Экспорт (0) Печать
Развернуть все

Поставщики удостоверений

Опубликовано: Апрель 2011 г.

Обновлено: Июнь 2014 г.

Назначение: Azure

ImportantВажно!
С 19 мая 2014 г. новые пространства имен ACS не смогут использовать Google как поставщик удостоверений. Пространства имен ACS, использовавшие Google и зарегистрированные до этой даты, не затронуты данным изменением. Дополнительные сведения см. в Заметки о выпуске.

В контексте Microsoft Azure Active Directory Access Control (также называется Access Control Service или ACS) под поставщиком удостоверений понимается служба, проверяющая подлинность пользователя или клиента и выдающая маркеры безопасности, которые может использовать Служба управления доступом. При настройке поставщика удостоверений Служба управления доступом считает надежными маркеры, выданные им, и использует утверждения из них в качестве входных данных для подсистемы обработки правил Служба управления доступом. Подсистема обработки правил Служба управления доступом преобразует или передает утверждения в маркер, который выдается приложению проверяющей стороны. Владелец пространства имен службы Пространство имен Access Control может настроить несколько поставщиков в нем.

В Служба управления доступом поставщик удостоверений можно связать с несколькими приложениями проверяющей стороны. Аналогично, приложение проверяющей стороны в Служба управления доступом можно связать с несколькими поставщиками. Дополнительные сведения о приложениях проверяющей стороны см. в разделе Приложения проверяющей стороны.

Портал управления Служба управления доступом обеспечивает встроенную поддержку настройки следующих поставщиков удостоверений:

Помимо этих поставщиков удостоверений, Служба управления доступом поддерживает программную настройку следующих типов поставщиков удостоверений через службу управления Служба управления доступом:

Поставщики удостоверений WS-Trust передают утверждения в Служба управления доступом по протоколу WS-Trust и чаще всего используются с веб-службами. Многие поставщики удостоверений WS-Trust также поддерживают WS-Federation, и их можно настроить в Служба управления доступом как поставщики WS-Federation для создания требуемого отношения доверия. Пример поставщика удостоверений WS-Trust — это (также является поставщиком WS-Federation). Эта служба позволяет интегрировать корпоративные учетные записи Active Directory с Служба управления доступом. Дополнительные сведения см. в Инструкция по настройке AD FS 2.0 в качестве поставщика удостоверений.

Служба управления доступом поддерживает федерацию с использованием поставщиков удостоверений OpenID для веб-сайтов и веб-приложений по протоколу проверки подлинности OpenID 2.0. Реализация OpenID в Служба управления доступом позволяет настроить конечную точку проверки подлинности OpenID в составе сущности поставщика удостоверений в Служба управления доступом. При отображении страницы входа Служба управления доступом для приложения проверяющей стороны Служба управления доступом создает запрос проверки подлинности OpenID в составе URL-адреса входа для поставщика удостоверений. Когда пользователь выбирает поставщик удостоверений и входит по указанному URL-адресу, в Служба управления доступом отправляется ответ OpenID, где он обрабатывается подсистемой обработки правил Служба управления доступом. Служба управления доступом получает атрибуты пользователя OpenID с помощью расширения обмена атрибутами OpenID и сопоставляет их с утверждениями, которые затем передаются в ответном маркере приложению проверяющей стороны.

Примеры поставщиков удостоверений OpenID, поддерживаемых Служба управления доступом, — это Google и Yahoo!, которые можно настроить на портале управления Служба управления доступом. Дополнительные сведения см. в разделах Google и Yahoo!.

Другие поставщики удостоверений, поддерживающие конечные точки проверки подлинности OpenID 2.0, можно настроить программным методом, используя службу управления Служба управления доступом. Дополнительные сведения см. в Инструкции использованию службы управления ACS для настройки поставщика удостоверений OpenID.

В следующей таблице приведены типы утверждений, доступные в Служба управления доступом при использовании поставщиков удостоверений OpenID. По умолчанию типы утверждений в Служба управления доступом уникальным образом идентифицируются по URI для обеспечения совместимости со спецификацией маркеров SAML. Эти URI также используются для идентификации утверждений в других форматах маркеров.

 

Тип утверждения URI Описание

Идентификатор имени

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Значение openid.claimed_id, возвращенное поставщиком.

Название

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Атрибут http://axschema.org/namePerson, возвращенный поставщиком через расширение обмена атрибутами OpenID. Если атрибут отсутствует, значение утверждения будет результатом конкатенации http://axschema.org/namePerson/first и http://axschema.org/namePerson/last.

Адрес электронной почты

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Атрибут http://axschema.org/contact/email, возвращенный поставщиком через расширение обмена атрибутами OpenID.

Поставщик удостоверений

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Утверждение, предоставляемое Служба управления доступом и сообщающее приложению проверяющей стороны, что пользователь прошел проверку подлинности, используя выбранный поставщик удостоверений OpenID.

См. также

Основные понятия

Компоненты ACS 2.0

Добавления сообщества

ДОБАВИТЬ
Показ:
© 2014 Microsoft