在之前的文章中，介绍了如何使用“创建个人卡”方式在AZURE平台上进行相应的权限验证。当然
AZURE平台还提供了托管卡方式来进行第三方的身份验证。而提供第三方认证服务的厂商可能是银行等
金融机构或其它公司。当然，微软也为了方便大家进行测试或使用，提供了一个网站来帮助我们生成
和管理托管卡，该网站的链接：https://ipsts.federatedidentity.net/MgmtConsole/Default.aspx

下面就开始演示一下如何在该站点上创建一个新的帐号，并一步步完成卡信息填写并下载卡。并
最终配置与AZURE平台相互访问控制认证链接及其参数。

1.打开https://ipsts.federatedidentity.net/MgmtConsole/Default.aspx，并点击该网页右下
角的Sign up按钮：

2.在当前跳转页面上填写相应的用户信息，并点击"submit"按钮：

3.这时系统会提示您配置声明，而该声明会在第三方进行请求应答时被获取到，以便进行相应的
显示和逻辑判断。

输入相关信息之后，点击“continue”按钮。这时注册过程就完成了，系统会引导您到帐户管理
页面如下：

接着我们通过点击“Edit Profile Information”链接来编辑一下帐号的其它信息，如下图：

我们在Group编辑框中输入：Domain Users，该项用户标识当前用户帐号的所有组信息，这个值在
在AZURE平台上用于绑定用户组信息时使用。完成编辑后，我们点击“Save”按钮，系统会跳转回管理
页面，我们在管理页面上点击“Download your username/password card”链接旁边的图标，如下图：

这时系统会提示将当前卡下载到本地，我们选择相应的本地路径下载保存即可。

好了，上面只是完成了创建第三方认证服务托管卡的工作。

================================================================================

下面接着看一下如何在AZURE平台上配置相应的卡(刚创建)认证信息绑定。

1.打开https://accesscontrol.ex.azure.microsoft.com/login.aspx?name=<YourSolutionName>
注（YourSolutionName名称为我在以前一篇文章中所说的那个解决方案的名称），然后点击“Advanced”
按钮。如下图：

2.在当前页面中的“Solution Name”下拉框中，选择：“ServiceBus”项，并点击下面的"Manage"
链接，如下图：

3.在当前页面中，点击“ Identity Issuers”链接，如下：

    
    4.在当前的“Identity Issuers”页面下，点击：Add Issuers按钮，并添加如下内容信息，

Display Name: https://ipsts.federatedidentity.net
        Issuer URI: https://ipsts.federatedidentity.net/MgmtConsole/
        Certificate: https://ipsts.federatedidentity.net/MgmtConsole/

如下图：
   

点击“Save”按钮保存当前设置。

5.配置当前的.NET Access Control Service 时将要识别一个新的 Claim Type，该类型表
示我们希望从Federatedidentity.net上获取的信息. 下面将会配置该Claim Type，首先我们在
“Scope Management”工具栏中点击“Claim Type”链接，如下图:

6.在跳转到的当前页面上面点击“Add Claim Types button”按钮，如下图：

7.在当前页面中配置下面的节点信息：
        Display Name: Group
        Claim Type: http://ipsts.federatedidentity.net/group
    如下图：
   

完成后点击“Save”按钮，即可。

8.接着我们还要编辑相关的信息绑定规则，在“Scope Management”工具栏中，点击“Rules”
链接，如下图：

9.我们点击当前页面下的“Add Rules”按钮，在“添加规则”页面下绑定如下相关信息：

Input Claim(s) 定义了关于请求声明的情况:
         Type: Group
         Value: Domain Users
         Issuer: https://ipsts.federatedidentity.net

Output Claim 则定义了发出的声明:
         Type: Action
         Value: Send

配置完成后的截图如下：

这时点击“Save”按钮，即完成了相应规则的添加，这时我们就可以在已有的规则列表中
看到我们刚刚创建的规则了，如下图：

=====================================================================================

在为 Federatedidentity.net站点创建安全令牌服务（STS）策略之后，我们还需要回到
Federatedidentity.net站点完成应答部分策略的创建。

1.打开一个新的IE窗口，并在地址栏中输入下面的链接：
     https://ipsts.federatedidentity.net/MgmtConsole/UserProfile.aspx

并点击链接“Manage Relying Party Policies”，然后点击当前页面"Add a New Policy"按钮，
如下图：

2.在Create a New Policy 表单中填写如下内容:

Relying Party Name:  accesscontrol.windows.net
    Relying Party URL: http://accesscontrol.windows.net
    Upload Certificate for token encryption（注:该项设置当前使用的是开发包中的证书）:  
            C:"AzureServicesKit"Labs"IntroAccessControlService"Assets"accesscontrol.windows.net.cer
                  
    Select claims to release:  Leave the Site ID checked and also check the Group checkbox

如下图：
  

填写完之后，点击“Save”按钮，系统就会显示当前创建的策略信息了：

===============================================================================================

完成了上面三方面的设置之后，下面我们就使用一个SDK中现成的DEMO(该DEMO位于：
C:"AzureServicesKit"Labs"IntroAccessControlService"Ex01-FederatedIdentity"end")
来看一下我们的配置是否有效。

1.分别用两个VS2008打开这个解决方案，其中一个将"Service"做为启动项目，另一个
将“Client”作为启动项目。

2.首先运行Service项目，如下图：

3.运行Client项目，如下图：

4.在输入"solution name"并回车确认后，系统会提弹出“Window CardSpace”窗口，
要求我们选择相应的认证卡（假设这里我们已完成了将之前创建的托管卡添加到当前系统
中），接着我们刚创建的托管卡，如下图：
 

5.点击发送后，系统会提示我们输入卡密码，如下图：

6.这时我们在打开相应的serivce,client端命令行窗口后，显示如下信息：

好了，今天的内容就先到这里了。

原文链接:http://www.cnblogs.com/daizhj/archive/2008/12/18/1357460.html

作者: daizhj, 代震军

Tags:Azure,access control,访问控制,cardspace,托管卡

网址: http://daizhj.cnblogs.com/