你好,游客 登录
背景:
阅读新闻

微软高级程序经理谈Azure访问控制服务

[日期:2009-04-09] 来源:InfoQ  作者:Jean-Jacques 张龙译 [字体: ]

微软的高级程序经理Justin Smith在MIX 09上演示了Azure Access Control Services。ACS主要解决“身份爆炸(identity proliferation)”问题。他说他在网上有300多个用户名。他认为:

人们对重用数字身份的呼声越来越高涨了

他说对于该问题的主要解决方案是:联盟(Federation)、供应(Provisioning)、同步(Synchronization)及授权(Authorization)。ACS是由微软维护的服务,它具体化了联盟用户的授权策略, 同时它也是微软的身份和授权控制服务的一部分。然而,ACS还是个运行在“claims in, claims out”模式下的独立服务。此外,它借助于“Geneva”商标集成了本地(on premise)软件和服务器。Geneva主要面向本地联盟和授权,而ACS最大的区别在于它完全是“可监控”、可伸缩的,并且由微软保证了其正常运 作。ACS只支持Geneva的部分特性。

ACS还是微软云服务的一部分,包括了Windows LiveID和微软的联盟网关。当然我们可以在Azure平台下放置Geneva服务。

ACS项目是由范围(scope)构成的,而范围指定了规则(rule)。规则可以被链接起来。基本上ACS是个宿主的安全令牌服务(STS),这 样它就可以管理签名和密钥了。我们可以通过简单的Web接口建立ACS规则。现在它们就在AtomPub API上发挥着作用,以编程的形式管理着规则。

该服务可以直接集成活动目录与其它身份基础设施,编码量相当小:

ACS支持如下这些凭据:

  • Windows Live IDs
  • X.509证书
  • 传统的用户名与密码
  • Managed card与personal cards

ACS可以处理任意身份。早前微软的技术专家John Shewchuck曾对此做过介绍, 他在一个使用非微软技术(JQuery作为AJAX前端并使用了Python且部署在Google App Engine上)的Web应用中使用了.NET服务。在该演示中,John向大家展现了如何借助于ACS使用Google、Yahoo、Facebook 或LiveID身份完成登录并使用该应用。

最后Justin以5个“极酷的访问控制技巧”作为总结,你可以使用ACS实现这些技巧:

  1. 使用2行代码与朋友共享Facebook/Yahoo上的私有的魔兽争霸页面
  2. 贩卖游戏中的广告空间并转租
  3. 让企业用户可以自动访问我们的基于python的培训应用
  4. 跨越多个应用和角色生成访问控制报告
  5. 对我的朋友们授予权限,让他们的朋友可以访问我们的图片
推荐 打印 | 录入: | 阅读:
相关新闻      
本文评论   
评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款