如何:使用 X.509 证书、密码或对称密钥添加服务标识
更新时间:2015 年 6 月 19 日
适用于:Azure
应用于
- Microsoft Azure Active Directory 访问控制(也称为访问控制服务或 ACS)
总结
服务标识是针对访问控制命名空间全局配置的凭据类型,它允许应用程序或用户直接使用 ACS 进行身份验证并接收令牌。 服务标识最常在 REST Web 服务方案中使用 OAuth WRAP 协议,其中客户端将 SWT 直接令牌从 ACS 请求呈现给 Web 服务。
目录
目标
概述
步骤 1 - 添加具有密码的服务标识
步骤 2 - 添加具有对称密钥的服务标识
步骤 3 - 添加具有 X.509 证书的服务标识
相关项
目标
枚举服务标识凭据的类型。
将凭据类型映射到令牌格式和协议。
概述
有三种类型的服务标识凭据:
密码 - 密码在使用 OAuth WRAP 协议对访问控制服务发出的明文令牌请求中使用。 密码字段对应于 OAuth WRAP V0.9 令牌请求中的 wrap_password 参数,而用户名字段对应于 wrap_name 参数。
对称密钥 - 对称密钥在使用 OAuth WRAP 协议对访问控制服务发出的签名 SWT 令牌请求中使用。 此对称密钥用于在提供给访问控制服务的签名 SWT 令牌中创建 HMACSHA256 签名。
X.509 证书 — X.509 证书 (公钥仅) 用于验证使用 WS-Trust 协议发出 ACS 的已签名 SAML 令牌请求的签名。
步骤摘要
步骤 1 - 添加具有密码的服务标识
步骤 2 - 添加具有对称密钥的服务标识
步骤 3 - 添加具有 X.509 证书的服务标识
步骤 1 - 添加具有密码的服务标识
添加密码凭据类型的服务标识
在“访问控制服务”管理门户中,单击“服务标识”。
单击“添加服务标识”。
在“名称”字段中,输入服务标识的名称。 这将是令牌请求中使用的用户名值。
单击“ 保存”。
在下一页上,单击“添加凭据”。
在 “显示名称 ”字段中,提供一个值。
在“类型”字段中,选择“密码”。
在“密码”字段中,输入密码。
在 “生效日期 ”字段中,设置此凭据生效的日期。
在 “过期日期”字段中 ,设置此凭据将过期的日期。
单击“ 保存”。
步骤 2 - 添加具有对称密钥的服务标识
添加对称密钥凭据类型的服务标识
在访问控制服务管理门户主页上,单击“服务标识”。
单击“添加服务标识”。
在“名称”字段中,输入服务标识的名称。
单击“保存”
在下一页上,单击“添加凭据”。
在“显示名称”字段中提供值。
在“类型”字段中,选择“对称密钥”。
在“密钥”字段中,单击“生成”以自动生成一个随机 256 位对称密钥。 或者,输入你自己的 256 位对称密钥。
在“生效日期”字段中,设置此凭据将生效的日期。
在“到期日期”字段中,设置此凭据将到期的日期。
单击“ 保存”。
步骤 3 - 添加具有 X.509 证书的服务标识
添加 X.509 证书凭据类型的服务标识
在访问控制服务管理门户主页上,单击“服务标识”。
单击“添加服务标识”。
在“显示名称”字段中,输入服务标识的名称。
单击“ 保存”。
在下一页上,单击“添加凭据”。
在“名称”字段中提供值。
在“类型”字段中,选择“X.509 证书”。
在“证书”字段中,浏览到包含有效令牌签名所需的公钥的 X.509 证书(.cer 文件),然后进行加载。
单击“ 保存”。