Dostawcy tożsamości

Zaktualizowano: 19 czerwca 2015 r.

Dotyczy: Azure

Ważne

Przestrzenie nazw usług ACS mogą migrować konfiguracje dostawcy tożsamości Google z interfejsu OpenID 2.0 do Połączenie OpenID. Migracja musi zostać ukończona przed 1 czerwca 2015 r. Aby uzyskać szczegółowe wskazówki, zobacz Migrowanie przestrzeni nazw ACS do Połączenie Google OpenID.

W Microsoft Azure Active Directory Access Control (znanej również jako usługa Access Control lub ACS) dostawca tożsamości to usługa, która uwierzytelnia tożsamości użytkowników lub klientów i wystawia tokeny zabezpieczające używane przez usługę ACS. Po skonfigurowaniu dostawcy tożsamości tokeny zaufania ACS wystawione przez tego dostawcę tożsamości i używają oświadczeń w tych tokenach jako danych wejściowych do aparatu reguł ACS. Aparat reguł acS przekształca lub przekazuje te oświadczenia i uwzględnia je w tokenie, który wystawia aplikacjom jednostki uzależnionej. Właściciel Access Control przestrzeni nazw może skonfigurować co najmniej jednego dostawcę tożsamości w przestrzeni nazw.

W usłudze ACS dostawca tożsamości może być skojarzony z więcej niż jedną aplikacją jednostki uzależnionej. Podobnie aplikacja jednostki uzależnionej ACS może być skojarzona z więcej niż jednym dostawcą tożsamości. Aby uzyskać więcej informacji na temat aplikacji jednostki uzależnionej, zobacz Aplikacje jednostki uzależnionej.

Portal zarządzania ACS zapewnia wbudowaną obsługę konfigurowania następujących dostawców tożsamości:

• Windows live ID jako dostawca tożsamości ACS

• Facebook jako dostawca tożsamości ACS

• Google jako dostawca tożsamości ACS

• Yahoo! jako dostawca tożsamości ACS

• Dostawcy tożsamości federacyjnych WS-Federation

Oprócz tych dostawców tożsamości usługa ACS obsługuje konfigurację następujących typów dostawców tożsamości programowo za pośrednictwem usługi ACS Management Service:

• dostawcy tożsamości WS-Trust

• dostawcy tożsamości OpenID-Based

dostawcy tożsamości WS-Trust

WS-Trust dostawcy tożsamości przekazują oświadczenia tożsamości do usługi ACS przy użyciu protokołu WS-Trust i są najczęściej używane w scenariuszach usługi internetowej. Wielu dostawców tożsamości WS-Trust obsługuje również WS-Federation i można je skonfigurować w usłudze ACS jako dostawcy tożsamości WS-Federation w celu utworzenia wymaganej relacji zaufania. Przykładem dostawcy tożsamości WS-Trust jest (również dostawca tożsamości WS-Federation), który umożliwia integrację kont usługi Active Directory przedsiębiorstwa z usługą ACS. Aby uzyskać więcej informacji, zobacz Instrukcje: konfigurowanie usług AD FS 2.0 jako dostawcy tożsamości.

dostawcy tożsamości OpenID-Based

Usługa ACS obsługuje federację z dostawcami tożsamości opartymi na protokole OpenID dla witryn internetowych i aplikacji internetowych przy użyciu protokołu uwierzytelniania OpenID 2.0. Implementacja usługi ACS OpenID umożliwia skonfigurowanie punktu końcowego uwierzytelniania OpenID jako część jednostki dostawcy tożsamości w usłudze ACS. Gdy strona logowania acS jest renderowana dla aplikacji jednostki uzależnionej, usługa ACS tworzy żądanie uwierzytelniania OpenID jako część adresu URL logowania dostawcy tożsamości. Gdy użytkownik wybierze dostawcę tożsamości i zaloguje się pod żądanym adresem URL, odpowiedź OpenID zostanie zwrócona do usługi ACS, w której jest przetwarzana przez aparat reguł ACS. Usługa ACS pobiera atrybuty użytkownika OpenID przy użyciu atrybutu OpenID Exchange Extension i mapuje te atrybuty na oświadczenia, które są następnie wyjściowe w odpowiedzi tokenu wydanej dla aplikacji jednostki uzależnionej.

Dwa przykłady dostawców tożsamości opartych na protokole OpenID obsługujących usługę ACS to Google i Yahoo!, które można skonfigurować w portalu zarządzania ACS. Aby uzyskać więcej informacji, zobacz Google i Yahoo!.

Inni dostawcy tożsamości, którzy obsługują punkty końcowe uwierzytelniania OpenID 2.0, można skonfigurować programowo przy użyciu usługi zarządzania ACS. Aby uzyskać więcej informacji, zobacz How to: Use ACS Management Service to Configure an OpenID Identity Provider (Jak użyć usługi zarządzania ACS do skonfigurowania dostawcy tożsamości OpenID).

Obsługiwane typy oświadczeń

W poniższej tabeli przedstawiono typy oświadczeń dostępne dla usług ACS od dostawców tożsamości OpenID. Domyślnie typy oświadczeń w usłudze ACS są jednoznacznie identyfikowane przy użyciu identyfikatora URI pod kątem zgodności ze specyfikacją tokenu SAML. Te identyfikatory URI są również używane do identyfikowania oświadczeń w innych formatach tokenów.

Typ oświadczenia	URI	Opis
Identyfikator nazwy	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier	Wartość openid.claimed_id zwrócona przez dostawcę tożsamości.
Nazwa	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	Atrybut http://axschema.org/namePerson zwrócony przez dostawcę tożsamości za pośrednictwem rozszerzenia openID atrybutu Exchange. Jeśli ten atrybut nie jest obecny, wartość oświadczenia będzie łączenie i http://axschema.org/namePerson/firsthttp://axschema.org/namePerson/last.
Adres e-mail	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	Atrybut http://axschema.org/contact/email zwrócony przez dostawcę tożsamości za pośrednictwem rozszerzenia openID atrybutu Exchange.
Dostawca tożsamości	https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider	Oświadczenie dostarczone przez usługę ACS, które informuje aplikację jednostki uzależnionej, która jest używana do uwierzytelniania użytkownika za pomocą dostawcy tożsamości OpenID.

Zobacz też

Pojęcia

Składniki ACS 2.0