Access Control Service V2
Il 7 aprile è stata rilasciata la nuova versione di Access Control Service. La versione 2 è stata disponibile nella “sezione” labs di Windows Azure AppFabric per qualche mese e, con grande attesa, è stata appena resa pubblica.
Il portale si è aggiornato di conseguenza. Occhio che sui Namespace già creati viene ancora utilizzato ACS v1: questo il motivo per cui non si vedono le nuove caratteristiche (i forum sono pieni di questa “domanda”).
Le novità, che riporto direttamente dalla documentazione ufficiale, sono:
Federation provider and Security Token Service
· Out of box federation with Active Directory Federation Services 2.0, Windows Live ID, Google, Yahoo, Facebook
New authorization scenarios
· Delegation using OAuth 2.0
Improved developer experience
· New web-based management portal
· Fully programmatic management using OData
· Works with Windows Identity Foundation
Additional protocol support
· WS-Federation, WS-Trust, OpenID 2.0, OAuth 2.0 (Draft 13)
Il nuovo portale, interamente fatto in Silverlight si presenta così:
Dalla home è possibile creare un nuovo Namespace (si è perso il termine Service Namespace).
Le informazioni richieste sono identiche alla versione precedente, anche se è possibile scegliere di creare un namespace per Service Bus, Access Control Service o entrambi
Qualche secondo di attesa e il nuovo Namespace sarà pronto. Come si nota dalla figura sotto, ogni namespace è associato ad una versione di ACS.
Una volta creato il namespace si può iniziare ad utilizzare il nuovo configuratore di ACS, accessibile tramite il pulsante con il “cubo” verde in alto nella toolbar.
Tale pulsante non è disponibile per la versione 1 di ACS dove sono invece ancora presenti i Management Endpoint, i Management STS Endpoint e ovviamente le Management Keys.
Cliccando sul pulsante “Access Control Service” accediamo al nuovo portale di gestione del namespace. L’url utilizzato è https://namespace.accesscontrol.windows.net/v2/mgmt/web
La prima operazione da fare è configurare gli Identity Provider da utilizzare per meccanismi di SSO o per identity federation:
come si nota, premendo Add sono disponibili i nuovi identity provider citati dalla documentazione ufficiale che ho riportato all’inizio del post:
E’ possibile aggiungere Facebook ad esempio fornendo l’application id e la “chiave” utilizzati sul portale di Facebook per la creazione dell’applicazione relativa:
Oppure scegliere ad esempio Google per agganciare la relativa identity provider.
Si passa poi all’inserimento dei dati del Relying Party:
Il form è lunghetto: questa la seconda parte che richiede la selezione degli identity provider da utilizzare con questa nuova Relying Party:
Si possono poi aggiungere le regole con cui mappare i claim di input in claim di output.
Tutte queste operazioni era necessario farle con uno strumento console nella versione precedente. Per ogni Rule Group si accangiano le regole in base agli identity provider:
Per ciascuna regola è possibile definire tutte le informazioni relative cliccando sulla regola stessa:
Nella sezione Certificates and Keys si gestiscono i certificati:
Ed è ovviamente possibile aggiungere nuove identity direttamente sul servizio ACS senza passare da un identity provider.
Ad esempio nella figura seguente sto aggiungendo una identity per Roberto con una chiave fittizia:
Alla prossima per maggiori dettagli.