Windows Azure 是否具有与 AWS Identity Access Management 等效的功能？

Question

所以我有一个使用 AWS 的 IAM 基础设施的移动应用程序，它有效地允许我向匿名移动设备提供临时访问令牌，以便他们可以直接从移动设备运行对 AWS 服务的查询。

有谁知道 Windows Azure 是否也有这种东西的替代品？我已经阅读了有关 Windows Azure 访问控制的信息，但所有示例似乎都集中在允许通过 Facebook、Twitter 或 Windows Live 等进行身份验证。就我而言，我不希望移动用户必须“登录”在任何地方，我只希望他们能够访问 Azure 服务，例如表存储，而不必通过我的服务器。

谢谢！

Answer 1

您确实可以为所有三个 Windows Azure 存储服务（BLOB、队列和表）以及 Windows Azure 服务总线代理消息（队列、主题和订阅）创建Signed Access Signatures。这些 SAS url 是临时的，您可以使用过期时间临时创建它们。在该时间到期后，设备将不得不请求一个新的，可能来自您的服务器。这会减少负载，因为它们不会一直返回，但是您仍然必须运行一些东西来为设备生成这些 SAS uri。您可以直接针对 REST API 手动生成 SAS，也可以使用其中一个 SDK 为您生成它们（也可以使用 REST API）。

请注意，当您创建 SAS 时，您可以选择将其作为策略或临时进行。策略允许您稍后撤销 SAS，但您一次只能定义这么多这些（如果您通过设备执行，对于移动场景的限制可能太大）。 adhoc 方法允许您尽可能多地使用（我认为），但您无法撤销它，它只能过期。

另一种选择是查看 Windows Azure 移动服务。该服务在 Microsoft 管理的服务器上运行，您可以使用它来获得您想要的任何东西。您可能想查看“Custom API”功能。此外，请确保您了解移动服务的 pricing model（或者实际上，它代表您决定使用的任何选项）。

Answer 2

在 Azure 中称为托管标识