Diese Dokumentation wurde archiviert und wird nicht länger gepflegt.

Vorgehensweise: Hinzufügen von Dienstidentitäten mit einem X.509-Zertifikat, Kennwort oder symmetrischen Schlüssel

Veröffentlicht: April 2011

Letzte Aktualisierung: Juni 2015

Betrifft: Azure

  • Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS)

Dienstidentitäten sind ein Typ von Anmeldeinformationen, die global für den Namespace für die Zugriffssteuerung konfiguriert werden. Sie ermöglichen Anwendungen oder Clients die direkte Authentifizierung bei ACS sowie den Empfang eines Tokens. Dienstidentitäten werden häufig in REST-Webdienstszenarien mit dem OAuth WRAP-Protokoll verwendet, in denen ein Client ein SWT-Token direkt von ACS anfordert, um dieses an den Webdienst zu übermitteln.

  • Ziele

  • Überblick

  • Schritt 1 – Hinzufügen einer Dienstidentität mit einem Kennwort

  • Schritt 2 – Hinzufügen einer Dienstidentität mit einem symmetrischen Schlüssel

  • Schritt 3 – Hinzufügen einer Dienstidentität mit einem X.509-Zertifikat

  • Verwandte Elemente

  • Aufzählen von Typen von Dienstidentitätanmeldeinformationen.

  • Zuordnen von Anmeldeinformationstypen zu Tokenformaten und Protokollen.

Es gibt drei Typen von Dienstidentitätanmeldeinformationen:

  • Kennwörter – Kennwörter werden in Klartexttokenanforderungen an den Zugriffssteuerungsdienst mithilfe des OAuth WRAP-Protokolls verwendet. Das Kennwortfeld entspricht dem Parameter wrap_password in einer OAuth WRAP v0.9-Tokenanforderung, während das Benutzernamenfeld dem Parameter wrap_name entspricht.

  • Symmetrische Schlüssel – Symmetrische Schlüssel werden in signierten SWT-Tokenanforderungen an den Zugriffssteuerungsdienst mithilfe des OAuth WRAP-Protokolls verwendet. Dieser symmetrische Schlüssel wird zum Erstellen der HMACSHA256-Signatur im signierten SWT-Token verwendet, das an den Zugriffssteuerungsdienst übermittelt wird.

  • X.509-Zertifikate – X.509-Zertifikate (nur öffentlicher Schlüssel) werden zum Überprüfen der Signatur signierter SAML-Tokenanforderungen an ACS mithilfe des WS-Trust-Protokolls verwendet.

  • Schritt 1 – Hinzufügen einer Dienstidentität mit einem Kennwort

  • Schritt 2 – Hinzufügen einer Dienstidentität mit einem symmetrischen Schlüssel

  • Schritt 3 – Hinzufügen einer Dienstidentität mit einem X.509-Zertifikat

  1. Klicken Sie im Access Cloud Service-Verwaltungsportal auf Dienstidentitäten.

  2. Klicken Sie auf Dienstidentität hinzufügen.

  3. Geben Sie im Feld Name einen Namen für die Dienstidentität ein. Dies ist der Wert username, der in der Tokenanforderung verwendet wird.

  4. Klicken Sie auf Speichern.

  5. Klicken Sie auf der nächsten Seite auf Anmeldeinformationen hinzufügen.

  6. Geben Sie im Feld Anzeigename einen Wert ein.

  7. Wählen Sie im Feld Typ die Option Kennwort aus.

  8. Geben Sie in das Feld Kennwort ein Kennwort ein.

  9. Legen Sie im Feld Gültigkeitsdatum das Datum fest, ab dem die Anmeldeinformationen gültig sind.

  10. Legen Sie im Feld Ablaufdatum das Datum fest, an dem die Anmeldeinformationen ablaufen.

  11. Klicken Sie auf Speichern.

  1. Klicken Sie auf der Hauptseite des Access Control Service-Verwaltungsportals auf Dienstidentitäten.

  2. Klicken Sie auf Dienstidentität hinzufügen.

  3. Geben Sie im Feld Name einen Namen für die Dienstidentität ein.

  4. Klicken Sie auf Speichern.

  5. Klicken Sie auf der nächsten Seite auf Anmeldeinformationen hinzufügen.

  6. Geben Sie im Feld Anzeigename einen Wert ein.

  7. Wählen Sie im Feld Typ die Option Symmetrischer Schlüssel aus.

  8. Klicken Sie im Feld Schlüssel auf Generieren, um automatisch einen zufälligen symmetrischen 256-Bit-Schlüssel zu generieren. Sie können auch einen eigenen symmetrischen 256-Bit-Schlüssel eingeben.

  9. Legen Sie im Feld Gültigkeitsdatum das Datum fest, ab dem die Anmeldeinformationen gültig sind.

  10. Legen Sie im Feld Ablaufdatum das Datum fest, an dem die Anmeldeinformationen ablaufen.

  11. Klicken Sie auf Speichern.

  1. Klicken Sie auf der Hauptseite des Access Control Service-Verwaltungsportals auf Dienstidentitäten.

  2. Klicken Sie auf Dienstidentität hinzufügen.

  3. Geben Sie im Feld Anzeigename einen Namen für die Dienstidentität ein.

  4. Klicken Sie auf Speichern.

  5. Klicken Sie auf der nächsten Seite auf Anmeldeinformationen hinzufügen.

  6. Geben Sie im Feld Name einen Wert ein.

  7. Wählen Sie im Feld Typ die Option X.509-Zertifikat aus.

  8. Navigieren Sie im Feld Zertifikat zu einem X.509-Zertifikat (CER-Datei), das den öffentlichen Schlüssel enthält, der für die Überprüfung von Tokensignaturen erforderlich ist, und laden Sie dieses X.509-Zertifikat dann.

  9. Klicken Sie auf Speichern.

Siehe auch

Anzeigen: