Azure AD（一）入門認識

一，引言（吹水）

　　距離上一次介紹Azure Functions的相關博文以及過時快一個月了，原本早早都想好已經規劃好的Azure的相關的學習的路線，無奈仍是因爲本身文筆很差以及自身太懶，致使博文沒有更新😂。好了，廢話也很少說，開始今天的分享！！！

二，正文

什麼是Microsoft 表示平臺？

　　今天分享的主題叫 「Azure AD」，全稱爲 「Azure Active Directory」 Azure 活動目錄，是否是聽起來很拗口，微軟官方文檔解釋到，其實在Azure上的提供的雲端的身份表示和資源訪問服務，能夠幫助員工登陸以及訪問如下位置的資源：

• 外部資源，例如 Microsoft Office 36五、Azure 門戶以及成千上萬的其餘 SaaS 應用程序。

• 內部資源，例如公司網絡和 Intranet 上的應用，以及由本身的組織開發的任何雲應用。

　　對應開發人員來說，按照這些理解，咱們大概瞭解到 Azure AD 實際上是微軟基於雲的表示和受權訪問管理服務，它能夠幫助咱們在Azure中登陸和訪問資源。咱們能夠經過Azure的標識平臺生成應用程序，採用微軟表示登陸，以及獲取令牌來調用受保護的API資源，這裏是否是 有點和Identity Server 4 相似，沒錯，這一切功能也是基於包含Oauth 2.0和Open ID Connect的身份驗證服務。😎😎😎😎😎😎

實現標識平臺，Azure AD 所支持的項目類型

　　

 

 

 　　以上，是引用微軟關於 Azure AD介紹的所支持的全部類型的身份認證平臺

微軟標識平臺的發展

　　微軟標識平臺由 Azure AD 開發人員平臺演變而來。 藉助該平臺，開發人員能夠生成登陸用戶的應用程序，以及獲取令牌調用 API，例如 Microsoft Graph 或受保護的API資源。 它包含身份驗證服務、開源庫、應用程序註冊和配置等等和其餘開放人員內容。 微軟 標識平臺支持行業標準協議，例如 OAuth 2.0 和 OpenID Connect。

　　藉助微軟統一標識平臺 (v2.0)，能夠一次性編寫代碼，而後將任何微軟標識身份驗證到應用程序。 對於多個平臺，標識平臺終結點使用徹底受支持的開源 Microsoft 身份驗證庫 (MSAL)。 MSAL 易於使用，爲用戶提供出色的單一登陸 (SSO) 體驗，幫助咱們實現高可靠性和性能，採用 微軟 安全開發生命週期 (SDL) 開發。 調用 API 時，能夠將應用程序配置爲使用遞增贊成，這容許你延遲對贊成的請求以實現更廣的範圍，直到應用程序的使用在運行時對此做出保證。 MSAL 還支持 Azure Active Directory B2C，所以，客戶可以使用其首選的社交、企業或本地賬戶標識對應用程序和 API 進行單一登陸訪問。

藉助 Microsoft 標識平臺，可將覆蓋範圍擴展到如下類型的用戶：

• 工做和學校賬戶（Azure AD 預配賬戶）
• 經過 MSAL 和 Azure AD B2C 使用本身的電子郵件或社交標識的客戶

可使用 Azure 門戶註冊和配置應用程序，並將 Microsoft Graph API 用於編程應用程序配置。

　　根據本身的進度更新應用程序。 使用 ADAL 庫構建的應用程序繼續受支持。 混合應用程序組合（包含使用 ADAL 生成的應用程序和使用 MSAL 庫生成的應用程序）也受支持。 這意味着使用最新 ADAL 和最新 MSAL 的應用程序將在組合中提供 SSO，SSO 由這些庫之間的共享令牌緩存提供。 從 ADAL 更新爲 MSAL 的應用程序將在升級時保持用戶登陸狀態。

全部由此，咱們能夠看出在咱們的項目中集成Azure AD來實現身份驗證和受權。

微軟標識平臺開發術語-----開始以前，咱們仍是先去了解這些術語

1. 訪問令牌：由受權服務器頒發的一種安全令牌，可供客戶端應用程序用來訪問受保護的資源服務器。 一般，該令牌採用 JSON Web 令牌 (JWT) 形式，其中包含由資源全部者授予客戶端的受權，用於進行所請求級別的訪問。
2. 應用程序 ID：Azure AD 嚮應用程序註冊頒發的惟一標識符，用於標識特定應用程序和關聯的配置。 執行身份驗證請求時將使用此應用程序 ID，開發時會向身份驗證庫提供它。 
   
3. 應用程序註冊：要容許某個應用程序與標識和訪問管理功能集成並將這些功能委託給 Azure AD，必須向 Azure AD 租戶註冊該應用程序。
4. authentication：向訪問方質詢合法憑據的措施，提供建立用於標識和訪問控制的安全主體的基礎。
5. authorization：受權通過身份驗證的安全主體執行某項操做的措施，在 OAuth2 受權流程中：資源全部者向客戶端應用程序受權時，容許客戶端訪問資源全部者的資源
6. 受權終結點：受權服務器實現的終結點之一，用來與資源全部者進行交互，以便在 OAuth2 受權流程期間提供受權
7. 受權服務器：根據 OAuth2 受權框架的定義，這是在成功驗證資源全部者身份並獲取其受權以後，負責向客戶端頒發訪問令牌的服務器。 客戶端應用程序在運行時根據 OAuth2 定義的權限授予，經過其權限和令牌終結點來與受權服務器交互
8. ID 令牌：受權服務器的受權終結點提供的 OpenID Connect 安全令牌，其中包含與最終用戶資源全部者的身份驗證相關的聲明。 與訪問令牌同樣，ID 令牌也以數字簽名的 JSON Web 令牌 (JWT) 形式來表示。
9. 資源全部者：可以授予對受保護資源的訪問權限的實體。若是資源全部者是我的，則稱爲最終用戶。 例如，當客戶端應用程序想要經過 Microsoft Graph API 訪問用戶的郵箱時，須要從該郵箱的資源全部者獲取權限。
10. 資源服務器：託管受保護資源的服務器，該服務器可以接受並響應出示訪問令牌的客戶端應用程序發出的受保護資源請求。 它也稱爲受保護的資源服務器或資源應用程序。
11. 角色：提供某種方式讓資源服務器控制其受保護資源的訪問權限。 有兩種類型的角色：「用戶」角色爲須要資源訪問權限的用戶/組實現基於角色的訪問控制，「應用程序」角色爲須要訪問權限的 客戶端應用程序 實現相同的訪問控制
12. 範圍：與角色同樣，範圍提供某種方式讓資源服務器控制其受保護資源的訪問權限。 對於資源全部者已爲其提供資源的委託訪問權限的客戶端應用程序，範圍可用於實現基於範圍的訪問控制。
13. 安全令牌：包含 OAuth2 令牌或 SAML 2.0 斷言等聲明的已簽名文檔。 對於 OAuth2 受權，訪問令牌 (OAuth2) 和 ID 令牌都是安全令牌類型，而且這兩種類型都做爲 JSON Web 令牌 (JWT) 實現。
14. tenant：Azure AD 目錄的實例稱爲 Azure AD 租戶

微軟標識平臺體驗

　　下圖顯示了高級別的 Microsoft 標識體驗，包括應用註冊體驗、SDK、終結點和支持的標識

應用註冊體驗

　　Azure 門戶應用註冊 體驗是用於管理已與 Microsoft 標識平臺集成的全部應用程序的一種門戶體驗。

要與 Azure AD B2C 集成（對社交或本地身份進行身份驗證時），須要在 Azure AD B2C 租戶中註冊應用程序。 這種體驗也是 Azure 門戶的一部分。

　　使用應用程序 API 以編程方式配置與 Microsoft 標識平臺集成的應用程序，以對 Microsoft 標識進行身份驗證。

MSAL 庫

　　可使用 MSAL 庫生成對全部 Microsoft 標識進行身份驗證的應用程序。 .NET 和 JavaScript 中的 MSAL 庫已正式發佈。 適用於 iOS 和 Android 的 MSAL 庫處於預覽階段，適合用於生產環境。 咱們爲預覽版 MSAL 庫提供的生產級別支持與咱們爲正式版 MSAL 和 ADAL 提供的生產級別支持相同。

　　還可以使用 MSAL 庫將應用程序與 Azure AD B2C 集成。

　　用於構建 Web 應用和 Web API 的服務器端庫已正式發佈：ASP.NET 和 ASP.NET Core

Microsoft 標識平臺終結點

Microsoft 標識平臺 (v2.0) 終結點現已通過 OIDC 認證。 它適用於 Microsoft 身份驗證庫 (MSAL) 或任何其餘符合標準的庫。 它按照行業標準實現了簡明易懂的範圍。

3、結尾

今天大概介紹瞭如下Azure AD的一些概述，以及做爲開發者，咱們可使用Azure AD 來作些什麼，下一篇正式開始在項目中咱們是若是進行集成Azure AD以及Azure AD認證受權的幾種模式。

做者：Allen 

版權：轉載請在文章明顯位置註明做者及出處。如發現錯誤，歡迎批評指正。

參考微軟文檔出處：

 中文文檔：https://docs.microsoft.com/zh-cn/azure/active-directory/fundamentals/active-directory-whatis

 英文文檔：https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-whatis