Windows Azure: 将应用程序迁移到云的技巧

核心提示：应用程序安全性对于任何组织而言，迁移到云时关注的首要问题就是安全性，Windows Azure: 将应用程序迁移到云的技巧(3)， 大多数公司都已在设计和开发安全模型方面投入了大量的时间、财力和工程资源，因此让它们能够利用现有投资（如身份存储、单一登录解决方案和防火墙）是十分重要的， 它能够完成分析 SAML 2.0

应用程序安全性

对于任何组织而言，迁移到云时关注的首要问题就是安全性。 大多数公司都已在设计和开发安全模型方面投入了大量的时间、财力和工程资源，因此让它们能够利用现有投资（如身份存储、单一登录解决方案和防火墙）是十分重要的。

虽然公司可以采用许多种方式来保护基于云的应用程序，但是一种基于声明的方法已成为越来越流行的模式。

图 2 显示了此过程。 为使应用程序能够处理来自安全令牌服务 (STS) 的安全令牌，必须在 STS 与应用程序之间建立信任关系。

图 2 应用程序上下文中基于声明的标识

将定义符合业务要求（即，哪些用户可登录到应用程序中）的访问控制规则（步骤 1）。 这些规则与 STS 一起存储。 当用户尝试访问应用程序时，他将被重定向到 STS，以便他能够接收到有效令牌（步骤 2）。 该用户向 STS 提供一组输入声明（例如，Live ID 或域帐户）以便进行身份验证。 该用户通过身份验证后，STS 将这些声明映射到一组输出声明（步骤 3）。 在步骤 4 中，输出声明将打包到安全声明标记语言 (SAML) 令牌中，由 STS 签名，并返回给用户，以便转发给应用程序（步骤 5 中的依赖合作伙伴）。 应用程序确认该 SAML 令牌有效且来自可信 STS（步骤 6）。 验证令牌后，应用程序检查令牌中的声明，并发回适当的响应（步骤 7）。 相当简单！ 这种方法的优点是它非常适合用于 ASP.NET 提供程序模型。 使您的 ASP.NET 应用程序变得能感知声明的过程非常简单。

为了让开发人员的工作更轻松，Microsoft 引入了 Windows Identity Foundation (WIF) SDK。 它能够完成分析 SAML 2.0 令牌方面的所有繁重工作，让开发人员能够将精力集中于应用程序上，而不必担心底层安全技术。