(0) exportieren Drucken
Alle erweitern

Identitätsanbieter

Veröffentlicht: April 2011

Letzte Aktualisierung: Juni 2014

Betrifft: Azure

Im Kontext von Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS) ist ein Identitätsanbieter ein Dienst, der Benutzer- oder Clientidentitäten authentifiziert und Sicherheitstoken ausstellt, die von ACS verarbeitet werden können. Wenn ein Identitätsanbieter konfiguriert ist, vertraut ACS von diesem Identitätsanbieter ausgestellten Token und verwendet die in diesen Token vorhandenen Ansprüche als Eingaben für das ACS-Reglemodul. Das ACS-Regelmodul transformiert dann diese Ansprüche aus dem Token oder übermittelt sie mithilfe von Pass-Through im Token, das für die Anwendungen der vertrauenden Seite ausgestellt wird. Der Besitzer eines ACS-Namespaces kann mindestens einen Identitätsanbieter in seinem Namespace konfigurieren.

In ACS kann ein Identitätsanbieter mehreren Anwendungen der vertrauenden Seite zugeordnet werden. In ACS können analog einer Anwendung der vertrauenden Seite mehrere Identitätsanbieter zugeordnet werden. Weitere Informationen zu Anwendungen der vertrauenden Seite finden Sie unter Anwendungen der vertrauenden Seite.

Das ACS-Verwaltungsportal bietet integrierte Unterstützung für die Konfiguration der folgenden Identitätsanbieter:

Neben diesen Identitätsanbietern unterstützt ACS programmgesteuert über den ACS-Verwaltungsdienst die Konfiguration der folgenden Identitätsanbietertypen:

WS-Trust-Identitätsanbieter übergeben mithilfe des WS-Trust-Protokolls Identitätsansprüche an ACS und werden am häufigsten in Webdienstszenarien verwendet. Viele WS-Trust-Identitätsanbieter unterstützen auch das WS-Verbundprotokoll und können in ACS als WS-Verbundidentitätsanbieter konfiguriert werden, um die erforderlich Vertrauensstellung zu erstellen. Ein Beispiel für einen WS-Trust-Identitätsanbieter ist (auch ein WS-Verbundidentitätsanbieter). Dieser Identitätsanbieter ermöglicht die Integration der Active Directory-Dienstkonten des Unternehmens in ACS. Weitere Informationen finden Sie unter Vorgehensweise: Konfigurieren von AD FS 2.0 als Identitätsanbieter.

ACS unterstützt den Verbund mit auf OpenID basierenden Identitätsanbietern für Websites und Webdienste mithilfe des OpenID 2.0-Authentifizierungsprotokolls. Die OpenID-Implementierung von ACS ermöglicht die Konfiguration eines OpenID-Authentifizierungsendpunkts als Teil einer Identitätsanbieterentität in ACS. Wenn eine ACS-Anmeldeseite für eine Anwendung der vertrauenden Seite gerendert wird, generiert ACS eine OpenID-Authentifizierungsanforderung als Teil der Anmelde-URL für den Identitätsanbieter. Nachdem ein Benutzer den Identitätsanbieter ausgewählt hat und sich unter der angeforderten URL anmeldet, wird die OpenID-Antwort an ACS zurückgegeben. Dort wird sie durch das ACS-Regelmodul verarbeitet. ACS ruft OpenID-Benutzerattribute mithilfe der OpenID-Attributaustauscherweiterung ab und ordnet diese Attribute Ansprüchen zu, die dann in der Tokenantwort ausgegeben werden, die für die Anwendung der vertrauenden Seite ausgestellt wird.

Zwei Beispiele für auf OpenID basierende Identitätsanbieter, die ACS unterstützt, sind Google und Yahoo!. Beide Anbieter können im ACS-Verwaltungsportal konfiguriert werden. Weitere Informationen finden Sie unter Google und Yahoo!.

Andere Identitätsanbieter, die OpenID 2.0-Authentifizierungsendpunkte unterstützen, können programmgesteuert mithilfe des ACS-Verwaltungsdiensts konfiguriert werden. Weitere Informationen finden Sie unter Vorgehensweise: Verwenden des Verwaltungsdiensts zum Konfigurieren eines OpenID-Internetidentitätsanbieters.

In der folgenden Tabelle werden die für ACS von OpenID-Identitätsanbietern verfügbaren Anspruchstypen aufgeführt. Anspruchstypen in ACS werden standardmäßig mithilfe eines URIs aus Gründen der Konformität mit der SAML-Tokenspezifikation eindeutig identifiziert. Diese URIs werden auch verwendet, um Ansprüche in anderen Tokenformaten zu identifizieren.

 

Anspruchstyp URI Beschreibung

Namenbezeichner

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Ein Wert openid.claimed_id, der vom Identitätsanbieter zurückgegeben wird.

Name

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Das Attribut http://axschema.org/namePerson, das vom Identitätsanbieter über die OpenID-Attributaustauscherweiterung zurückgegeben wird. Wenn dieses Attribut nicht vorhanden ist, besteht der Anspruchswert aus der Verkettung aus http://axschema.org/namePerson/first und http://axschema.org/namePerson/last.

E-Mail-Adresse

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Das Attribut http://axschema.org/contact/email, das vom Identitätsanbieter über die OpenID-Attributaustauscherweiterung zurückgegeben wird.

Identitätsanbieter

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Ein von ACS bereitgestellter Anspruch, der die Anwendung der vertrauenden Seite informiert, welcher OpenID-Identitätsanbieter zum Authentifizieren des Benutzers verwendet wird.

Siehe auch

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft