今天我们很高兴宣布Windows Azure开发者预览版活动目录。
正如John Shewchuk在他的博客文章Reimagining Active Directory for the Social Enterprise中讨论的,Windows Azure活动目录(AD)是为应用程序开发者、企业和组织提供的一个云身份管理服务。今天,Windows Azure AD已经是Office 365, Dynamics CRM Online和Windows Intune的身份认证系统。现在超过250,000公司和组织使用Windows Azure AD一周几十亿数次认证。通过此开发者预览版我们开始开放Windows Azure AD给第三方并且把他转变成为一个真正的身份识别管理服务。
Windows Azure AD提供给软件开发者一个存储和管理用户身份的用户中心云服务,再加上世界级水平的、安全的和基于标准的认证及认证系统。因为支持.Net、Java和PHP,现在它可用于开发者使用的所有主要设备和平台软件
同样重要的,Windows Azure AD提供给企业和组织他们自己的云目录用来管理访问他们的云应用程序和资源的权限。Windows Azure AD与他们的非云端活动目录的同步和联合扩大了Windows Server云活动目录的优势。
今天的开发者预览版是实现这个愿景的第一步。我们很高兴能够与你们分享我们的成果,我们期待你们的反馈和建议。
Windows Azure AD开发者预览版提供两个新功能以供开发者预览:
- Graph API
- Web单点登录
这个预览版让开发者轻易地访问新的REST API,一个示例应用程序集合,一个获取试用Windows Azure AD租赁和入门所需文档的方法。通过次预览版,你可以创建与Windows Azure AD(提供跨Office 365、你的应用程序和其他集成了活动目录的单点登录体验) 集成的云应用程序。这些应用程序也可以访问到存储在Windows Azure AD的Office 365 用户数据(假设此应用程序拥有IT管理员和/或用户的权限去这么做)。
Graph API
正如John Shewchuk在他的上一篇博客文章中讨论的,Graph API带给企业包含在Windows Azure AD and Office 365(也包括Windows Server AD)中的social graph,也为新的协作应用程序广度创建了一个机会。
在这个预览版,我们发布了以下功能:
- 提供大量API 的Graph API REST接口(和metadata端),从Windows Azure
AD中的读取数据。(想要获得在预览版中可用的数据详细列表,请单击下面的文档) - PowerShell cmdlets,授权一个应用程序访问一个租赁Windows Azure AD权限。
- Odata,支持与Visual Studio和其他的Microsoft技术快速集成。
- 详细代码,演示.Net下如何添加Graph API至你的应用程序。
你可以从这里开始使用Graph API
更多有关Windows Azure AD Graph API 详细信息,轻访问我们的MSDN上有关此主题的页面.
请注意这是一个预览版本。现在的版本和我们官方的版本API和功能当然会有所改变。现在Graph API提供只读功能,同时只有一小部分的Windows Azure AD中数据可用。未来几个月,我们将提供更多更新,如添加更多数据、附加Odata过滤器、基于角色访问控制和对写操作的支持。
Web单点登录
为了支持预览版本的Graph API,我们也发布了Windows Azure AD的SSO功能的预览版。此功能集使得创建云应用程序(提供用户单点登录(SSO)至他们的已加域PC、非云端服务器和其他如Office 365之类云应用程序)变得更容易。通过Windows Azure AD的SSO,企业和组织可以轻松管理用户访问云应用程序权限,而无需额外花费,也不需要繁琐又不得不接收、管理新用户凭据。
对于此预览版本,我们提供以下功能:
- STS metadata端,集成Windows Azure AD至你的应用程序
- 支持WS-Federation协议SAML 2.0
- PowerShell cmdlets,配置一个Windows Azure AD租户使用你的应用程序单点登录
- 详细代码,演示PHP、Java和.Ne下单点登录至你的应用程序功能
未来几个月我们将发布更新,拓宽我们的协议覆盖面,支持用于internet���包括SAML 2.0)的身份认证协议。
你可以通过以下链接访问示例和演示程序。
把他们放一起: Windows Azure AD消费演示应用程序
为了提供一个Windows Azure AD范例,我们为Office 365客户开发了一个消费报告应用程序,使用Web单点登录 和Graph API提供一个无缝登录和管理体验。
当平台提高时此应用程序会更新,所以请随时下载示例应用程序,提供反馈和更新。
入门,参与
你的反馈和参与对我们至关重要,也会帮助我们确保当我们构建Windows Azure AD平台时我们提供正确的功能和正确的开发者体验。
今天我们发布一些很好的资源,帮助你开始使用Windows Azure AD 开发者预览版:
- 有关Graph API平台技术细节,请访问MSDN文章。
- GitHub上的Java、PHP和.Net示例代码。
- 一个建立在Windows Azure 上的示例应用程序,演示了如何使用Azure Active Directory (使用了所有这些技术),可以从GitHub这里下载。
- Vittorio Bertocci的博客文章,深入了解(如何)创建一个集成应用程序的Windows Azure AD。
- Brandon Werner的博客文章,有关Windows Azure AD消费示例应用程序。
所有这些资源(帮助我们)理解如何通过使用新的API访问Windows Azure AD ,了解他们提供的功能,以及如何在你的基于web的应用程序中启用单点登录。
一些我们知道我们还需要继续努力的事
再次申明,这是一个非常早期的预览版,所以你们使用示例应用程序和代码时,你们会碰到一些我们正在努力修复的问题。我想说出他们这样你们就可以(学的)更快。
租户管理员必须使用PowerShell来授权应用程序
在这个预览版本中,我们依靠Microsoft Online Services Module for Windows PowerShell(此预览版更新版)作为管理员启用应用程序与他们的Windows Azure AD租户协同工作的工具。在握们的文档范例中我们已经创建了一个PowerShell脚本来帮助管理员自动完成这些工作的大部分,但是我们都知道这个方法的局限性,同时我们正在努力在将来的版本中提供一个图形认证界面。
基于租户的读者URI变量和它的跨度 :格式
当Windows Azure AD开发者预览版发布SAML 2.0 token for an application时,其中的读者URI包括应用程序的身份识别和租户的身份识别,而不仅仅是应用程序的识别。对于一个基于Windows身份标识基础的应用程序,想要处理这个租户变量读者URI,必须扩展代码到WIF,(这点)在web SSO范例中已提供。另外,读者URI跨度:格式取代了应用程序更为熟悉的URL。我们正在努力简化这个格式在将来的更新中。
示例:
SAML Token没有AuthenticationStatement
预览版发布的SAML 2.0 tokens不包括AuthenticationStatement。一些联邦软件的实现可能需要AuthenticationStatement出现在其中,而且不兼容于预览版本。
我们还远未完成,还有很多事情需要做。你的反馈和建议在帮助我们找出什么是正确的事情中发挥重大作用。我们期待未来几个月我们继续发展Windows Azure AD时能够收到你的消息,同时和你分享其他更新。
Best Regards,
Alex Simons
程序管理总监
活动目录部
本文翻译自: