識別提供者

更新日期：2015 年 6 月 19 日

適用對象：Azure

重要

ACS 命名空間可以將其 Google 身分識別提供者組態從 OpenID 2.0 移轉至 OpenID Connect。 移轉必須在 2015 年 6 月 1 日之前完成。 如需詳細指引，請參閱將 ACS 命名空間移轉至 Google OpenID 連線。

在Microsoft Azure Active Directory 存取控制 (也稱為存取控制服務或 ACS) 中，識別提供者是一種服務，可驗證使用者或用戶端身分識別，併發出 ACS 取用的安全性權杖。 設定識別提供者時，ACS 會信任該識別提供者所簽發的權杖，並使用這些權杖中的宣告作為 ACS 規則引擎的輸入。 ACS 規則引擎會轉換或通過這些宣告，並將其包含在它發出給信賴憑證者應用程式的權杖中。 存取控制命名空間的擁有者可以在其命名空間中設定一或多個識別提供者。

在 ACS 中，識別提供者可以與多個信賴憑證者應用程式相關聯。 同樣地，ACS 信賴憑證者應用程式可以與多個識別提供者相關聯。 如需信賴憑證者應用程式的詳細資訊，請參閱 信賴憑證者應用程式。

ACS 管理入口網站提供設定下列識別提供者的內建支援：

• 以 Windows Live ID 作為 ACS 身分識別提供者

• Facebook 作為 ACS 身分識別提供者

• Google 作為 ACS 身分識別提供者

• Yahoo! 作為 ACS 識別提供者

• WS 同盟身分識別提供者

除了這些識別提供者之外，ACS 還支援透過 ACS 管理服務以程式設計方式設定下列識別提供者類型：

• WS-Trust 身分識別提供者

• OpenID 型身分識別提供者

WS-Trust 身分識別提供者

WS-Trust識別提供者會使用 WS-Trust 通訊協定將身分識別宣告傳遞至 ACS，而且最常用於 Web 服務案例中。 許多WS-Trust識別提供者也支援WS-Federation，而且可以在 ACS 中設定為WS-Federation識別提供者，以建立必要的信任關係。 WS-Trust識別提供者的範例是 (也是WS-Federation識別提供者) ，可讓您將企業 Active Directory 服務帳戶與 ACS 整合。 如需詳細資訊，請參閱 如何：將 AD FS 2.0 設定為識別提供者。

OpenID 型身分識別提供者

ACS 支援使用 OpenID 2.0 驗證通訊協定，與網站和 Web 應用程式的 OpenID 型識別提供者同盟。 ACS OpenID 實作可讓 OpenID 驗證端點設定為 ACS 中識別提供者實體的一部分。 當信賴憑證者應用程式轉譯 ACS 登入頁面時，ACS 會建構 OpenID 驗證要求，作為識別提供者登入 URL 的一部分。 在使用者選取識別提供者並在要求的 URL 登入之後，OpenID 回應會傳回 ACS 規則引擎處理所在的 ACS。 ACS 會使用 OpenID 屬性Exchange延伸模組擷取 OpenID 使用者屬性，並將這些屬性對應至接著在發行給信賴憑證者應用程式的權杖回應中輸出的宣告。

ACS 支援的兩個 OpenID 型識別提供者範例是 Google 和 Yahoo！，可在 ACS 管理入口網站中設定。 如需詳細資訊，請參閱 Google 和 Yahoo！。

您可以使用 ACS 管理服務，以程式設計方式設定支援 OpenID 2.0 驗證端點的其他識別提供者。 如需詳細資訊，請參閱 如何：使用 ACS 管理服務來設定 OpenID 識別提供者。

支援的宣告類型

下表顯示可從 OpenID 識別提供者取得 ACS 的宣告類型。 根據預設，ACS 中的宣告類型會使用 URI 來唯一識別，以符合 SAML 權杖規格。 這些 URI 也可以用於識別使用其他權杖格式的宣告。

宣告類型	URI	描述
名稱識別碼	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier	身分識別提供者傳回的 openid.claimed_id 值。
Name	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	http://axschema.org/namePerson透過 OpenID 屬性Exchange延伸模組傳回的識別提供者所傳回的屬性。 如果此屬性不存在，宣告值將會是 和 的 http://axschema.org/namePerson/first 串連 http://axschema.org/namePerson/last.
電子郵件地址	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	http://axschema.org/contact/email透過 OpenID 屬性Exchange延伸模組傳回的識別提供者所傳回的屬性。
身分識別提供者	https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider	ACS 提供的宣告，告知信賴憑證者應用程式使用哪個 OpenID 識別提供者來驗證使用者。

另請參閱

概念

ACS 2.0 元件