1. 杨刚
Technical Manager
万锐信息技术服务有限公司
Email: Gyang@Winarray.com
MSN: YG2008@GMail.com
Azure™
Services Platform
1

2. 2

3. Microsoft Identity Software +
Services
One identity model that puts users in control of their identities
Services
Claims-Based Access
Microsoft .Net Access
Live Identity
Federation Control
Services
Gateway Service
Software
Microsoft
“Geneva”
Windows
Services
“Geneva” Live
Server
CardSpace
Connector
Framework Framework
“Geneva”
Active Directory

4. 主要内容
“云”权限管理服务系统概述
请求和发放令牌流程
演示 申请和发放令牌的过程
“云”权限管理服务结构解析
演示
“云”权限管理服务的未来拓展

5. 问题？
不同的互联网应用如何可以进行统一的登陆&授权？
目前有多少可行的解决方案？

6. 系统概述
这是谁？ 他可以做什么？
<任何身份提供
工作
消息
者>
流
权限管理
LiveID 用户
数据
网站
某个域用户
您的用户 您的应用服务

7. 基础知识准备
安全令牌（Security Token）
安全性令牌表示一组由客户机所作的声明，这可能包括名称、密码、
标识、密钥、证书、组和特权等等。
声明 (Claim)
安全令牌服务 (Security Token Service)
Windows Live ID 服务

8. “云”权限管理服务主要特点
能自动和一系列现有的商用电子身份提供服务和
技术进行联合
将您的互联网应用的复杂的权限管理逻辑转换成
为一系列的规则(Rule)以方便您的使用
能为各种网络服务和网络应用提供服务
目前应用于微软云计算平台的各项互联网应用和
服务

9. 应用流程 3. 根据您定义的
规则自动生成用
户权限的声明
1. 为您的客户定义一条
访问规则
您的安全令牌服务
(云平台)
6. 检查令 0. 定期更新证
书/密钥
牌中声明的
内容
您的互联网
5. 发送包含安全令牌的请求
应用 您的用户

10. 基本组成部分
网站
您可以通过访问这个网站来新建和管理访问控制规则
用户API
您可以通过编写程序调用用户API来管理访问访问规则
安全令牌服务
这个服务运行在云计算平台上，用来发放安全令牌

11. 解决方案的用户资料
通过我们的网站注册您的解决方案
权限管理服务在云存储中拥有一个用户信息库
解决方案的用户名/密码
X509证书
CardSpace v1 自行核发卡片(Self Issued)
权限管理服务目前还没有成为一个身份提供服务的
计划
权限管理服务计划在将来使用Windows Live ID作
为用户信息库

12. 被动联盟服务
可以用任何支持HTTP重定向的客户端访问
例如：各种浏览器
对于您的网络应用
将您的用户重定向到微软云平台权限管理服务，然后解析
其返回的用户令牌，根据令牌的内容给予其一个session
cookie
目前微软云计算平台各个网站都采用了这项技术
权限管理服务如今可以和微软Windows Live ID 以
及Geneva服务器进行联盟
我们将很快支持Federation Gateway以及跟其他支持被动
网络服务联盟协议(WS-Federation)的第三方身份提供者
的联盟

13. 被动联盟端口
服务地址+解决方案名称+联盟目标
此外还需要查询字串等参数
和Windows Live ID联盟的端口：
https://accesscontrol.windows.net/passivests/{solutionNam
e}/LiveFederation.aspx
和Geneva服务器联盟的端口：
https://accesscontrol.windows.net/passivests/{solutionNam
e}/Federation.aspx
这两个端口在未来将会合并

14. 主动服务模式
主要为智能客户端或者网络服务提供服务
例如基于WPF或者WCF的应用
对于发送请求的程序：
在令牌请求中包含所需的声明，然后发送到权限管理服务；
在得到请求的回应后将其发到目标网络应用
微软云计算平台的SDK里面有相应例子
采用网络服务信任 (WS-Trust)1.3进行交互
这项技术已经被WCF 3.5以及多个Java栈所支持

15. 主动服务端口
不同的用户私密访问不同的端口
服务地址+解决方案名称+用户私密种类
用户名/密码访问端口：
https://accesscontrol.windows.net/sts/{solutionName}/usern
ame_for_certificate
X509证书访问端口：
https://accesscontrol.windows.net/sts/{solutionName}/certifi
cate
Card Space访问端口：
https://accesscontrol.windows.net/sts/{solutionName}/issue
d_for_certificate

16. 申请和发放令牌的过程

17. 基本架构解析
主要由四个服务组成：安全令牌服务，规则管理
服务，规则处理引擎，网站
安全令牌服务和规则管理服务提供公共的API
网站
安全令牌服务
数据
规则管理服务 模型
规则处理引擎
数据存储

18. 安全令牌服务的结构
Security Token Service
安全令牌服务
Security Token Service
自定义的认证服务，策略
Custom Handlers, Authenticators, Policies …
Custom Handlers, Authenticators, Policies …
IDFX
微软Geneva框架
IDFX
微软WCF前端
网络服务信任 网络服务联盟
(WS-Trust ) (WS-Federation)
互联网
SOAP 客户端 HTTP 客户端

19. 安全令牌服务的存储
规则 1
规则 2
云计算平台存储服务
范围 1 的指针 范围 1
Foo 规则容器 1
范围 2 的指针
.
.
.
范围 2
范围 N 的指针
范围(Scopes)集 Foo 规则容器 2
合 .
.
Foo 帐户的容器 .
(Container)
范围 N
Foo 规则容器 N

20. 未来拓展
支持基于REST的请求
Support for the Federation Gateway
用Windows Live ID作为用户信息库
将安全控制服务部署在微软云计算平台的计算服
务中
支持完全用户自定义策略

21. 总结
外部的认证和授权是解决问题的好办法

 .NET Access Control 服务是很强大并且方便
的扩展你现有授权模式的方法
 试一下
22

22. 23

23. © 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should
not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS,
IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
24