Tjänstidentiteter
Uppdaterad: 19 juni 2015
Gäller för: Azure
I Microsoft Azure Active Directory Access Control (även kallat Access Control Service eller ACS) är en tjänstidentitet en autentiseringsuppgift som är registrerad med ett Access Control namnområde och är avsedd att användas av autonoma program eller klienter. Med andra ord är tjänstidentiteter autentiseringsuppgifter som konfigureras globalt för Access Control namnrymd som gör att program eller klienter kan autentisera direkt med ACS och ta emot en token. Ett Access Control namnområde kan innehålla många tjänstidentiteter.
I ACS används tjänstidentiteter vanligtvis för att autentisera ett autonomt program eller en klient med en Access Control namnrymd och därmed ge det autonoma programmet eller klienten åtkomst till det förlitande partprogrammet.
Anteckning
Regelgrupper som är associerade med förlitande part-program definierar uteslutande vilka tjänstidentiteter som är godkända för vilka förlitande part-program.
Tjänstidentiteter är inte avsedda att användas som autentiseringsuppgifter för slutanvändare. I ACS används tjänstidentiteter oftast i REST-webbtjänstscenarier, via OAuth WRAP-protokollet, där en klient begär en SWT-token direkt från ACS för att presentera för webbtjänsten.
Typer av autentiseringsuppgifter
Följande är de typer av autentiseringsuppgifter som en ACS-tjänstidentitet kan associeras med:
Symmetrisk nyckel – Den här autentiseringsuppgiften används i signerade SWT-tokenbegäranden till ACS över OAuth WRAP- eller OAuth 2.0-protokollen eller i signerade JWT-tokenbegäranden till ACS över OAuth 2.0-protokollen. Med andra ord gör den här autentiseringsuppgiften att autonoma program eller klienter kan autentisera med ACS genom att utfärda en SWT- eller JWT-token och signera swt- eller JWT-token med en symmetrisk nyckel.
Lösenord – Med den här autentiseringsuppgiften kan autonoma program eller klienter autentisera med ACS genom att överföra dessa autentiseringsuppgifter till ett Access Control namnområde. Autentiseringsuppgifter för lösenord skickas i klartexttokenbegäranden till ACS via OAuth WRAP eller OAuth 2.0 eller WS-Trust protokoll.
X.509-certifikat – Med X.509-certifikatautentisering kan autonoma program och klienter autentisera med ACS via WS-Trust protokoll (certifikatautentisering).
Mer information och detaljerade anvisningar om hur du lägger till tjänstidentiteter med de autentiseringsuppgifter som tidigare beskrivits med hjälp av ACS-hanteringsportalen finns i How to: Add Service Identities with an X.509 Certificate, Password, or Symmetric Key (Gör så här: Lägg till tjänstidentiteter med ett X.509-certifikat, lösenord eller symmetrisk nyckel).