AcquistaBuy
1-855-856-7678
SupportoSupport
Provider di identità
Pubblicato: aprile 2011
Aggiornamento: maggio 2011
Si applica a: Windows Azure
Nel contesto di AppFabric Access Control Service (ACS) in Windows Azure un provider di identità è un servizio che autentica le identità di utenti o client e rilascia token di sicurezza utilizzabili da ACS. Quando viene configurato un provider di identità, ACS considera attendibili i token da esso rilasciati e utilizza le attestazioni presenti in tali token come input per il motore regole ACS. Il motore regole ACS provvede quindi a trasformare o passare le attestazioni nel token rilasciato per le applicazioni relying party. Il proprietario di uno spazio dei nomi ACS può configurare uno o più provider di identità nel relativo spazio dei nomi.
In ACS è possibile associare un provider di identità a più applicazioni relying party e, analogamente, un'applicazione relying party ACS a più provider di identità. Per ulteriori informazioni sulle applicazioni relying party, vedere Applicazioni relying party.
Il portale di gestione ACS offre supporto incorporato per la configurazione dei seguenti provider di identità:
Oltre a questi provider di identità, ACS supporta la configurazione a livello di codice dei seguenti tipi di provider di identità tramite il servizio di gestione ACS:
Provider di identità WS-Trust
I provider di identità WS-Trust passano attestazioni di identità ad ACS mediante il protocollo WS-Trust e vengono spesso utilizzati in scenari con servizi Web. Molti provider di identità WS-Trust supportano inoltre WS-Federation e possono essere configurati in ACS come provider di identità WS-Federation per creare la relazione di trust necessaria. Un esempio di provider di identità WS-Trust è Active Directory Federation Services (AD FS) 2.0, che è anche un provider di identità WS-Federation e consente di integrare gli account del servizio Active Directory dell'organizzazione con ACS. Per ulteriori informazioni, vedere Procedura: configurare ADFS 2.0 come provider di identità.
Provider di identità basati su OpenID
ACS supporta la federazione con provider di identità basati su OpenID per siti e applicazioni Web mediante il protocollo di autenticazione OpenID 2.0. L'implementazione di OpenID in ACS consente di configurare un endpoint di autenticazione OpenID all'interno dell'entità di un provider di identità in ACS. Quando viene eseguito il rendering di una pagina di accesso ACS per un'applicazione relying party, ACS crea una richiesta di autenticazione OpenID all'interno dell'URL di accesso per il provider di identità. Quando un utente seleziona il provider di identità ed esegue l'accesso nell'URL richiesto, la risposta OpenID viene restituita ad ACS, dove viene rielaborata dal motore regole ACS. ACS recupera gli attributi utente OpenID mediante l'estensione OpenID Attribute Exchange ed esegue il mapping di tali attributi alle attestazioni, che vengono quindi inserite nella risposta del token rilasciata all'applicazione relying party.
Due esempi di provider di identità basati su OpenID supportati in ACS sono Google e Yahoo!, che è possibile configurare nel portale di gestione ACS. Per ulteriori informazioni, vedere Google e Yahoo!.
È possibile configurare a livello di codice altri provider di identità che supportano endpoint di autenticazione OpenID 2.0 mediante il servizio di gestione ACS. Per ulteriori informazioni, vedere Procedura: utilizzare il servizio di gestione per configurare OpenID cpme provider di identità.
Tipi di attestazione supportati
Nella tabella riportata di seguito sono illustrati i tipi di attestazione disponibili per ACS da provider di identità OpenID. Per impostazione predefinita, i tipi di attestazione in ACS vengono identificati in modo univoco utilizzando un URI per conformità con la specifica di token SAML. Gli URI vengono utilizzati anche per identificare le attestazioni in altri formati di token.
| Tipo di attestazione | URI | Descrizione |
|---|---|---|
|
ID nome |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
Valore openid.claimed_id restituito dal provider di identità. |
|
Nome |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
Attributo http://axschema.org/namePerson restituito dal provider di identità tramite l'estensione OpenID Attribute Exchange. Se questo attributo non è presente, il valore dell'attestazione corrisponderà alla concatenazione di http://axschema.org/namePerson/first e http://axschema.org/namePerson/last. |
|
Indirizzo di posta elettronica |
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Attributo http://axschema.org/contact/email restituito dal provider di identità tramite l'estensione OpenID Attribute Exchange. |
|
Provider di identità |
http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider |
Attestazione fornita da ACS per comunicare all'applicazione relying party il provider di identità OpenID utilizzato per l'autenticazione dell'utente. |
