Удостоверения службы
Обновлено: 19 июня 2015 г.
Область применения: Azure
В Microsoft Azure Active Directory контроль доступа (также называемой службой контроль доступа или ACS) удостоверение службы — это учетные данные, зарегистрированные в пространстве имен контроль доступа и предназначенные для использования автономными приложениями или Клиентов. Другими словами, удостоверения службы — это учетные данные, настроенные глобально для пространства имен контроль доступа, которые позволяют приложениям или клиентам проходить проверку подлинности непосредственно с помощью ACS и получать маркер. Пространство имен контроль доступа может содержать множество удостоверений служб.
В ACS удостоверения службы обычно используются для проверки подлинности автономного приложения или клиента с пространством имен контроль доступа и таким образом предоставляют автономному приложению или клиенту доступ к приложению проверяющей стороны.
Примечание
Группы правил, связанные с приложениями проверяющей стороны, эксклюзивно определяют, какие удостоверения службы принимаются для тех или иных приложений проверяющей стороны.
Удостоверения службы не предназначены для применения в качестве учетных данных конечных пользователей. В ACS удостоверения службы чаще всего используются в сценариях веб-службы REST по протоколу OAuth WRAP, где клиент запрашивает маркер SWT непосредственно из ACS для представления веб-службе.
Типы учетных данных
Ниже приведены типы учетных данных, с которыми может быть связано удостоверение службы ACS:
Симметричный ключ — эти учетные данные используются в подписанных запросах маркера SWT к ACS через протоколы OAuth WRAP или OAuth 2.0 или в подписанных запросах маркера JWT к ACS через протоколы OAuth 2.0. Другими словами, эти учетные данные позволяют автономным приложениям или клиентам проходить проверку подлинности с помощью ACS путем выдачи маркера SWT или JWT и подписывания маркера SWT или JWT с симметричным ключом.
Пароль. Эти учетные данные позволяют автономным приложениям или клиентам проходить проверку подлинности с помощью ACS путем передачи этих учетных данных в пространство имен контроль доступа. Учетные данные пароля отправляются в запросах маркера открытого текста в ACS через OAuth WRAP или OAuth 2.0 или протоколы WS-Trust.
Сертификат X.509— учетные данные сертификата X.509 позволяют автономным приложениям и клиентам проходить проверку подлинности с помощью acS через протокол WS-Trust (проверка подлинности сертификата).
Дополнительные сведения и подробные инструкции по добавлению удостоверений службы с учетными данными, описанными ранее с помощью портала управления ACS, см. в статье "Практическое руководство. Добавление удостоверений службы с помощью сертификата X.509, пароля или симметричного ключа".