Identitätsanbieter

Aktualisiert: 19. Juni 2015

Gilt für: Azure

Wichtig

ACS-Namespaces können ihre Google-Identitätsanbieterkonfigurationen von OpenID 2.0 zu OpenID Connect migrieren. Die Migration muss vor dem 1. Juni 2015 abgeschlossen sein. Ausführliche Anleitungen finden Sie unter Migrieren von ACS-Namespaces zu Google OpenID Verbinden.

In Microsoft Azure Active Directory Access Control (auch als Access Control Dienst oder ACS bezeichnet) ist ein Identitätsanbieter ein Dienst, der Benutzer- oder Clientidentitäten authentifiziert und Sicherheitstoken ausgibt, die ACS verwendet. Wenn ein Identitätsanbieter konfiguriert ist, vertrauen ACS Token, die von diesem Identitätsanbieter ausgestellt wurden und die Ansprüche in diesen Token als Eingaben an das ACS-Regelnmodul verwendet. Das ACS-Regelmodul transformiert oder übergibt diese Ansprüche und enthält sie im Token, das sie für die vertrauenden Parteienanwendungen ausgibt. Der Besitzer eines Access Control Namespaces kann einen oder mehrere Identitätsanbieter in ihrem Namespace konfigurieren.

In ACS kann ein Identitätsanbieter mehr als einer vertrauenden Parteianwendung zugeordnet werden. Ebenso kann eine ACS-Vertrauensparteianwendung mehr als einem Identitätsanbieter zugeordnet werden. Weitere Informationen zu vertrauenden Partyanwendungen finden Sie unter "Vertrauende Parteianwendungen".

Das ACS-Verwaltungsportal bietet integrierte Unterstützung für die Konfiguration der folgenden Identitätsanbieter:

• Windows Live ID als ACS-Identitätsanbieter

• Facebook als ACS-Identitätsanbieter

• Google als ACS-Identitätsanbieter

• Yahoo! als ACS-Identitätsanbieter

• WS-Verbundidentitätsanbieter

Zusätzlich zu diesen Identitätsanbietern unterstützt ACS die Konfiguration der folgenden Identitätsanbietertypen programmgesteuert über den ACS Management Service:

• WS-Trust-Identitätsanbieter

• Auf OpenID basierende Identitätsanbieter

WS-Trust-Identitätsanbieter

WS-Trust Identitätsanbieter übergeben Identitätsansprüche an ACS mithilfe des WS-Trust Protokolls und werden in Webdienstszenarien am häufigsten verwendet. Viele WS-Trust Identitätsanbieter unterstützen auch WS-Federation und können in ACS als WS-Federation Identitätsanbieter konfiguriert werden, um die erforderliche Vertrauensstellung zu erstellen. Ein Beispiel für einen WS-Trust Identitätsanbieter ist (auch ein WS-Federation Identitätsanbieter), mit dem Sie Ihre Enterprise Active Directory-Dienstkonten in ACS integrieren können. Weitere Informationen finden Sie unter Vorgehensweise: Konfigurieren von AD FS 2.0 als Identitätsanbieter.

Auf OpenID basierende Identitätsanbieter

ACS unterstützt Verbund mit OpenID-basierten Identitätsanbietern für Websites und Webanwendungen, indem Sie das OpenID 2.0-Authentifizierungsprotokoll verwenden. Die ACS OpenID-Implementierung ermöglicht es einem OpenID-Authentifizierungsendpunkt, als Teil einer Identitätsanbieter-Entität in ACS konfiguriert zu werden. Wenn eine ACS-Anmeldeseite für eine vertrauende Parteianwendung gerendert wird, erstellt ACS eine OpenID-Authentifizierungsanforderung als Teil der Anmelde-URL für den Identitätsanbieter. Nachdem ein Benutzer den Identitätsanbieter ausgewählt und sich bei der angeforderten URL angemeldet hat, wird die OpenID-Antwort an die ACS zurückgegeben, in der sie vom ACS-Regelmodul verarbeitet wird. ACS ruft OpenID-Benutzerattribute mithilfe des OpenID-Attributs Exchange Extension ab und ordnet diese Attribute den Ansprüchen zu, die dann in der tokenantwort ausgegeben werden, die an die vertrauende Parteianwendung ausgestellt wurde.

Zwei Beispiele für OpenID-basierte Identitätsanbieter, die ACS unterstützt, sind Google und Yahoo!, die im ACS-Verwaltungsportal konfiguriert werden können. Weitere Informationen finden Sie unter Google und Yahoo!.

Andere Identitätsanbieter, die OpenID 2.0-Authentifizierungsendpunkte unterstützen, können programmgesteuert mithilfe des ACS-Verwaltungsdiensts konfiguriert werden. Weitere Informationen finden Sie in der Vorgehensweise: Verwenden des ACS-Verwaltungsdiensts zum Konfigurieren eines OpenID Identity Provider.

Unterstützte Anspruchstypen

In der folgenden Tabelle sind die Anspruchstypen aufgeführt, die für ACS von OpenID-Identitätsanbietern verfügbar sind. Standardmäßig werden Anspruchstypen in ACS mit einem URI für die Einhaltung der SAML-Tokenspezifikation eindeutig identifiziert. Diese URIs werden auch verwendet, um Ansprüche in anderen Tokenformaten zu identifizieren.

Anspruchstyp	URI	BESCHREIBUNG
Namensbezeichner	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier	Ein Wert openid.claimed_id, der vom Identitätsanbieter zurückgegeben wird.
Name	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	Attribut, das vom Identitätsanbieter über das OpenID-Attribut http://axschema.org/namePerson Exchange Erweiterung zurückgegeben wird. Wenn dieses Attribut nicht vorhanden ist, ist der Anspruchswert die Verketteung von http://axschema.org/namePerson/first und http://axschema.org/namePerson/last.
E-Mail-Adresse	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	Attribut, das vom Identitätsanbieter über das OpenID-Attribut http://axschema.org/contact/email Exchange Erweiterung zurückgegeben wird.
Identitätsanbieter	https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider	Ein Anspruch von ACS, der die vertrauende Parteianwendung angibt, welche OpenID-Identitätsanbieter zum Authentifizieren des Benutzers verwendet wird.

Weitere Informationen

Konzepte

ACS 2.0-Komponenten