导出 (0) 打印
全部展开

标识提供者

发布时间: 2011年4月

更新时间: 2011年5月

应用到: Windows Azure

在 Windows Azure AppFabric 访问控制服务 (ACS) 上下文中,标识提供者是一种服务,该服务可对用户或客户端身份进行身份验证,并颁发可由 ACS 使用的安全令牌。配置了标识提供者后,ACS 将信任由该标识提供者颁发的令牌,并将这些令牌中存在的声明作为 ACS 规则引擎的输入内容。然后,ACS 规则引擎转换或传递其为信赖方应用颁发的令牌中的声明。ACS 命名空间的所有者可以在其命名空间中配置一个或多个标识提供者。

在 ACS 中,标识提供者可与多个信赖方应用程序关联。同样,ACS 信赖方应用可与多个标识提供者关联。有关信赖方应用的详细信息,请参阅信赖方应用

ACS 管理门户为配置以下标识提供者提供内置的支持:

除了这些标识提供者之外,ACS 还支持通过 ACS 管理服务以编程方式配置以下标识提供者类型:

WS 信任标识提供者

WS 信任标识提供者使用 WS 信任协议将身份声明传递到 ACS,它们在 Web 服务方案中最常用。许多 WS 信任标识提供者还支持 WS 联合身份验证,并且可在 ACS 中配置为 WS 联合身份验证标识提供者以创建所需的信任关系。一个 WS 信任标识提供者示例为 Active Directory Federation Services (AD FS) 2.0(也是 WS 联合身份验证标识提供者),后者允许您将企业 Active Directory 服务帐户与 ACS 集成。有关详细信息,请参阅如何:将 AD FS 2.0 配置为标识提供者

基于 OpenID 的标识提供者

ACS 支持使用 OpenID 2.0 身份验证协议针对网站和 Web 应用程序联合基于 OpenID 的标识提供者。ACS OpenID 实施允许在 ACS 中将 OpenID 身份验证终结点配置为标识提供者实体的一部分。为信赖方应用呈现 ACS 登录页时,ACS 会将 OpenID 身份验证请求构造为该标识提供者登录 URL 的一部分。当用户选择标识提供者并在请求的 URL 登录后,OpenID 响应将返回到 ACS,由 ACS 规则引擎进行处理。ACS 使用 OpenID 属性交换扩展检索 OpenID 用户属性,并将这些属性映射到一些声明,这些声明稍后在颁发给信赖方应用的令牌响应中输出。

ACS 支持的两个基于 OpenID 的标识提供者示例为 Google 和 Yahoo!,这些标识提供者可以在 ACS 管理门户中进行配置。有关详细信息,请参阅 GoogleYahoo!

对于支持 OpenID 2.0 身份验证终结点的其他标识提供者,可以使用 ACS 管理服务以编程方式进行配置。有关详细信息,请参阅如何:使用管理服务配置 OpenID 标识提供者

支持的声明类型

下表显示了 ACS 可以为 OpenID 标识提供者使用的声明类型。默认情况下,ACS 中的声明类型可使用符合 SAML 令牌规范的 URI 唯一标识。这些 URI 也用于标识其他令牌格式的声明。

 

声明类型 URI 说明

名称标识符

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

标识提供者返回的 openid.claimed_id 值。

名称

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

通过 OpenID 属性交换扩展由标识提供者返回的属性 http://axschema.org/namePerson。如果该属性不存在,则声明值将为 http://axschema.org/namePerson/first 与 http://axschema.org/namePerson/last 的连接结果。

电子邮件地址

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

通过 OpenID 属性交换扩展由标识提供者返回的属性 http://axschema.org/contact/email。

标识提供者

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

ACS 提供的声明,通知信赖方应用程序哪个 OpenID 标识提供者用于对用户进行身份验证。

另请参见

显示:
© 2014 Microsoft