匯出 (0) 列印
全部展開

身分識別提供者

發佈時間: 2011年4月

更新日期: 2014年6月

適用於: Azure

在 Microsoft Azure Active Directory 存取控制服務 (也稱為「存取控制服務」或 ACS) 的內容中,身分識別提供者是一項服務,可驗證使用者或用戶端身分識別,並簽發可由 ACS 使用的安全性權杖。設定身分識別提供者後,ACS 將信任該身分識別提供者所簽發的權杖,並將那些權杖中出現的宣告作為 ACS 規則引擎的輸入。ACS 規則引擎接著會在它針對信賴憑證者應用程式所簽發的權杖中,轉換或傳遞這些宣告。ACS 命名空間的擁有者可在其命名空間內設定一或多個身分識別提供者。

在 ACS 中,一個身分識別提供者可以和一個以上的信賴憑證者應用程式產生關聯。同樣的,一個 ACS 信賴憑證者應用程式可以和一個以上的身分識別提供者產生關聯。如需信賴憑證者應用程式的相關資訊,請參閱信賴憑證者應用程式

ACS 管理入口網站提供內建的支援來設定下列身分識別提供者:

除了這些身分識別提供者外,ACS 可透過 ACS 管理視窗,利用程式設計支援下列身分識別提供者類型的設定:

WS-Trust 身分識別提供者可使用 WS-Trust 通訊協定,將身分識別宣告傳遞至 ACS,並且最常在 Web 服務案例中使用。許多 WS-Trust 身分識別提供者也支援 WS-同盟,並可在 ACS 中設定為 WS-同盟身分識別提供者以建立必要的信任關係。 是 WS-Trust 身分識別提供者的一個例子 (也是 WS-同盟身分識別提供者),可讓您整合企業 Active Directory 服務帳戶與 ACS。如需相關資訊,請參閱作法:將 AD FS 2.0 設定為身分識別提供者

ACS 使用 OpenID 2.0 驗證通訊協定,針對網站和 Web 應用程式支援與 OpenID 型身分識別提供者的同盟。ACS OpenID 實作允許在 ACS 中,將 OpenID 驗證端點設定為身分識別提供者實體的一部分。為信賴憑證者應用程式轉譯 ACS 登入頁面時,ACS 將建構 OpenID 驗證要求,將其作為身分識別提供者的登入 URL 之一部分。在使用者選取身分識別提供者並登入要求的 URL 之後,會將 OpenID 回應傳回至 ACS,讓 ACS 規則引擎處理該回應。ACS 將使用「OpenID 屬性交換延伸」來擷取 OpenID 使用者屬性,並將這些屬性對應至宣告,接著在簽發至信賴憑證者應用程式的權杖回應中輸出這些宣告。

Google 和 Yahoo! 是 ACS 支援的兩個 OpenID 型身分識別提供者範例,可在 ACS 管理入口網站中設定這些身分識別提供者。如需相關資訊,請參閱 GoogleYahoo!

其他支援 OpenID 2.0 驗證端點的身分識別提供者可使用 ACS 管理服務,以程式設計方式進行設定。如需相關資訊,請參閱作法:使用管理服務來設定 OpenID 身分識別提供者

下表顯示 OpenID 身分識別提供者的 ACS 可用宣告類型。預設會使用符合 SAML 權杖規格的 URI 來唯一識別 ACS 中的宣告類型。這些 URI 也可以用於識別使用其他權杖格式的宣告。

 

宣告類型 URI 說明

名稱識別碼

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

身分識別提供者傳回的 openid.claimed_id 值。

名稱

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

身分識別提供者透過「OpenID 屬性交換延伸」傳回的屬性 http://axschema.org/namePerson。若未出現此屬性,宣告值將是 http://axschema.org/namePerson/first 和 http://axschema.org/namePerson/last 的串連。

電子郵件地址

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

身分識別提供者透過「OpenID 屬性交換延伸」傳回的屬性 http://axschema.org/contact/email。

身分識別提供者

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

ACS 提供的宣告,可判斷 OpenID 身分識別提供者用於驗證使用者的信賴憑證者應用程式。

另請參閱

社群新增項目

新增
顯示:
© 2014 Microsoft