以 Windows Live ID 作為 ACS 身分識別提供者
更新日期:2015 年 6 月 19 日
適用對象:Azure
建立新的存取控制命名空間時,Windows Live ID (Microsoft 帳戶) 新增為預設識別提供者,因此無法刪除。 此功能會啟用 ACS 管理入口網站的同盟驗證,其中 ACS 管理入口網站會設定為您存取控制命名空間中的信賴憑證者應用程式,而 Windows Live ID 是與此信賴憑證者應用程式相關聯的識別提供者。 若要防止無法存取 ACS 管理入口網站,無法刪除Windows即時識別碼識別提供者。 不過,在 ACS 中,識別提供者可以與多個信賴憑證者應用程式相關聯,而信賴憑證者應用程式可以使用多個識別提供者。
使用 ACS 管理入口網站
您可以使用 ACS 管理入口網站來設定下列Windows即時識別碼識別提供者設定。
登入連結文字- 指定 Web 應用程式登入頁面上Windows即時識別碼識別提供者所顯示的文字。 如需詳細資訊,請參閱 登入頁面和主領域探索。
影像 URL (選擇性) — 指定影像檔的 URL (例如,您選擇的標誌) ,您可以顯示為此識別提供者的登入連結。 此標誌會自動出現在 ACS 感知 Web 應用程式的預設登入頁面上,以及可用來轉譯自訂登入頁面的 Web 應用程式的 JSON 摘要中。 如果您沒有指定影像 URL,則此身分識別提供者的文字登入連結會顯示在您的 Web 應用程式登入頁面上。 如果您有指定影像 URL,則強烈建議必須將它指向信任的來源 (例如您自己的網站或應用程式),並使用 HTTPS 來防止瀏覽器安全性警告發生。 此外,在預設 ACS 主領域搜索頁面上,會自動調整寬度大於 240 像素、高度大於 40 像素的任何影像。
信賴憑證者應用程式— 指定您要與 Windows Live ID 建立關聯的所有現有信賴憑證者應用程式。 如需詳細資訊,請參閱 信賴憑證者應用程式。
當身分識別提供者與信賴憑證者應用程式產生關聯後,必須產生該身分識別提供者的規則,並手動將規則新增到信賴憑證者應用程式的規則群組,才能完成設定。 如需建立規則的詳細資訊,請參閱 規則群組和規則。
支援的宣告類型
當使用者使用身分識別提供者驗證之後,他們會收到已填入身分識別宣告的權杖。 宣告是使用者的相關資訊,例如電子郵件地址或唯一識別碼。 ACS 可以將這些宣告直接傳遞至信賴憑證者應用程式,或根據其包含的值做出授權決策。
根據預設,ACS 中的宣告類型會使用 URI 來唯一識別,以符合 SAML 權杖規格。 這些 URI 也可以用於識別使用其他權杖格式的宣告。
下表顯示 ACS 可從 Windows Live ID (Microsoft 帳戶) 取得的宣告類型。
| 宣告類型 | URI | 描述 |
|---|---|---|
名稱識別碼 |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
使用者帳戶的唯一識別碼,由 Windows Live ID 提供。 |
身分識別提供者 |
https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider |
ACS 提供的宣告,告知信賴憑證者應用程式使用者已使用預設Windows即時識別碼識別提供者進行驗證。 此宣告的值會顯示在 ACS 管理入口網站中,透過 [編輯識別提供者] 頁面上的[領域] 欄位。 |