Condividi tramite


Provider di identità

Aggiornamento: 19 giugno 2015

Si applica a: Azure

Importante

Gli spazi dei nomi ACS possono eseguire la migrazione delle configurazioni del provider di identità Google da OpenID 2.0 a OpenID Connect. La migrazione deve essere completata prima del 1° giugno 2015. Per indicazioni dettagliate, vedere Migrazione degli spazi dei nomi ACS a Google OpenID Connessione.

In Microsoft Azure Active Directory Controllo di accesso (noto anche come servizio Controllo di accesso o ACS), un provider di identità è un servizio che autentica le identità utente o client e genera token di sicurezza usati da ACS. Quando un provider di identità è configurato, I TOKEN di attendibilità ACS emessi dal provider di identità e utilizzano le attestazioni in tali token come input al motore delle regole ACS. Il motore regole ACS trasforma o passa queste attestazioni e li include nel token che rilascia alle applicazioni di relying party. Il proprietario di uno spazio dei nomi Controllo di accesso può configurare uno o più provider di identità nello spazio dei nomi.

In ACS un provider di identità può essere associato a più applicazioni di relying party. Analogamente, un'applicazione di relying party ACS può essere associata a più provider di identità. Per altre informazioni sulle applicazioni di relying party, vedere Relying Party Applications.

Il portale di gestione di ACS offre il supporto predefinito per la configurazione dei provider di identità seguenti:

Oltre a questi provider di identità, ACS supporta la configurazione dei tipi di provider di identità seguenti a livello di codice tramite il servizio di gestione ACS:

  • Provider di identità WS-Trust

  • Provider di identità basati su OpenID

Provider di identità WS-Trust

WS-Trust provider di identità passano attestazioni di identità a ACS usando il protocollo WS-Trust e vengono usati più di frequente negli scenari di servizio Web. Molti provider di identità WS-Trust supportano anche WS-Federation e possono essere configurati in ACS come provider di identità di WS-Federation per creare la relazione di trust necessaria. Un esempio di provider di identità di WS-Trust è (anche un provider di identità WS-Federation), che consente di integrare gli account del servizio Active Directory aziendali con ACS. Per altre informazioni, vedere Procedura: Configurare AD FS 2.0 come provider di identità.

Provider di identità basati su OpenID

ACS supporta la federazione con provider di identità basati su OpenID per siti Web e applicazioni Web usando il protocollo di autenticazione OpenID 2.0. L'implementazione di ACS OpenID consente di configurare un endpoint di autenticazione OpenID come parte di un'entità del provider di identità in ACS. Quando viene eseguito il rendering di una pagina di accesso di ACS per un'applicazione relying party, ACS costruisce una richiesta di autenticazione OpenID come parte dell'URL di accesso per il provider di identità. Dopo che un utente seleziona il provider di identità e accede all'URL richiesto, la risposta OpenID viene restituita all'ACS in cui viene elaborata dal motore regole ACS. ACS recupera gli attributi utente OpenID usando l'attributo OpenID Exchange Extension e esegue il mapping di questi attributi alle attestazioni che vengono quindi restituite nella risposta del token rilasciata all'applicazione relying party.

Due esempi di provider di identità basati su OpenID supportati da ACS sono Google e Yahoo!, che possono essere configurati nel portale di gestione di ACS. Per altre informazioni, vedere Google e Yahoo!.

Altri provider di identità che supportano endpoint di autenticazione OpenID 2.0 possono essere configurati a livello di codice usando il servizio di gestione ACS. Per altre informazioni, vedere Procedura: Usare il servizio di gestione ACS per configurare un provider di identità OpenID.

Tipi di attestazione supportati

Nella tabella seguente vengono illustrati i tipi di attestazione disponibili per ACS dai provider di identità OpenID. Per impostazione predefinita, i tipi di attestazioni in ACS vengono identificati in modo univoco usando un URI per la conformità con la specifica del token SAML. Gli URI vengono usati anche per identificare le attestazioni in altri formati di token.

Tipo di attestazione URI Descrizione

Identificatore nome

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Valore openid.claimed_id restituito dal provider di identità.

Name

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Attributo http://axschema.org/namePerson restituito dal provider di identità tramite l'estensione OpenID Attribute Exchange. Se questo attributo non è presente, il valore dell'attestazione sarà la concatenazione di http://axschema.org/namePerson/first e http://axschema.org/namePerson/last.

Indirizzo di posta elettronica

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Attributo http://axschema.org/contact/email restituito dal provider di identità tramite l'estensione OpenID Attribute Exchange.

Provider di identità

https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Attestazione fornita da ACS che indica all'applicazione relying party che viene usato il provider di identità OpenID per autenticare l'utente.

Vedere anche

Concetti

Componenti di ACS 2.0