Identitetsprovidrar

Uppdaterad: 19 juni 2015

Gäller för: Azure

Viktigt

ACS-namnområden kan migrera sina konfigurationer för Google-identitetsprovidern från OpenID 2.0 till OpenID Anslut. Migreringen måste slutföras före den 1 juni 2015. Detaljerad vägledning finns i Migrera ACS-namnrymder till Google OpenID Anslut.

I Microsoft Azure Active Directory Access Control (kallas även Access Control Service eller ACS) är en identitetsprovider en tjänst som autentiserar användar- eller klientidentiteter och utfärdar säkerhetstoken som ACS använder. När en identitetsprovider har konfigurerats litar ACS på token som utfärdats av identitetsprovidern och använder anspråken i dessa token som indata till ACS-regelmotorn. ACS-regelmotorn transformerar eller passerar dessa anspråk och inkluderar dem i den token som den utfärdar till de förlitande partprogrammen. Ägaren till ett Access Control namnområde kan konfigurera en eller flera identitetsprovidrar i namnområdet.

I ACS kan en identitetsprovider associeras med fler än ett förlitande partprogram. På samma sätt kan ett ACS-förlitande partprogram associeras med mer än en identitetsprovider. Mer information om program från förlitande part finns i Förlitande part-program.

ACS-hanteringsportalen har inbyggt stöd för att konfigurera följande identitetsprovidrar:

• Windows live-ID som ACS-identitetsprovider

• Facebook som ACS-identitetsprovider

• Google som ACS-identitetsprovider

• Yahoo! som ACS-identitetsprovider

• WS-federationsidentitetsprovidrar

Utöver dessa identitetsprovidrar stöder ACS konfiguration av följande typer av identitetsprovider programmatiskt via ACS Management Service:

• WS-Trust identitetsprovidrar

• OpenID-Based identitetsprovidrar

WS-Trust identitetsprovidrar

WS-Trust identitetsprovidrar skickar identitetsanspråk till ACS med hjälp av WS-Trust-protokollet och används oftast i webbtjänstscenarier. Många WS-Trust identitetsprovidrar stöder också WS-Federation och kan konfigureras i ACS som WS-Federation identitetsprovidrar för att skapa den förtroenderelation som krävs. Ett exempel på en WS-Trust identitetsprovider är (även en WS-Federation identitetsprovider) som gör att du kan integrera företagets Active Directory-tjänstkonton med ACS. Mer information finns i Så här konfigurerar du AD FS 2.0 som identitetsprovider.

OpenID-Based identitetsprovidrar

ACS stöder federation med OpenID-baserade identitetsprovidrar för webbplatser och webbprogram med hjälp av OpenID 2.0-autentiseringsprotokollet. ACS OpenID-implementeringen gör att en OpenID-autentiseringsslutpunkt kan konfigureras som en del av en identitetsproviderentitet i ACS. När en ACS-inloggningssida renderas för ett förlitande partprogram skapar ACS en OpenID-autentiseringsbegäran som en del av inloggnings-URL:en för identitetsprovidern. När en användare har valt identitetsprovidern och loggar in på den begärda URL:en returneras OpenID-svaret till ACS där det bearbetas av ACS-regelmotorn. ACS hämtar OpenID-användarattribut med hjälp av OpenID-attributet Exchange-tillägget och mappar dessa attribut till anspråk som sedan matas ut i tokensvaret som utfärdats till det förlitande partprogrammet.

Två exempel på OpenID-baserade identitetsprovidrar som ACS stöder är Google och Yahoo!, som kan konfigureras i ACS-hanteringsportalen. Mer information finns i Google och Yahoo!.

Andra identitetsprovidrar som stöder OpenID 2.0-autentiseringsslutpunkter kan konfigureras programmatiskt med hjälp av ACS Management Service. Mer information finns i How to: Use ACS Management Service to Configure an OpenID Identity Provider (Så här använder du ACS-hanteringstjänsten för att konfigurera en OpenID-identitetsprovider).

Anspråkstyper med stöd

I följande tabell visas de anspråkstyper som är tillgängliga för ACS från OpenID-identitetsprovidrar. Som standard identifieras anspråkstyper i ACS unikt med hjälp av en URI för kompatibilitet med SAML-tokenspecifikationen. Dessa URI:er används också för att identifiera anspråk i andra tokenformat.

Anspråkstyp	URI	Description
Namn-ID	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier	Ett openid.claimed_id värde som returneras av identitetsprovidern.
Name	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	Attribut http://axschema.org/namePerson som returneras av identitetsprovidern via OpenID-attributet Exchange-tillägget. Om det här attributet inte finns är anspråksvärdet sammanlänkningen av http://axschema.org/namePerson/first och http://axschema.org/namePerson/last.
E-postadress	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	Attribut http://axschema.org/contact/email som returneras av identitetsprovidern via OpenID-attributet Exchange-tillägget.
Identitetsprovider	https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider	Ett anspråk som tillhandahålls av ACS som talar om för det förlitande partprogrammet vilken OpenID-identitetsprovider som används för att autentisera användaren.

Se även

Begrepp

ACS 2.0-komponenter