Google 作為 ACS 身分識別提供者
更新日期:2015 年 6 月 19 日
適用對象:Azure
重要
ACS 命名空間可以將其 Google 身分識別提供者組態從 OpenID 2.0 移轉至 OpenID Connect。 移轉必須在 2015 年 6 月 1 日之前完成。 如需詳細指引,請參閱將 ACS 命名空間移轉至 Google OpenID 連線。
Microsoft Azure Active Directory 存取控制 (也稱為 存取控制 Service 或 ACS) 支援使用 OpenID 2.0 驗證通訊協定與 Google 作為識別提供者的同盟。 Google 是 ACS 中預先設定的身分識別提供者,因此在存取控制命名空間中新增 Google 作為識別提供者不需要任何必要條件。
使用 ACS 管理入口網站進行設定
當您使用 ACS 管理入口網站將 Google 新增為識別提供者時,必須設定下列設定:
登入連結文字 - 指定在 Web 應用程式的登入頁面上,針對 Google 身分識別提供者顯示的文字。 如需詳細資訊,請參閱 登入頁面和主領域探索。
影像 URL (選擇性) - 建立 URL 與影像檔案 (例如,您選擇的標誌) 之間的關聯,您可以將之顯示為此身分識別提供者的登入連結。 此標誌會自動出現在 ACS 感知 Web 應用程式的預設登入頁面上,以及可用來轉譯自訂登入頁面的 Web 應用程式的 JSON 摘要中。 如果您沒有指定影像 URL,則此身分識別提供者的文字登入連結會顯示在您的 Web 應用程式登入頁面上。 如果您有指定影像 URL,則強烈建議必須將它指向信任的來源 (例如您自己的網站或應用程式),並使用 HTTPS 來防止瀏覽器安全性警告發生。 此外,在預設 ACS 主領域搜索頁面上,會自動調整寬度大於 240 像素、高度大於 40 像素的任何影像。
信賴憑證者應用程式 - 指定要與 Google 身分識別提供者建立關聯之所有現有的信賴憑證者應用程式。 如需詳細資訊,請參閱 信賴憑證者應用程式。
當身分識別提供者與信賴憑證者應用程式產生關聯後,必須產生該身分識別提供者的規則,並手動將規則新增到信賴憑證者應用程式的規則群組,才能完成設定。 如需建立規則的詳細資訊,請參閱 規則群組和規則。
支援的宣告類型
當使用者通過身分識別提供者驗證之後,他們會收到已填入身分識別宣告的權杖。 宣告是使用者的相關資訊,例如電子郵件地址或唯一識別碼。 ACS 可以直接將這些宣告傳遞至信賴憑證者應用程式,或根據其包含的值做出授權決策。
根據預設,ACS 中的宣告類型會使用 URI 來唯一識別,以符合 SAML 權杖規格。 這些 URI 也可以用於識別使用其他權杖格式的宣告。
下表顯示可從 Google 取得 ACS 的宣告類型。
| 宣告類型 | URI | 描述 |
|---|---|---|
名稱識別碼 |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
由 Google 提供的使用者帳戶唯一識別碼。 |
Name |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
由 Google 提供的使用者帳戶顯示名稱。 |
電子郵件地址 |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
由 Google 提供的使用者帳戶電子郵件地址。 |
身分識別提供者 |
https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider |
提供的宣告,會告訴信賴憑證者應用程式使用者是使用預設 Google 身分識別提供者進行驗證。 此宣告的值會顯示在 ACS 管理入口網站中,透過 [編輯識別提供者] 頁面中的[領域] 欄位。 |