Windows Azure Access Control Service

Single Sign On in der Cloud

Funktionsweise des Access Control Service

Hier setzt Access Control Service an: Er steht als zentraler Authentifizierungsmechanismus für Anwendungen in Windows Azure zur Verfügung. Als Format für die Tokens unterstützt ACS die Standards SAML 1.1, SAML 2.0 und Simple Web Token (SWT) - also alle wichtigen Standards in diesem Bereich. Setzen Sie mehrere Provider zur Authentifizierung ein, vertraut die Anwendung normalerweise einem einzelnen speziellen Authentifizierungsdienst. Der vertraut dann wiederum den verschiedenen Anbietern für die Authentifizierungsdienste. Der Vorteil bei dieser Lösung ist, dass die Anwendung in der Cloud immer nur einem Authentifizierungsdienst vertrauen muss, der seine Authentifizierungsdaten von verschiedenen Providern erhalten kann.

Melden sich Anwender an einem der Provider an, erhalten sie ein Token. Das erhält jetzt aber nicht die Anwendung, mit welcher der Anwender arbeiten will, sondern der Authentifizierungsdienst, dem die Anwendung vertraut, in diesem Fall also Access Control Service. Von ACS erhält der Anwender ein neues Token, mit dem er sich schließlich an der Anwendung anmeldet. Auf diese Weise ist die Cloud-Anwendung komplett von komplexen Anmeldungstechniken entlastet, und der Authentifizierungsdienst verbindet sich mit den verschiedenen Authentifizierungsanbietern. Genau das ist die Aufgabe von Windows Azure Access Control Service: Er unterstützt verschiedene Anbieter und Typen und stellt für jeden einen eigenen Enddienst zur Verfügung.

Kontrolle: Windows Azure Access Control Service mit dem Access Control Service Management Browser verwalten.
Kontrolle: Windows Azure Access Control Service mit dem Access Control Service Management Browser verwalten.

Anwender melden sich an ihrem jeweiligen Authentifizierungsanbieter an und erhalten von Access Control Service ein gültiges Token für die Cloud-Anwendung. Der Vorteil von Access Control Service ist, dass er ebenfalls in der Cloud läuft. Das heißt, Unternehmen müssen keinen Server für die Authentifizierung hosten und verwalten, sondern lediglich Access Control Service (ACS) mitbuchen und die Authentifizierung in die Anwendung integrieren. Für die Verwaltung des eigenen Namensraums im Browser-Verwaltungs-Tool benötigen Sie den Management Key, den Sie im AppFabric-Portal erstellen und anzeigen können. Außerdem sehen Sie in der Weboberfläche auch die Endpunkte des Access Control Service. Diese beiden Daten geben Sie beim Starten des Access Control Service Management Browsers ein, um sich am Webdienst zu authentifizieren.