(0) exportieren Drucken
Alle erweitern

Anwendungen der vertrauenden Seite

Veröffentlicht: April 2011

Letzte Aktualisierung: Februar 2014

Betrifft: Azure

Wenn Sie eine Anwendung (oder einen Dienst) erstellen, die Ansprüche verwendet, erstellen Sie eine Anwendung der vertrauenden Seite (weitere Synonyme sind Ansprüche unterstützende Anwendung oder anspruchsbasierte Anwendung). Im Kontext von Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS) ist eine Anwendung der vertrauenden Seite eine Website, eine Anwendung oder ein Dienst, für die oder den Verbundauthentifizierung mithilfe von ACS implementiert werden soll. Wenn Sie eine Anwendung der vertrauenden Seite hinzufügen und mithilfe des ACS-Verwaltungsportals konfigurieren, fügen Sie eine logische Darstellung Ihrer Website, einer Anwendung oder eines Diensts hinzu, die bzw. der einem bestimmten ACS-Dienstnamespace vertraut, und konfigurieren diese logische Darstellung. Sie können mehrere Anwendungen der vertrauenden Seite in einem einzigen ACS-Dienstnamespace hinzufügen und konfigurieren.

Sie können Anwendungen der vertrauenden Seite manuell mithilfe des ACS-Verwaltungsportals oder programmgesteuert mithilfe des ACS-Verwaltungsdiensts erstellen und konfigurieren.

Sie können das ACS-Verwaltungsportal zum Konfigurieren der folgenden Eigenschaften einer Anwendung der vertrauenden Seite verwenden:

Die Eigenschaft Bereich definiert den URI, für den die von ACS ausgestellten Token gültig sind. Die Rückgabe-URL definiert die URL, an die die von ACS ausgestellten Token für die Anwendungen der vertrauenden Seite zurückgegeben werden.

Für Webanwendungen und -dienste ist der Bereich normalerweise eine URL (z. B. http://www.fabrikam.com/billing), es kann sich aber auch um einen URN handeln (z. B. urn:fabrikam:billing). Wenn eine Tokenanforderung direkt für ACS ausgeführt wird oder ein Token von einem Identitätsanbieter an ACS gesendet wird, ordnet ACS die konfigurierten Bereichs-URIs dem in einer Tokenanforderung empfangenen Bereichswert zu (wenn das Token über das WS-Verbundprotokoll übermittelt wird, findet sich der Bereichswert im Parameter wtrealm, wenn es über das OAuth WRAP-Protokoll übermittelt wird, im Parameter applies_to). Wenn eine Übereinstimmung gefunden wird, wird die Anforderung verarbeitet, und das Token für die Anwendung der vertrauenden Seite wird ausgestellt und an die Rückgabe-URL zurückgegeben. Das Token wird nur ausgestellt, wenn die Bereichswerte identisch sind oder der eingegebene Bereich ein Präfix des empfangenen Bereichs ist. Der konfigurierte Bereichswert von http://www.fabrikam.com stimmt z. B. mit einem empfangenen Bereichswert von http://www.fabrikam.com/billing, nicht jedoch mit http://fabrikam.com überein.

Es kann nur ein Bereich und eine Rückgabe-URL in einem ACS-Namespace mithilfe des ACS-Verwaltungsportals konfiguriert werden. Im einfachsten Fall sind der Bereich und die Rückgabe-URL identisch. Wenn der Stamm-URI Ihrer Anwendung z. B. https://contoso.com lautet, können der für diese Anwendung der vertrauenden Seite registrierte Bereich und die Rückgabe-URL z. B. https://contoso.com lauten.

