Proveedores de identidades

Actualizado: 19 de junio de 2015

Se aplica a: Azure

Importante

Los espacios de nombres ACS pueden migrar sus configuraciones de proveedor de identidades de Google de OpenID 2.0 a OpenID Connect. La migración debe completarse antes del 1 de junio de 2015. Para obtener instrucciones detalladas, consulte Migración de espacios de nombres de ACS a Google OpenID Conectar.

En Microsoft Azure Active Directory Access Control (también conocido como servicio de Access Control o ACS), un proveedor de identidades es un servicio que autentica las identidades de usuario o cliente y emite tokens de seguridad que ACS consume. Cuando se configura un proveedor de identidades, ACS confía en los tokens emitidos por ese proveedor de identidades y usa las notificaciones de esos tokens como entradas para el motor de reglas de ACS. El motor de reglas de ACS transforma o pasa por estas notificaciones e incluyelas en el token que emite para las aplicaciones de usuario de confianza. El propietario de un espacio de nombres Access Control puede configurar uno o varios proveedores de identidades en su espacio de nombres.

En ACS, un proveedor de identidades se puede asociar a más de una aplicación de usuario de confianza. Del mismo modo, una aplicación de usuario de confianza de ACS se puede asociar a más de un proveedor de identidades. Para obtener más información sobre las aplicaciones de usuario de confianza, consulte Aplicaciones de usuario autenticado.

El Portal de administración de ACS proporciona compatibilidad integrada para configurar los siguientes proveedores de identidades:

• Windows Live ID como proveedor de identidades de ACS

• Facebook como proveedor de identidades de ACS

• Google como proveedor de identidades de ACS

• Yahoo! como proveedor de identidades de ACS

• Proveedores de identidad de WS-Federation

Además de estos proveedores de identidades, ACS admite la configuración de los siguientes tipos de proveedor de identidades mediante programación a través del servicio de administración de ACS:

• Proveedores de identidades WS-Trust

• Proveedores de identidades OpenID-Based

Proveedores de identidades WS-Trust

WS-Trust proveedores de identidades pasan notificaciones de identidad a ACS mediante el protocolo WS-Trust y se usan con más frecuencia en escenarios de servicio web. Muchos proveedores de identidades WS-Trust también admiten WS-Federation y se pueden configurar en ACS como proveedores de identidades WS-Federation para crear la relación de confianza necesaria. Un ejemplo de un proveedor de identidades de WS-Trust es (también un proveedor de identidades WS-Federation), que permite integrar las cuentas de servicio de Active Directory empresarial con ACS. Para obtener más información, vea Cómo: Configurar AD FS 2.0 como proveedor de identidades.

Proveedores de identidades OpenID-Based

ACS admite la federación con proveedores de identidades basados en OpenID para sitios web y aplicaciones web, mediante el protocolo de autenticación OpenID 2.0. La implementación de OpenID de ACS permite configurar un punto de conexión de autenticación de OpenID como parte de una entidad del proveedor de identidades en ACS. Cuando se representa una página de inicio de sesión de ACS para una aplicación de usuario de confianza, ACS crea una solicitud de autenticación de OpenID como parte de la dirección URL de inicio de sesión del proveedor de identidades. Una vez que un usuario selecciona el proveedor de identidades y inicia sesión en la dirección URL solicitada, el motor de reglas de ACS procesa la respuesta de OpenID. ACS recupera los atributos de usuario de OpenID mediante el atributo OpenID Exchange Extensión y asigna estos atributos a las notificaciones que, a continuación, se generan en la respuesta del token emitida a la aplicación de usuario de confianza.

Dos ejemplos de proveedores de identidades basados en OpenID compatibles con ACS son Google y Yahoo!, que se pueden configurar en el Portal de administración de ACS. Para obtener más información, consulta Google y Yahoo!.

Otros proveedores de identidades que admiten puntos de conexión de autenticación de OpenID 2.0 se pueden configurar mediante programación mediante el servicio de administración de ACS. Para obtener más información, consulte How to: Use ACS Management Service to Configure an OpenID Identity Provider.

Tipos de notificaciones admitidos

En la tabla siguiente se muestran los tipos de notificación que están disponibles para ACS desde proveedores de identidades de OpenID. De forma predeterminada, los tipos de notificaciones de ACS se identifican de forma única mediante un URI para cumplir con la especificación del token saml. Estos URI también se pueden usar para identificar notificaciones en otros formatos de token.

Tipo de notificación	URI	Descripción
Identificador de nombre	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier	Valor openid.claimed_id que devuelve el proveedor de identidades.
Nombre	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	Atributo http://axschema.org/namePerson devuelto por el proveedor de identidades a través de la extensión de Exchange atributo OpenID. Si este atributo no está presente, el valor de la notificación será la concatenación de http://axschema.org/namePerson/first y http://axschema.org/namePerson/last.
Dirección de correo electrónico	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	Atributo http://axschema.org/contact/email devuelto por el proveedor de identidades a través de la extensión de Exchange atributo OpenID.
Proveedor de identidades	https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider	Una notificación proporcionada por ACS que indica a la aplicación de usuario de confianza qué proveedor de identidades de OpenID se usa para autenticar al usuario.

Consulte también

Conceptos

Componentes de ACS 2.0