Zprostředkovatelé identit

Aktualizováno: 19. června 2015

Platí pro: Azure

Důležité

Obory názvů služby ACS můžou migrovat konfigurace zprostředkovatele identity Google z OpenID 2.0 na OpenID Připojení. Migrace musí být dokončena před 1. červnem 2015. Podrobné pokyny najdete v tématu Migrace oborů názvů služby ACS na Google OpenID Připojení.

Ve službě Microsoft Azure Active Directory Access Control (označované také jako služba Access Control service nebo ACS) je zprostředkovatel identity služba, která ověřuje identity uživatele nebo klienta a vydává tokeny zabezpečení, které služba ACS využívá. Pokud je zprostředkovatel identity nakonfigurovaný, služba ACS důvěřuje tokenům vydaným tímto zprostředkovatelem identity a používá deklarace identity v těchto tokenech jako vstupy do modulu pravidel služby ACS. Modul pravidel služby ACS transformuje nebo předává tyto deklarace identity a zahrnuje je do tokenu, který vydává aplikacím předávající strany. Vlastník oboru názvů Access Control může ve svém oboru názvů nakonfigurovat jednoho nebo více zprostředkovatelů identity.

Ve službě ACS může být zprostředkovatel identity přidružený k více než jedné aplikaci předávající strany. Podobně může být aplikace předávající strany služby ACS přidružená k více než jednomu zprostředkovateli identity. Další informace o aplikacích předávající strany najdete v tématu Aplikace předávající strany.

Portál pro správu služby ACS poskytuje integrovanou podporu pro konfiguraci následujících zprostředkovatelů identity:

• Windows Live ID jako zprostředkovatele identity služby ACS

• Facebook jako zprostředkovatel identity ACS

• Google jako zprostředkovatel identity služby ACS

• Yahoo! jako zprostředkovatel identity služby ACS

• Zprostředkovatelé identit WS-Federation

Kromě těchto zprostředkovatelů identity podporuje služba ACS konfiguraci následujících typů zprostředkovatelů identit prostřednictvím kódu programu prostřednictvím služby pro správu služby ACS:

• Zprostředkovatelé identity WS-Trust

• Zprostředkovatelé identity OpenID-Based

Zprostředkovatelé identity WS-Trust

WS-Trust zprostředkovatelé identit předávají službě ACS deklarace identity pomocí protokolu WS-Trust a nejčastěji se používají ve scénářích webové služby. Mnoho WS-Trust zprostředkovatelů identity také podporuje WS-Federation a dá se nakonfigurovat v ACS jako WS-Federation zprostředkovatelů identity a vytvořit tak požadovaný vztah důvěryhodnosti. Příkladem zprostředkovatele identity WS-Trust je (také WS-Federation zprostředkovatel identity), který umožňuje integrovat podnikové účty služby Active Directory s ACS. Další informace najdete v tématu Postupy: Konfigurace služby AD FS 2.0 jako zprostředkovatele identity.

Zprostředkovatelé identity OpenID-Based

Služba ACS podporuje federaci s zprostředkovateli identit založenými na OpenID pro webové weby a webové aplikace pomocí ověřovacího protokolu OpenID 2.0. Implementace ACS OpenID umožňuje konfiguraci koncového bodu ověřování OpenID jako součást entity zprostředkovatele identity v ACS. Při vykreslení přihlašovací stránky služby ACS pro aplikaci předávající strany služba ACS vytvoří žádost o ověření OpenID jako součást přihlašovací adresy URL zprostředkovatele identity. Jakmile uživatel vybere zprostředkovatele identity a přihlásí se na požadované adrese URL, vrátí se odpověď OpenID do služby ACS, kde ji zpracovává modul pravidel služby ACS. Služba ACS načte atributy uživatele OpenID pomocí rozšíření OpenID Attribute Exchange a mapuje tyto atributy na deklarace identity, které jsou následně výstupem v odpovědi tokenu vydané pro aplikaci předávající strany.

Dva příklady zprostředkovatelů identit založených na OpenID, které ACS podporuje, jsou Google a Yahoo!, které je možné nakonfigurovat na portálu pro správu služby ACS. Další informace naleznete v tématu Google a Yahoo!.

Ostatní zprostředkovatelé identity, kteří podporují koncové body ověřování OpenID 2.0, je možné konfigurovat programově pomocí služby ACS Management Service. Další informace najdete v tématu Postupy: Použití služby správy služby ACS ke konfiguraci zprostředkovatele identity OpenID.

Podporované typy deklarací identity

Následující tabulka ukazuje typy deklarací identity, které jsou k dispozici pro ACS od zprostředkovatelů identity OpenID. Ve výchozím nastavení se typy deklarací identity v ACS jednoznačně identifikují pomocí identifikátoru URI pro dodržování specifikace tokenu SAML. Tyto identifikátory URI slouží také k identifikaci deklarací identity v jiných formátech tokenů.

Typ deklarace identity	Identifikátor URI	Description
Identifikátor jména	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier	Hodnota openid.claimed_id vrácená zprostředkovatelem identity.
Name	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	Atribut http://axschema.org/namePerson vrácený zprostředkovatelem identity prostřednictvím rozšíření OpenID Attribute Exchange. Pokud tento atribut neexistuje, hodnota deklarace identity bude zřetězením http://axschema.org/namePerson/first a http://axschema.org/namePerson/last.
E-mailová adresa	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	Atribut http://axschema.org/contact/email vrácený zprostředkovatelem identity prostřednictvím rozšíření OpenID Attribute Exchange.
Zprostředkovatel identity	https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider	Deklarace identity poskytovaná službou ACS, která říká aplikaci předávající strany, kterou zprostředkovatel identity OpenID používá k ověření uživatele.

Viz také

Koncepty

Komponenty ACS 2.0