Provedores de Identidade

Atualizado em: 19 de junho de 2015

Aplica-se ao Azure

Importante

Namespace ACS podem migrar suas configurações do provedor de identidade do Google de OpenID 2.0 para OpenID Connect. A migração deve ser concluída antes de 1º de junho de 2015. Para obter diretrizes detalhadas, consulte Migrar namespaces acs para o Google OpenID Conexão.

Em Microsoft Azure Active Directory Controle de Acesso (também conhecido como serviço de Controle de Acesso ou ACS), um provedor de identidade é um serviço que autentica identidades de usuário ou cliente e emite tokens de segurança que o ACS consome. Quando um provedor de identidade é configurado, o ACS confia em tokens emitidos por esse provedor de identidade e usa as declarações nesses tokens como entradas para o mecanismo de regras acs. O mecanismo de regras do ACS transforma ou passa por essas declarações e as inclui no token que ele emite para os aplicativos de terceira parte confiável. O proprietário de um namespace Controle de Acesso pode configurar um ou mais provedores de identidade em seu namespace.

No ACS, um provedor de identidade pode ser associado a mais de um aplicativo de terceira parte confiável. Da mesma forma, um aplicativo de terceira parte confiável do ACS pode ser associado a mais de um provedor de identidade. Para obter mais informações sobre aplicativos de terceira parte confiável, consulte Aplicativos de Terceira Parte Confiável.

O Portal de Gerenciamento do ACS fornece suporte interno para configurar os seguintes provedores de identidade:

• ID do Windows Live como um Provedor de identidade do ACS

• Facebook como um provedor de identidade do ACS

• Google como um provedor de identidade do ACS

• Yahoo! como um provedor de identidade acs

• Provedores de identidade do WS-Federation

Além desses provedores de identidade, o ACS dá suporte à configuração dos seguintes tipos de provedor de identidade programaticamente por meio do Serviço de Gerenciamento do ACS:

• Provedores de identidade do WS-Trust

• Provedores de identidade baseados no OpenID

Provedores de identidade do WS-Trust

WS-Trust provedores de identidade passam declarações de identidade para o ACS usando o protocolo WS-Trust e são usados com mais frequência em cenários de serviço Web. Muitos provedores de identidade WS-Trust também dão suporte a WS-Federation e podem ser configurados no ACS como WS-Federation provedores de identidade para criar a relação de confiança necessária. Um exemplo de um provedor de identidade WS-Trust é (também um provedor de identidade WS-Federation), que permite integrar suas contas de serviço do Active Directory corporativo ao ACS. Para obter mais informações, consulte Como configurar o AD FS 2.0 como um provedor de identidade.

Provedores de identidade baseados no OpenID

O ACS dá suporte à federação com provedores de identidade baseados em OpenID para sites e aplicativos Web, usando o protocolo de autenticação OpenID 2.0. A implementação do ACS OpenID permite que um ponto de extremidade de autenticação OpenID seja configurado como parte de uma entidade de provedor de identidade no ACS. Quando uma página de logon do ACS é renderizada para um aplicativo de terceira parte confiável, o ACS constrói uma solicitação de autenticação OpenID como parte da URL de logon para o provedor de identidade. Depois que um usuário seleciona o provedor de identidade e faz logon na URL solicitada, a resposta OpenID é retornada ao ACS em que é processada pelo mecanismo de regras acs. O ACS recupera atributos de usuário OpenID usando a Extensão de Exchange de Atributo OpenID e mapeia esses atributos para declarações que são geradas na resposta de token emitida para o aplicativo de terceira parte confiável.

Dois exemplos de provedores de identidade baseados em OpenID que o ACS dá suporte são o Google e o Yahoo!, que podem ser configurados no Portal de Gerenciamento do ACS. Para obter mais informações, consulte Google e Yahoo!.

Outros provedores de identidade que dão suporte a pontos de extremidade de autenticação OpenID 2.0 podem ser configurados programaticamente usando o Serviço de Gerenciamento do ACS. Para obter mais informações, consulte Como usar o Serviço de Gerenciamento do ACS para configurar um provedor de identidade OpenID.

Tipos de declaração com suporte

A tabela a seguir mostra os tipos de declaração disponíveis para ACS de provedores de identidade OpenID. Por padrão, os tipos de declarações no ACS são identificados exclusivamente usando um URI para conformidade com a especificação do token SAML. Esses URIs também são usados para identificar declarações em outros formatos de token.

Tipo de declaração	URI	Descrição
Identificador do Nome	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier	Um valor openid.claimed_id retornado pelo provedor de identidade.
Nome	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	http://axschema.org/namePerson Atributo retornado pelo provedor de identidade por meio da extensão Exchange atributo OpenID. Se esse atributo não estiver presente, o valor da declaração será a concatenação de http://axschema.org/namePerson/first e http://axschema.org/namePerson/last.
Endereço de Email	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	http://axschema.org/contact/email Atributo retornado pelo provedor de identidade por meio da extensão Exchange atributo OpenID.
Provedor de identidade	https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider	Uma declaração fornecida pelo ACS que informa ao aplicativo de terceira parte confiável qual provedor de identidade OpenID é usado para autenticar o usuário.

Consulte Também

Conceitos

Componentes do ACS 2.0