 Windows Identity Foundation (WIF)集成
·??對常用 Web身份提供程序(包括Windows Live ID、Google、Yahoo和 Facebook)的自帶支持
·??對 Active Directory Federation Services (AD FS) 2.0的自帶支持
·??支持 OAuth 2.0、WS-Trust和 WS-Federation協議
·??支持 SAML 1.1、SAML 2.0和Simple Web Token (SWT)這些token格式
·??允許用戶選擇其身份提供程序的可自定義的集成 Home Realm Discovery
·??基于 Open Data Protocol (OData)的管理服務,可提供對 ACS配置的編程訪問
·??允許對 ACS配置進行管理訪問的基于瀏覽器的管理門戶
ACS 可以兼容幾乎所有現代 Web平臺,包括 .NET、PHP、Python、Java和 Ruby。
訪問控制服務入門
ACS 快速跟蹤 - 入門指南。
訪問控制服務2.0 示例和文檔曾經可通過包含 ACS 2.0 生產版本的代碼示例和文檔的 CodePlex項目獲取, 現在可以直接通過MSDN訪問。
Service Bus
Service Bus 提供安全消息傳遞和中繼功能,以便在云中構建松散耦合的分布式應用程序。這些消息傳遞方案可用于保護在云中客戶端連接到內部部署中運行的應用程序,也可支持 Windows Azure上的端點。
中繼和Brokered消息傳遞。中繼服務可提供多種不同的中繼連接選項,甚至可在可能時幫助協商直接連接。中繼服務支持傳統單向消息傳遞、請求/響應消息傳遞和P2P消息傳遞。它還支持整個 Internet 范圍內的事件分發,并提供發布/訂閱方案和雙向 socket通信來提高點對點效率。不同于中繼消息傳遞方案,brokered消息傳遞可視為異步,或“暫時分離”。生產者(發送者)和消費者(接收者)無需同時在線。
2011 年 9月引入的新功能支持隊列、主題、訂閱等功能,改進了發布/訂閱消息傳遞,從而增強了 Service Bus。此版本在 Windows Azure平臺上還支持以下新方案:
·???異步云事件 -將事件通知分發到偶然連接的客戶端(例如,電話、遠程 worker、網亭等)
·???事件驅動的面向服務的體系結構 (SOA) -構建可隨時間輕松演變的松散耦合系統
·???高級應用程序內部消息傳遞 -負載水平調整和負載平衡,用于構建高可伸縮性和高彈性的應用程序。
Service Bus 中繼消息傳遞
假設您在內部部署客戶數據中心內(或在私有云中)運行應用程序。您可以向用戶暴露應用程序而不將其暴露在云中。云中運行的集中“中繼”服務支持多種不同的傳輸協議和 Web 服務標準,包括SOAP、WS-*和 REST。
使用Service Bus 中繼消息傳遞,您可以創建一個基本 Windows Communication Foundation (WCF) 服務應用程序和一個 WCF客戶端應用程序。前者配置為向 Service Bus注冊發布端點,后者則通過 Service Bus端點進行調用。主機和客戶端應用程序均在 Windows Server或臺式計算機上執行(即,它們未托管在 Windows Azure上),并使用常見標準協議和安全措施來訪問 Service Bus。
有關介紹如何構建使用 Service Bus“中繼”消息傳遞功能的應用程序的教程,請參見Service Bus 中繼消息傳遞教程。
Service Bus Brokered消息傳遞
Service Bus Brokered消息傳遞功能可視為異步或分離的消息傳遞功能,通過 Service Bus 消息傳遞基礎結構為發布-訂閱、暫時分離和負載平衡方案提供支持。解耦的通信具有眾多優勢,例如,可根據需要連接客戶端和服務器,并以異步方式執行操作。
有關如何在 .NET中或使用 REST 實施brokered消息傳遞的教程,請參見Service Bus brokered消息傳遞教程。
Service Bus 入門
請參見:
·???Service Bus 簡介(視頻)
·???Service Bus 入門
·???開發使用Service Bus 的應用程序
·???MSDN上的Service Bus主題
下一篇文章
Windows Azure 安全最佳實踐 - 第 7 部分:提示、工具和編碼最佳實踐。我總結了很多最佳實踐。因此,我介紹了在保護您的Windows Azure應用程序時需要考慮的更多事項。
以下是本系列中的文章的鏈接:
·??Windows Azure 安全最佳實踐 - 第 1 部分:深度解析挑戰防御對策 。
·??Windows Azure 安全最佳實踐 - 第 2 部分:Azure 提供哪些現成可用的安全機制。
·??Windows Azure 安全最佳實踐 - 第 3 部分:確定安全框架。
·??Windows Azure 安全最佳實踐 - 第 4 部分:需要采取的其他措施。
·??Windows Azure 安全最佳實踐 - 第 5 部分:基于Claims的標識,單點登錄。
·??Windows Azure 安全最佳實踐 - 第 7 部分:提示、工具和編碼最佳實踐。
?
?本文翻譯自:
http://blogs.msdn.com/b/usisvde/archive/2012/03/14/windows-azure-security-best-practices-part-6-how-azure-services-extends-your-app-security.aspx
轉載于:https://www.cnblogs.com/sesexxoo/p/6191078.html
總結
以上是生活随笔為你收集整理的Windows Azure 安全最佳实践 - 第 6 部分:Azure 服务如何扩展应用程序安全性的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 51单片机usb烧录电路_STC51单片
- 下一篇: Windows 8.1 新增控件之 Co