导出 (0) 打印
全部展开

标识提供程序

发布时间: 2011年4月

更新时间: 2015年3月

应用到: Azure

Important重要提示
从 2014 年 5 月 19 日开始,新的 ACS 命名空间无法使用 Google 作为标识提供程序。使用 Google 并且在此日期之前注册的 ACS 命名空间不受影响。有关详细信息,请参阅发行说明

在 Microsoft Azure Active Directory 访问控制(也称为访问控制服务或 ACS) 中,标识提供程序是验证用户或客户端身份并颁发 ACS 使用的安全令牌的服务。配置某一标识提供程序后,ACS 将信任该标识提供程序颁发的令牌,并使用这些令牌中的声明作为 ACS 规则引擎的输入。ACS 规则引擎将转换或传递这些声明,并在它向信赖方应用程序颁发的令牌中包括这些声明。“访问控制”命名空间的所有者可以在其命名空间中配置一个或多个标识提供程序。

在 ACS 中,一个标识提供程序可以与多个信赖方应用程序相关联。同样,一个 ACS 信赖方应用程序可以与多个标识提供程序相关联。有关信赖方应用程序的详细信息,请参阅信赖方应用程序

ACS 管理门户提供了用于配置以下标识提供程序的内置支持:

除了上述标识提供程序,ACS 还支持通过 ACS 管理服务以编程方式配置下列标识提供程序类型:

WS 信任标识提供程序使用 WS 信任协议将标识声明传递给 ACS,并且在 Web 服务方案中最常使用。许多 WS 信任标识提供程序还支持 WS 联合身份验证,并可以在 ACS 中配置为 WS 联合身份验证标识提供程序以创建所需的信任关系。WS 信任标识提供程序的一个示例是 (同时也是 WS 联合身份验证标识提供程序),它允许你将企业 Active Directory 服务帐户与 ACS 集成。有关详细信息,请参阅操作方法:将 AD FS 2.0 配置为标识提供程序

ACS 支持使用 OpenID 2.0 身份验证协议与网站和 Web 应用程序的基于 OpenID 的标识提供程序联合。ACS OpenID 实现允许将 OpenID 身份验证终结点配置为 ACS 中标识提供程序实体的一部分。为信赖方应用程序呈现 ACS 登录页时,ACS 将构造一个 OpenID 身份验证请求,作为标识提供程序的登录 URL 的一部分。当用户选择了标识提供程序并在请求的 URL 中登录后,将向 ACS 返回 OpenID 响应,在其中由 ACS 规则引擎处理该响应。ACS 将使用 OpenID 属性交换扩展检索 OpenID 用户属性,并将这些属性映射到声明,然后这些声明将在颁发给信赖方应用程序的令牌响应中输出。

ACS 支持的基于 OpenID 的标识提供程序的两个示例是 Google 和 Yahoo!,可以在 ACS 管理门户中对它们进行配置。有关详细信息,请参阅 GoogleYahoo!

其他支持 OpenID 2.0 身份验证终结点的标识提供程序可以使用 ACS 管理服务以编程方式进行配置。有关详细信息,请参阅操作方法:使用 ACS 管理服务配置 OpenID 标识提供程序

下表显示了 OpenID 标识提供程序提供的适用于 ACS 的声明类型。默认情况下,ACS 中的声明类型是使用 URI 唯一标识的,以遵从 SAML 令牌规范。这些 URI 也用于标识其他令牌格式的声明。

 

声明类型 URI 说明

名称标识符

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

标识提供程序返回的 openid.claimed_id 值。

Name

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

标识提供程序通过 OpenID 属性交换扩展返回的属性 http://axschema.org/namePerson。如果此属性不存在,则声明值将是 http://axschema.org/namePerson/first 和 http://axschema.org/namePerson/last 串接在一起的值。

电子邮件地址

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

标识提供程序通过 OpenID 属性交换扩展返回的属性 http://axschema.org/contact/email。

标识提供程序

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

ACS 提供的声明,告诉信赖方应用程序使用哪个 OpenID 标识提供程序对用户进行身份验证。

另请参阅

社区附加资源

添加
显示:
© 2015 Microsoft