Dienstidentitäten
Aktualisiert: 19. Juni 2015
Gilt für: Azure
In Microsoft Azure Active Directory Access Control (auch als Access Control Service oder ACS bezeichnet) ist eine Dienstidentität eine Anmeldeinformationen, die mit einem Access Control Namespace registriert ist und für die Verwendung durch autonome Anwendungen oder Clients vorgesehen ist. Mit anderen Worten, Dienstidentitäten sind Anmeldeinformationen, die global für den Access Control Namespace konfiguriert sind, mit denen Anwendungen oder Clients direkt mit ACS authentifizieren und ein Token empfangen können. Ein Access Control Namespace kann viele Dienstidentitäten enthalten.
In ACS werden Dienstidentitäten in der Regel für die Authentifizierung einer autonomen Anwendung oder eines Clients mit einem Access Control Namespace verwendet und gewähren dadurch diesen autonomen Anwendungs- oder Clientzugriff auf die vertrauende Parteianwendung.
Hinweis
Regelgruppen, die den Anwendungen der vertrauenden Seite zugeordnet sind, definieren exklusiv, welche Dienstidentitäten für welche Anwendungen der vertrauenden Seite akzeptiert werden.
Dienstidentitäten sind nicht für die Verwendung als Endbenutzeranmeldeinformationen vorgesehen. In ACS werden Dienstidentitäten in REST-Webdienstszenarien am häufigsten über das OAuth WRAP-Protokoll verwendet, in dem ein Client ein SWT-Token direkt von ACS anfordert, um dem Webdienst zu präsentieren.
Anmeldeinformationstypen
Nachfolgend finden Sie die Anmeldeinformationentypen, mit denen eine ACS-Dienstidentität verknüpft werden kann:
Symmetrischer Schlüssel – Diese Anmeldeinformationen werden in signierten SWT-Tokenanforderungen an ACS über das OAuth WRAP- oder OAuth 2.0-Protokoll oder in angemeldeten JWT-Tokenanforderungen an ACS über die OAuth 2.0-Protokolle verwendet. Mit anderen Worten, diese Anmeldeinformationen ermöglichen autonomen Anwendungen oder Clients, sich mit ACS zu authentifizieren, indem sie ein SWT- oder ein JWT-Token ausstellen und das SWT- oder JWT-Token mit einem symmetrischen Schlüssel signieren.
Kennwort – Diese Anmeldeinformationen ermöglichen autonomen Anwendungen oder Clients, sich mit ACS zu authentifizieren, indem diese Anmeldeinformationen an einen Access Control Namespace übertragen werden. Kennwortanmeldeinformationen werden in Nurtexttokenanforderungen an ACS über den OAuth-UMBRUCH oder die OAuth 2.0 oder die WS-Trust Protokolle gesendet.
X.509-Zertifikat – Ein X.509-Zertifikatanmeldeinformationen ermöglicht autonomen Anwendungen und Clients die Authentifizierung mit ACS über das WS-Trust-Protokoll (Zertifikatauthentifizierung).
Weitere Informationen und ausführlichere Schritte zum Hinzufügen von Dienstidentitäten mit den zuvor beschriebenen Anmeldeinformationen im ACS-Verwaltungsportal finden Sie unter How to: Add Service Identities with an X.509 Certificate, Password oder Symmetric Key.