MIX 09：Justin Smith谈Azure Access Control Services

微软的高级程序经理Justin Smith在MIX 09上演示了Azure Access Control Services。ACS主要解决“身份爆炸（identity proliferation）”问题。他说他在网上有300多个用户名。他认为：

人们对重用数字身份的呼声越来越高涨了

他说对于该问题的主要解决方案是：联盟（Federation）、供应（Provisioning）、同步（Synchronization）及授权（Authorization）。ACS是由微软维护的服务，它具体化了联盟用户的授权策略，同时它也是微软的身份和授权控制服务的一部分。然而，ACS还是个运行在“claims in, claims out”模式下的独立服务。此外，它借助于“Geneva”商标集成了本地（on premise）软件和服务器。Geneva主要面向本地联盟和授权，而ACS最大的区别在于它完全是“可监控”、可伸缩的，并且由微软保证了其正常运作。ACS只支持Geneva的部分特性。

ACS还是微软云服务的一部分，包括了Windows LiveID和微软的联盟网关。当然我们可以在Azure平台下放置Geneva服务。

ACS项目是由范围（scope）构成的，而范围指定了规则（rule）。规则可以被链接起来。基本上ACS是个宿主的安全令牌服务（STS），这样它就可以管理签名和密钥了。我们可以通过简单的Web接口建立ACS规则。现在它们就在AtomPub API上发挥着作用，以编程的形式管理着规则。

该服务可以直接集成活动目录与其它身份基础设施，编码量相当小：

ACS支持如下这些凭据：

• Windows Live IDs
• X.509证书
• 传统的用户名与密码
• Managed card与personal cards

ACS可以处理任意身份。早前微软的技术专家John Shewchuck曾对此做过介绍，他在一个使用非微软技术（JQuery作为AJAX前端并使用了Python且部署在Google App Engine上）的Web应用中使用了.NET服务。在该演示中，John向大家展现了如何借助于ACS使用Google、Yahoo、Facebook或LiveID身份完成登录并使用该应用。

最后Justin以5个“极酷的访问控制技巧”作为总结，你可以使用ACS实现这些技巧：

1. 使用2行代码与朋友共享Facebook/Yahoo上的私有的魔兽争霸页面
2. 贩卖游戏中的广告空间并转租
3. 让企业用户可以自动访问我们的基于python的培训应用
4. 跨越多个应用和角色生成访问控制报告
5. 对我的朋友们授予权限，让他们的朋友可以访问我们的图片

查看英文原文：MIX 09: Justin Smith on Azure Access Control Services