如何:使用 X.509 憑證、密碼或對稱金鑰新增服務識別
更新日期:2015 年 6 月 19 日
適用對象:Azure
套用至
- Microsoft Azure Active Directory 存取控制服務 (也稱為「存取控制服務」或 ACS)
總結
服務識別是針對存取控制命名空間全域設定的認證類型,可讓應用程式或使用者直接使用 ACS 進行驗證,並接收權杖。 服務識別最常用於使用 OAuth WRAP 通訊協定的 REST Web 服務案例中,其中用戶端會向 ACS 要求 SWT 直接權杖以呈現給 Web 服務。
目錄
目標
概觀
步驟 1 - 新增含有密碼的服務身分識別
步驟 2 - 新增含有對稱密碼的服務身分識別
步驟 3 - 新增含有 X.509 憑證的服務身分識別
相關項目:
目標
列舉服務身分識別認證的類型
將認證類型對應到權杖格式與通訊協定。
概觀
服務身分識別認證有三種類型:
密碼 - 密碼適用於透過 OAuth WRAP 通訊協定向存取控制服務提出的純文字權杖要求。 密碼欄位對應到 OAuth WRAP v0.9 權杖要求中的 wrap_password 參數,其中使用者欄位對應到 wrap_name 參數。
對稱金鑰 - 對稱金鑰適用於透過 OAuth WRAP 通訊協定向存取控制服務提出的已簽署 SWT 權杖要求。 使用此對稱金鑰可以在顯示給存取控制服務的已簽署 SWT 權杖中建立 HMACSHA256 簽章。
X.509 憑證— X.509 憑證 (公開金鑰,僅) 用來驗證使用 WS-Trust 通訊協定提出 ACS 的已簽署 SAML 權杖要求籤章。
步驟摘要
步驟 1 - 新增含有密碼的服務身分識別
步驟 2 - 新增含有對稱密碼的服務身分識別
步驟 3 - 新增含有 X.509 憑證的服務身分識別
步驟 1 - 新增含有密碼的服務身分識別
新增含有密碼認證類型的服務身分識別
在 [存取控制服務] 管理入口網站上,按一下 [服務身分識別]。
按一下 [新增服務身分識別]。
在 [名稱] 欄位中,輸入服務身分識別的名稱。 這將會是在權杖要求中使用的使用者名稱值。
按一下 [檔案] 。
在下一頁,按一下 [新增認證]。
在 [ 顯示名稱] 欄位中,提供值。
在 [類型] 欄位中,選取 [密碼]。
在 [密碼] 欄位中,輸入密碼。
在 [ 有效日期] 欄位中,設定此認證生效的日期。
在 [ 到期日] 欄位中 ,設定此認證到期的日期。
按一下 [檔案] 。
步驟 2 - 新增含有對稱密碼的服務身分識別
新增含有對稱金鑰認證類型的服務身分識別
在 [存取控制服務] 管理入口網站主要頁面上,按一下 [服務身分識別]。
按一下 [新增服務身分識別]。
在 [名稱] 欄位中,輸入服務身分識別的名稱。
按一下 [儲存]
在下一頁,按一下 [新增認證]。
在 [顯示名稱] 欄位中,提供一個值。
在 [類型] 欄位中,選取 [對稱金鑰]。
在 [金鑰] 欄位中,按一下 [產生] 以自動產生隨機的 256 位元對稱金鑰。 或者,輸入您自己的 256 位元對稱金鑰。
在 [生效日期] 欄位中,設定此認證將生效的日期。
在 [到期日] 欄位中,設定此認證將到期的日期。
按一下 [檔案] 。
步驟 3 - 新增含有 X.509 憑證的服務身分識別
新增含有 X.509 憑證認證類型的服務身分識別
在 [存取控制服務] 管理入口網站主要頁面上,按一下 [服務身分識別]。
按一下 [新增服務身分識別]。
在 [顯示名稱] 欄位中,輸入服務身分識別的名稱。
按一下 [檔案] 。
在下一頁,按一下 [新增認證]。
在 [名稱] 欄位中,提供一個值。
在 [類型] 欄位中,選取 [X.509 憑證]。
在 [憑證] 欄位中,瀏覽以載入 X.509 憑證 (.cer file),其中包含驗證權杖簽章所需的公開金鑰。
按一下 [檔案] 。