本文档已存档,并且将不进行维护。

将 Windows Live ID 用作 ACS 标识提供程序

发布时间: 2011年4月

更新时间: 2015年6月

应用到: Azure

当你创建新的 “访问控制”命名空间时,系统会将 Windows Live ID(Microsoft 帐户)添加为不可删除的默认标识提供程序。此功能可为 ACS 管理门户启用联合身份验证,在这种模式下,ACS 管理门户将配置为 “访问控制”命名空间中的信赖方应用程序,而 Windows Live ID 则为与此信赖方应用程序关联的标识提供程序。为了防止丢失对 ACS 管理门户的访问权限,Windows Live ID 标识提供程序将无法删除。但是,在 ACS 中,一个标识提供程序可与多个信赖方应用程序关联,并且一个信赖方应用程序可以使用多个标识提供程序。

你可以使用 ACS 管理门户配置以下 Windows Live ID 标识提供程序设置。

  • 登录链接文本 — 指定在 Web 应用程序的登录页上为 Windows Live ID 标识提供程序显示的文本。有关详细信息,请参阅登录页与主领域发现

  • 图像 URL (可选) — 指定某个图像文件(例如,所选的徽标)的 URL,可以将其显示为此标识提供程序的登录链接。此徽标将自动显示在 ACS 感知 Web 应用程序的默认登录页上,以及可用来呈现自定义登录页的 Web 应用程序的 JSON 源中。如果你不指定图像 URL,则此标识提供程序的文本登录链接将显示在 Web 应用程序的登录页上。如果你指定了图像 URL,我们强烈建议使其指向受信任源(例如,你自己的网站或应用程序),并使用 HTTPS 防止出现浏览器安全警告。此外,任何宽度大于 240 像素、高度大于 40 像素的图像都会在默认的 ACS 主领域发现页上自动调整大小。

  • 信赖方应用程序 — 指定需要与 Windows Live ID 关联的所有现有信赖方应用程序。有关详细信息,请参阅信赖方应用程序

将标识提供程序与信赖方应用程序关联后,必须在信赖方应用程序的规则组中手动生成或添加该标识提供程序的规则才能完成配置。有关创建规则的详细信息,请参阅规则组和规则

在用户使用标识提供程序进行身份验证之后,他们将会收到一个填充了标识声明的令牌。声明是有关用户的信息片段,例如电子邮件地址或唯一 ID。ACS 可以直接将这些声明传递给信赖方应用程序,或者基于声明包含的值做出授权决策。

默认情况下,ACS 中的声明类型是使用 URI 唯一标识的,以遵从 SAML 令牌规范。这些 URI 也用于标识其他令牌格式的声明。

下表显示了通过 Windows Live ID(Microsoft 帐户)获取的适用于 ACS 的声明类型。

 

声明类型 URI 说明

名称标识符

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Windows Live ID 提供的用户帐户的唯一标识符。

标识提供程序

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

ACS 提供的声明,用于向信赖方应用程序告知用户已使用默认的 Windows Live ID 标识提供程序完成了身份验证。在 ACS 管理门户的“编辑标识提供程序”页上的“领域”字段中,你可以看到此声明的值。

另请参阅

显示: