Share via

Vorgehensweise: Hinzufügen von Dienstidentitäten mit einem X.509-Zertifikat, kennwort oder symmetrischen Schlüssel

  • Artikel

Aktualisiert: 19. Juni 2015

Gilt für: Azure

Gilt für

  • Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS)

Zusammenfassung

Dienstidentitäten sind eine Art von Anmeldeinformationen, die global für den Access Control Namespace konfiguriert sind, mit dem Anwendungen oder Benutzer sich direkt mit ACS authentifizieren und ein Token empfangen können. Dienstidentitäten werden am häufigsten in REST-Webdienstszenarien mithilfe des OAuth WRAP-Protokolls verwendet, in dem ein Client ein SWT-Direkttoken von ACS anfordert, um dem Webdienst anzuzeigen.

Inhalte

  • Ziele

  • Übersicht

  • Schritt 1 – Hinzufügen einer Dienstidentität mit einem Kennwort

  • Schritt 2 – Hinzufügen einer Dienstidentität mit einem symmetrischen Schlüssel

  • Schritt 3 – Hinzufügen einer Dienstidentität mit einem X.509-Zertifikat

  • Verwandte Elemente

Ziele

  • Aufzählen von Typen von Dienstidentitätanmeldeinformationen.

  • Zuordnen von Anmeldeinformationstypen zu Tokenformaten und Protokollen.

Übersicht

Es gibt drei Typen von Dienstidentitätanmeldeinformationen:

  • Kennwörter – Kennwörter werden in Klartexttokenanforderungen an den Zugriffssteuerungsdienst mithilfe des OAuth WRAP-Protokolls verwendet. Das Kennwortfeld entspricht dem Parameter wrap_password in einer OAuth WRAP v0.9-Tokenanforderung, während das Benutzernamenfeld dem Parameter wrap_name entspricht.

  • Symmetrische Schlüssel – Symmetrische Schlüssel werden in signierten SWT-Tokenanforderungen an den Zugriffssteuerungsdienst mithilfe des OAuth WRAP-Protokolls verwendet. Dieser symmetrische Schlüssel wird zum Erstellen der HMACSHA256-Signatur im signierten SWT-Token verwendet, das an den Zugriffssteuerungsdienst übermittelt wird.

  • X.509-Zertifikate – X.509-Zertifikate (nur öffentlicher Schlüssel) werden verwendet, um die Signatur signierter SAML-Tokenanforderungen zu überprüfen, die ACS mithilfe des WS-Trust-Protokolls vorgenommen haben.

Zusammenfassung von Schritten

  • Schritt 1 – Hinzufügen einer Dienstidentität mit einem Kennwort

  • Schritt 2 – Hinzufügen einer Dienstidentität mit einem symmetrischen Schlüssel

  • Schritt 3 – Hinzufügen einer Dienstidentität mit einem X.509-Zertifikat

Schritt 1 – Hinzufügen einer Dienstidentität mit einem Kennwort

So fügen Sie eine Dienstidentität mit einem Kennwortanmeldeinformationentyp hinzu

  1. Klicken Sie im Access Cloud Service-Verwaltungsportal auf Dienstidentitäten.

  2. Klicken Sie auf Dienstidentität hinzufügen.

  3. Geben Sie im Feld Name einen Namen für die Dienstidentität ein. Dies ist der Wert username, der in der Tokenanforderung verwendet wird.

  4. Klicken Sie auf Speichern.

  5. Klicken Sie auf der nächsten Seite auf Anmeldeinformationen hinzufügen.

  6. Geben Sie im Feld "Anzeigename " einen Wert an.

  7. Wählen Sie im Feld Typ die Option Kennwort aus.

  8. Geben Sie in das Feld Kennwort ein Kennwort ein.

  9. Legen Sie im Feld "Effektives Datum " das Datum fest, an dem diese Anmeldeinformationen wirksam werden.

  10. Legen Sie im Feld "Ablaufdatum " das Datum fest, an dem diese Anmeldeinformationen ablaufen.

  11. Klicken Sie auf Speichern.

Schritt 2 – Hinzufügen einer Dienstidentität mit einem symmetrischen Schlüssel

So fügen Sie eine Dienstidentität mit einem Anmeldeinformationentyp "Symmetrischer Schlüssel" hinzu

  1. Klicken Sie auf der Hauptseite des Access Control Service-Verwaltungsportals auf Dienstidentitäten.

  2. Klicken Sie auf Dienstidentität hinzufügen.

  3. Geben Sie im Feld Name einen Namen für die Dienstidentität ein.

  4. Klicken Sie unten auf der Seite auf Speichern.

  5. Klicken Sie auf der nächsten Seite auf Anmeldeinformationen hinzufügen.

  6. Geben Sie im Feld Anzeigename einen Wert ein.

  7. Wählen Sie im Feld Typ die Option Symmetrischer Schlüssel aus.

  8. Klicken Sie im Feld Schlüssel auf Generieren, um automatisch einen zufälligen symmetrischen 256-Bit-Schlüssel zu generieren. Sie können auch einen eigenen symmetrischen 256-Bit-Schlüssel eingeben.

  9. Legen Sie im Feld Gültigkeitsdatum das Datum fest, ab dem die Anmeldeinformationen gültig sind.

  10. Legen Sie im Feld Ablaufdatum das Datum fest, an dem die Anmeldeinformationen ablaufen.

  11. Klicken Sie auf Speichern.

Schritt 3 – Hinzufügen einer Dienstidentität mit einem X.509-Zertifikat

So fügen Sie eine Dienstidentität mit einem Anmeldeinformationentyp "X.509-Zertifikat" hinzu

  1. Klicken Sie auf der Hauptseite des Access Control Service-Verwaltungsportals auf Dienstidentitäten.

  2. Klicken Sie auf Dienstidentität hinzufügen.

  3. Geben Sie im Feld Anzeigename einen Namen für die Dienstidentität ein.

  4. Klicken Sie auf Speichern.

  5. Klicken Sie auf der nächsten Seite auf Anmeldeinformationen hinzufügen.

  6. Geben Sie im Feld Name einen Wert ein.

  7. Wählen Sie im Feld Typ die Option X.509-Zertifikat aus.

  8. Navigieren Sie im Feld Zertifikat zu einem X.509-Zertifikat (CER-Datei), das den öffentlichen Schlüssel enthält, der für die Überprüfung von Tokensignaturen erforderlich ist, und laden Sie dieses X.509-Zertifikat dann.

  9. Klicken Sie auf Speichern.

Weitere Informationen

Konzepte

ACS – Vorgehensweisen