微软公司的Windows Azure Active Directory (WAAD)开发人员预览版为Windows Azure云计算服务提供了简单的用户身份验证和授权功能。该预览版为多租户的Windows Azure .NET、Java以及PHP应用程序提供了网络单点登录（SSO）的在线演示，和一个RESTful图形API和OData v3.0以实现对WAAD对象的可编程访问。

　　该预览版扩展了对IP的选择，其中包括WAAD、Office 365基于云计算的IP、动态CRM在线以及Windows InTune。它赋予了Windows Azure开发人员同步和整合组织内部Active Directory的能力。

 
图1. Office 365管理门户网站的用户界面可以为一个组织的域新增一个详细的用户帐户，这里以oakleaf.onmicrosoft.com为例。

　　传统的做法是，开发人员通过Windows Azure访问控制服务（WA-ACS）为ASP.NET提供基于声明的身份验证，之前是Windows Azure AppFabric访问控制服务。

　　据微软公司称，WA-ACS集成了Windows Identity Foundation (WIF)；支持网络身份供应商（IP），其中包括Windows Live ID、Google、Yahoo以及Facebook；支持Active Directory Federation Services (AD FS) 2.0；并通过一个开放的基于数据协议（OData）的管理服务提供对ACS设置的可编程访问。一个管理门户网站也能够实现对ACS设置的管理性访问。

　　运行在线Windows Azure Active Directory演示

　　充分利用预览版的两个在线演示应用程序需要使用一个具有若干试运行用户的Office 365(如图1所示)。微软公司合作伙伴网络的成员可从微软Cloud Essentials处获得25个免费的Office 365企业版使用许可；其他人则可以以每月六美元的较低价格订阅一个Office 365计划。根据联机文档，WAAD团队计划在该软件的最终版本中增加一个专门的管理门户以避免对Office 365订阅的依赖。注意：预览版不支持Window 8，因此你需要使用Windows 7或Windows Server 2008 R2用于演示应用程序。

 
图2. 使用Fabrikam演示，新增或编辑一个开支报告的详细项目。

　　该预览版也需要用户为32位或64为系统的Windows PowerShell V1.0下载一个更新的Microsoft在线服务模块。你还需要下载并保存一个预编译的PowerShell授权脚本程序，运行该脚本程序可提取应用程序的标识符（应用程序主ID），以及订阅组织的租户标识符（公司ID）。

　　Fabrikam费用报告演示是一个用于向具有前瞻性意识的Windows Azure用户展示交互式云计算网络应用程序的工具（如图2所示）。该预览版还包括了可供开发人员从GitHub下载并在Apache 2.0使用许可下使用的开源代码。在Visual Studio 2010或更高版本中使用源代码需要Windows Azure SDK 1.7、MVC3 Framework、WIF runtime 和 SDK、以及 OData v3 和.NET 4.0 或更高版本Windows Communication Framework (WCF) Data Services 5.0的支持。经过一些调整，这个ASP.NET MVC3应用程序可以管理中小型公司的费用报告。

　　使用OData查询纵横Office 365 ACTIVE DIRECTORY

　　组织目录具有一个层次结构，因此可使用关系图而不是关系型数据库中的表格进行更好的表示。该预览版的图形API可根据经理的直接报告信息和员工的报告定义报告关系。

 
图3. 在Graph Explorer预览中为演示租户显示顶级EntitySets。SubscribedSkus是供所有用户使用的Office 365订阅；TenantDetails提供了订阅组织的信息。

　　开放数据协议（OData）v3已由微软公司于2012年五月转给OASIS实现标准化，该协议可为ACTIVE DIRECTORY管理提供一个RESTful方法。图形API可替代.NET的Systems.DirectoryServices命名空间和基于COM的Active Directory Service Interfaces (ADSI)。

　　最初的图形API预览版包括了供如下Office 365 ACTIVE DIRECTORY集合使用的元数据，可由Entity Data Framework EntitySets表示：

　　• 目录对象
　　• 参考对象
　　• 联系人
　　• 组
　　• 订阅国家或区域
　　• 角色
　　• 租户详细信息
　　• 用户

　　为了显示顶级集合的列表，可登录Graph Explorer，点击Use Demo Company 按钮，然后点击Get (如图3所示)。你可以在https://directory.windows.net/$metadata查看所有之前EntitySets的元数据。

　　该预览版的Graph Explorer应用程序可在Windows Azure上运行，它可让用户使用标准OData查询工具操作Office 365 ACTIVE DIRECTORY。例如，你可以在登录通过一个ODataURL查询检索Office 365订阅组织（即租户）的详细信息，使用相同的凭据你还可以使用Fabrikam演示应用程序（图4）。在我的博客中，我提供了Graph Explorer的一个简单应用。

图4. 执行OData v3 URL查询以显示所选EntitySets或ATOMPub格式的成员。

　　Graph Explorer的实现是框架性的，界面简洁。企业目录管理员们将喜欢若干图形配备，例如管理人员树形图及其直接报告，以及对象导航的网络表示。

　　新的WAAD和WA-ACS功能可对Active Directory实现网络SSO和RESTful OData查询，从而提高Windows Azure作为企业平台即服务（PaaS）主要竞争者的优势。同样，这也使得微软公司的多租户基础设施即服务（IaaS）产品提升了档次。PaaS 和IaaS 附加值功能将变得越来越重要，因为它们是其产品化的重要标志。