Esta documentación está archivada y no tiene mantenimiento.

Proveedores de identidad

Publicada: abril de 2011

Actualizado: junio de 2015

Se aplica a: Azure

ImportantImportante
Los espacios de nombres ACS pueden migrar sus configuraciones de proveedor de identidades de Google de OpenID 2.0 a OpenID Connect. La migración se debe completar antes del 1 de junio de 2015. Para ver instrucciones detalladas, consulte Migración de espacios de nombres ACS a OpenID Connect de Google.

En Active Directory Access Control de Microsoft Azure (también conocido como Access Control Service o ACS), un proveedor de identidades es un servicio que autentica a las identidades de clientes o usuarios y emite tokens de seguridad que usa ACS. Cuando se configura un proveedor de identidades, ACS confía en los tokens emitidos por dicho proveedor de identidades y usa las notificaciones incluidas en los tokens como entradas para el motor de reglas de ACS. El motor de reglas de ACS transforma o transmite estas notificaciones y las incluye en el token que emite a las aplicaciones de usuario de confianza. El propietario de un Espacio de nombres Access Control puede configurar uno o varios proveedores de identidades en sus espacios de nombres.

En ACS, es posible asociar un proveedor de identidades a más de una aplicación de usuario de confianza. Del mismo modo, es posible asociar una aplicación de usuario de confianza de ACS a más de un proveedor de identidades. Para obtener más información sobre las aplicaciones de usuario de confianza, vea Aplicaciones de usuario de confianza.

El Portal de administración de ACS permite configurar los siguientes proveedores de identidades:

Además de estos proveedores de identidades, ACS admite la configuración mediante programación de los siguientes tipos de proveedores de identidades a través del Servicio de administración de ACS:

Los proveedores de identidades WS-Trust transmiten las notificaciones de identidad a ACS mediante el protocolo WS-Trust y suelen utilizarse con mayor frecuencia en escenarios de servicios web. Muchos proveedores de identidades WS-Trust también admiten WS-Federation y se pueden configurar en ACS como proveedores de identidad WS-Federation para crear la relación de confianza necesaria. Un ejemplo de proveedor de identidades WS-Trust es (también proveedor de identidades WS-Federation), que permite integrar las cuentas de servicio de Active Directory empresariales con ACS. Para obtener más información, vea Procedimiento: Configurar AD FS 2.0 como proveedor de identidad.

ACS admite la federación con proveedores de identidades basados en OpenID para aplicaciones y sitios web mediante el protocolo de autenticación OpenID 2.0. La implementación de ACS OpenID permite configura un extremo de autenticación OpenID como parte de una entidad de proveedor de identidades en ACS. Cuando se representa una página de inicio de sesión de ACS para una aplicación de usuario de confianza, ACS crea una solicitud de autenticación de OpenID como parte del proveedor de identidades. Una vez que el usuario selecciona el proveedor de identidades e inicia sesión en la dirección URL solicitada, se devuelve una respuesta OpenID a ACS donde se procesa mediante el motor de reglas de ACS. ACS recupera los atributos de usuario de OpenID mediante la extensión de intercambio de atributos de OpenID y asigna dichos atributos a las notificaciones que, posteriormente, se envían en la respuesta de token emitida a la aplicación de usuario de confianza.

Dos ejemplos de proveedores de identidades basados en OpenID compatibles con ACS son los proveedores de identidades de Google y Yahoo!, que pueden configurarse en el Portal de administración de ACS. Para obtener más información, vea Google y Yahoo!.

Es posible configurar otros proveedores de identidades compatibles con los extremos de autenticación OpenID 2.0 mediante programación a través del servicio de administración de ACS. Para obtener más información, vea Procedimiento: Uso del servicio de administración de ACS para configurar un proveedor de identidades de OpenID.

En la tabla siguiente se muestran los tipos de notificación que están disponibles en ACS desde los proveedores de identidades de OpenID. De forma predeterminada, los tipos de notificaciones en ACS se identifican de forma exclusiva mediante un URI para el cumplimiento con la especificación de tokens SAML. Estos URI también se pueden usar para identificar notificaciones en otros formatos de token.

 

Tipo de notificación URI Descripción

Identificador de nombre

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Valor openid.claimed_id que devuelve el proveedor de identidades.

Nombre

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Atributo http://axschema.org/namePerson que devuelve el proveedor de identidades mediante la extensión de intercambio de atributos de OpenID. Si este atributo no está presente, el valor de la notificación será una concatenación de http://axschema.org/namePerson/first y http://axschema.org/namePerson/last.

Dirección de correo electrónico

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Atributo http://axschema.org/contact/email que devuelve el proveedor de identidades mediante la extensión de intercambio de atributos de OpenID.

Proveedor de identidades

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Notificación proporcionada por ACS que le indica a la aplicación de usuario de confianza el proveedor de identidades de OpenID que se utiliza para autenticar al usuario.

Vea también

Mostrar: