2.访问控制
AppFabrie访问控制如图4-22所示。
一个依赖于访问控制的应用通常既可以运行在本地平台上,也可以运行在云平台上。首先用户打算通过浏览器访问应用(图4-22中步骤1)。如果应用接受Idp令牌(Token),那么将重新定位浏览器到这个Idp(Identity Providers)。用户使用Idp来进行授权,比如通过输入用户名和密码的方式来进行授权,Idp返回的令牌包含申明信息(步骤2)。接下来用户浏览器发送Idp Token到访问控制中去(步骤3),访问控制验证接受到得Idp Token,然后根据事先定义好的应用规则来创建一个新的Token(步骤4)。访问控制包含了一个规则引擎,允许每个应用管理员定义不同的Idp Token转换到AC(Access Contro)Token方式。比如不同的Idps有不同的定义用户名的方式,访问控制规则可以将这些不同格式的用户名转换成相同格式的用户名字符串。然后,访问控制将AC Token返回到浏览器(步骤5),再由浏览器将这个新的Token发送给应用(步骤6)。一旦应用获得了AC Token,可以验证这个Token并使用其中所包含的声明(步骤7)。
应用接受来自多个Idps发出的身份和常见声明的Token,而不是处理包含不同声明的各种Token,这样就不需要配置应用来使得不同的Idps可信,这些信任关系可以由访问控制维持。
图4-22中,访问控制是为一些Idps(包括AD FS 2.0、Windows Live ID、Google、Yahoo、Facebook等)提供支撑服务器租用的,它同样可以对支持OpenID有效。浏览器和其他客户端可以通过0Auth 2或WS-Trust请求AC Token,AC Token通常有不同的格式,包括SAML 1.1、SAML 2.0和SWT(Simple Web Token)。为了创建应用,Windows开发者使用WIF(Windows Identity Foundation)接受AC Token。 |
在每个分布式应用中,身份都是非常重要的。用户创建的安全应用都是来自于不同提供者的身份,访问控制的目标是为了使创建过程变得简单。通过将访问控制这个服务放到云中,微软可以保证任何平台上的应用都可以使用它。
