Windows Live ID als ACS-Identitätsanbieter
Aktualisiert: 19. Juni 2015
Gilt für: Azure
Wenn ein neuer Access Control-Namespace erstellt wird, wird Windows Live ID (Microsoft-Konto) als Standardidentitätsanbieter hinzugefügt und kann nicht gelöscht werden. Diese Funktionalität ermöglicht die Verbundauthentifizierung für das ACS-Verwaltungsportal, in dem das ACS-Verwaltungsportal als vertrauende Parteianwendung in Ihrem Access Control-Namespace konfiguriert ist und Windows Live ID ein Identitätsanbieter ist, der dieser vertrauenden Parteianwendung zugeordnet ist. Um den Verlust des Zugriffs auf das ACS-Verwaltungsportal zu verhindern, kann der Windows Live ID-Identitätsanbieter nicht gelöscht werden. In ACS kann ein Identitätsanbieter jedoch mehr als einer vertrauenden Parteianwendung zugeordnet werden, und eine vertrauende Parteianwendung kann mehrere Identitätsanbieter verwenden.
Verwenden des ACS-Verwaltungsportals
Sie können das ACS-Verwaltungsportal verwenden, um die folgenden Windows Live ID-Identitätsanbietereinstellungen zu konfigurieren.
Anmeldelinktext – Gibt den Text an, der für den Windows Live ID-Identitätsanbieter auf der Anmeldeseite Ihrer Webanwendung angezeigt wird. Weitere Informationen finden Sie unter Anmeldeseiten und Home Realm Discovery.
Bild-URL (optional) – Gibt die URL einer Bilddatei an (z. B. ein Logo Ihrer Wahl), das Sie als Anmeldelink für diesen Identitätsanbieter anzeigen können. Dieses Logo wird automatisch auf der Standardanmeldungsseite für Ihre ACS-bewusste Webanwendung sowie im JSON-Feed Ihrer Webanwendung angezeigt, mit dem Sie eine benutzerdefinierte Anmeldeseite rendern können. Wenn Sie keine Bild-URL angeben, wird ein Textanmeldelink für diesen Identitätsanbieter auf der Anmeldeseite Ihrer Webanwendung angezeigt. Wenn Sie eine Bild-URL angeben, wird dringend empfohlen, dass diese auf eine vertrauenswürdige Quelle verweist, z. B. auf Ihre eigene Website oder -anwendung, und dass HTTPS verwendet wird, um Sicherheitswarnungen des Browsers zu verhindern. Die Größe jedes Bilds, das breiter als 240 Pixel und höher als 40 Pixel ist, wird außerdem automatisch auf der Standardseite für die ACS-Startbereicherkennung angepasst.
Vertrauende Parteianwendung – Gibt alle vorhandenen vertrauenden Parteianwendungen an, die Sie Windows Live ID zuordnen möchten. Weitere Informationen finden Sie unter "Vertrauende Parteianwendungen".
Nachdem ein Identitätsanbieter einer Anwendung der vertrauenden Seite zugeordnet wurde, müssen Regeln für diesen Identitätsanbieter generiert oder manuell der Regelgruppe der Anwendung der vertrauenden Seite hinzugefügt werden, um die Konfiguration abzuschließen. Weitere Informationen zum Erstellen von Regeln finden Sie unter Regelgruppen und Regeln.
Unterstützte Anspruchstypen
Nachdem ein Benutzer die Authentifizierung mit einem Identitätsanbieter ausgeführt hat, empfängt er ein Token, das Identitätsansprüche enthält. Ansprüche sind Teile von Informationen über den Benutzer, z. B. eine E-Mail-Adresse oder eine eindeutige ID. ACS kann diese Ansprüche direkt an die Anwendung der vertrauenden Partei übergeben oder Autorisierungsentscheidungen basierend auf den enthaltenen Werten treffen.
Standardmäßig werden Anspruchstypen in ACS mit einem URI für die Einhaltung der SAML-Tokenspezifikation eindeutig identifiziert. Diese URIs werden auch verwendet, um Ansprüche in anderen Tokenformaten zu identifizieren.
In der folgenden Tabelle sind die Anspruchstypen aufgeführt, die für ACS von Windows Live ID (Microsoft-Konto) verfügbar sind.
| Anspruchstyp | URI | BESCHREIBUNG |
|---|---|---|
Namensbezeichner |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
Ein eindeutiger Bezeichner für das Benutzerkonto, das von Windows Live ID bereitgestellt wird. |
Identitätsanbieter |
https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider |
Ein Anspruch von ACS, der die vertrauende Parteianwendung angibt, dass der Benutzer mithilfe des Standard-Windows Live ID-Identitätsanbieters authentifiziert wurde. Der Wert dieses Anspruchs ist im ACS-Verwaltungsportal über das Bereichsfeld auf der Seite "Identitätsanbieter bearbeiten " sichtbar. |