Поставщики удостоверений

Обновлено: 19 июня 2015 г.

Область применения: Azure

Важно!

Пространства имен ACS могут перенести конфигурации поставщика удостоверений Google из OpenID 2.0 в OpenID Connect. Миграция должна быть завершена до 1 июня 2015 г. Подробные инструкции см. в статье о переносе пространств имен ACS в Google OpenID Подключение.

В Microsoft Azure Active Directory контроль доступа (также называемой службой контроль доступа или ACS) поставщик удостоверений — это служба, которая проверяет подлинность пользователей или клиентских удостоверений и выдает маркеры безопасности, которые использует ACS. При настройке поставщика удостоверений ACS доверяет маркеры, выданные этим поставщиком удостоверений, и использует утверждения в этих маркерах в качестве входных данных для обработчика правил ACS. Подсистема правил ACS преобразует или проходит через эти утверждения и включает их в маркер, который он выдает приложениям проверяющей стороны. Владелец пространства имен контроль доступа может настроить в своем пространстве имен один или несколько поставщиков удостоверений.

В ACS поставщик удостоверений может быть связан с несколькими приложениями проверяющей стороны. Аналогичным образом приложение проверяющей стороны ACS может быть связано с несколькими поставщиками удостоверений. Дополнительные сведения о приложениях проверяющей стороны см. в разделе "Приложения проверяющей стороны".

Портал управления ACS обеспечивает встроенную поддержку настройки следующих поставщиков удостоверений:

• Windows Live ID как поставщик удостоверений ACS

• Facebook как поставщик удостоверений ACS

• Google в качестве поставщика удостоверений ACS

• Yahoo! как поставщик удостоверений ACS

• Поставщики удостоверений WS-Federation

Помимо этих поставщиков удостоверений, ACS поддерживает настройку следующих типов поставщиков удостоверений программными средствами через службу управления ACS:

• Поставщики удостоверений WS-Trust

• Поставщики удостоверений OpenID

Поставщики удостоверений WS-Trust

WS-Trust поставщики удостоверений передают утверждения удостоверений в ACS с помощью протокола WS-Trust и чаще всего используются в сценариях веб-службы. Многие WS-Trust поставщики удостоверений также поддерживают WS-Federation и могут быть настроены в ACS в качестве WS-Federation поставщиков удостоверений для создания необходимых отношений доверия. Примером WS-Trust поставщика удостоверений является (также поставщик удостоверений WS-Federation), который позволяет интегрировать учетные записи службы Active Directory предприятия с ACS. Дополнительные сведения см. в разделе "Практическое руководство. Настройка AD FS 2.0 в качестве поставщика удостоверений".

Поставщики удостоверений OpenID

ACS поддерживает федерацию с поставщиками удостоверений на основе OpenID для веб-сайтов и веб-приложений с помощью протокола проверки подлинности OpenID 2.0. Реализация ACS OpenID позволяет настроить конечную точку проверки подлинности OpenID как часть сущности поставщика удостоверений в ACS. Когда страница входа ACS отображается для приложения проверяющей стороны, ACS создает запрос проверки подлинности OpenID в рамках URL-адреса входа поставщика удостоверений. После выбора поставщика удостоверений и входа по запрошенным URL-адресу ответ OpenID возвращается в службу ACS, где она обрабатывается обработчиком правил ACS. ACS извлекает атрибуты пользователя OpenID с помощью расширения Exchange атрибута OpenID и сопоставляет эти атрибуты с утверждениями, которые затем выводятся в ответе маркера, выданном приложению проверяющей стороны.

Два примера поставщиков удостоверений на основе OpenID, поддерживаемых ACS, — Google и Yahoo!, которые можно настроить на портале управления ACS. Дополнительные сведения см. в разделе Google и Yahoo!.

Другие поставщики удостоверений, поддерживающие конечные точки проверки подлинности OpenID 2.0, можно настроить программным способом с помощью службы управления ACS. Дополнительные сведения см. в статье "Практическое руководство. Использование службы управления ACS для настройки поставщика удостоверений OpenID".

Поддерживаемые типы утверждений

В следующей таблице показаны типы утверждений, доступные acS от поставщиков удостоверений OpenID. По умолчанию типы утверждений в ACS однозначно идентифицируются с помощью URI для соответствия спецификации токена SAML. Эти URI также используются для идентификации утверждений в других форматах маркеров.

Тип утверждения	URI	Описание
Идентификатор имени	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier	Значение openid.claimed_id, возвращенное поставщиком.
Имя	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	Атрибутhttp://axschema.org/namePerson, возвращаемый поставщиком удостоверений через расширение OpenID Attribute Exchange. Если этот атрибут отсутствует, значение утверждения будет объединением http://axschema.org/namePerson/first и http://axschema.org/namePerson/last.
Электронная почта	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	Атрибутhttp://axschema.org/contact/email, возвращаемый поставщиком удостоверений через расширение OpenID Attribute Exchange.
Поставщик удостоверений	https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider	Утверждение, предоставляемое ACS, которое сообщает приложению проверяющей стороны, какое поставщик удостоверений OpenID используется для проверки подлинности пользователя.

См. также:

Основные понятия

Компоненты ACS 2.0