Die Fehler-URL ermöglicht das Angeben einer URL, an die ACS Benutzer weiterleitet, wenn während des Anmeldevorgangs ein Fehler auftritt. Dabei kann es sich um eine benutzerdefinierte Seite handeln, die für die Anwendung der vertrauenden Seite gehostet wird, z. B. http://www.fabrikam.com/billing/error.aspx. Als Teil der Weiterleitung stellt ACS Details zum Fehler für die Anwendung der vertrauenden Seite als JSON-codierten HTTP-URL-Parameter zur Verfügung. Die benutzerdefinierte Fehlerseite kann so konzipiert werden, dass sie die JSON-codierten Fehlerinformationen zum Rendern der tatsächlichen Fehlermeldung verwendet, die empfangen wird, und/oder zum Anzeigen statischen Hilfetexts.

Die Fehler-URL ist ist keine Pflichteigenschaft einer ACS-Anwendung der vertrauenden Seite. Weitere Informationen zur Verwendung der Fehler-URL finden Sie unter Codebeispiel: Einfache ASP.NET MVC 2-Anwendung.

Einer ACS-Anwendung der vertrauenden Seite muss ein Tokenformat zugewiesen sein. Die Eigenschaft Tokenformat definiert das Format der Token, die ACS ausstellt und an eine Webanwendung oder einen -dienst zurückgibt, die bzw. der ACS vertraut.

ACS kann SAML 2.0-, SAML 1.1- und SWT-Token ausstellen. Weitere Informationen zu Tokenformaten finden Sie unter In ACS unterstützte Tokenformate.

Nachdem ein SAML 2.0-, SAML 1.1- oder SWT-Token ausgestellt wurde, verwendet ACS verschiedene Standardprotokolle, um das Token an eine Webanwendung oder einen -dienst zurückzugeben. ACS unterstützt die folgenden Tokenformat-/Protokollkombinationen:

  • ACS kann SAML 2.0-Token über die WS-Trust- und WS-Verbundprotokolle ausstellen und zurückgeben (abhängig von dem Protokoll, das in der Tokenanforderung verwendet wird).

  • ACS kann SAML 1.1-Token über die WS-Verbund- und die verwandten WS-Trust-Protokolle ausgeben und zurückgeben (abhängig von dem Protokoll, das in der Tokenanforderung verwendet wird).

  • ACS kann SWT-Token über die WS-Verbund-, WS-Trust- und OAuth-WRAP- und OAuth 2.0-Protokolle ausstellen und zurückgeben (abhängig von dem Protokoll, das in der Tokenanforderung verwendet wird).

Weitere Informationen zu den von ACS verwendeten Standardprotokollen finden Sie unter In ACS unterstützte Protokolle.

Wenn Sie ein Tokenformat auswählen, müssen Sie außerdem berücksichtigen, wie Ihr ACS-Dienstnamespace die ausgestellten Token signiert. Alle von ACS ausgestellten Token müssen signiert werden. Weitere Informationen finden Sie unter Tokensignaturen.

Wenn Sie ein Tokenformat auswählen, müssen Sie auch berücksichtigen, ob eine Verschlüsselungsrichtlinie für die von ACSausgestellten Token konfiguriert werden soll. Weitere Informationen finden Sie unter Tokenverschlüsselungsrichtlinie.

Mithilfe der Eigenschaft Tokenverschlüsselungsrichtlinie können Sie eine Verschlüsselungsrichtlinie für von ACS für diese Anwendung der vertrauenden Seite ausgestellten Token konfigurieren. In ACS können Sie nur für SAML 2.0- oder SAML 1.1-Token eine Verschlüsselungsrichtlinie konfigurieren. ACS unterstützt keine Verschlüsselung der SWT-Token.

ACS verschlüsselt SAML 2.0- und SAML 1.1-Token mithilfe eines X.509-Zertifikats, das einen öffentlichen Schlüssel (CER-Datei) enthält. Diese verschlüsselten Token werden dann mithilfe eines privaten Schlüssels entschlüsselt, der der Anwendung der vertrauenden Seite gehört. Weitere Informationen zum Abrufen und Verwenden von Verschlüsselungszertifikaten finden Sie unter Zertifikate und Schlüssel.

Die Konfiguration einer Verschlüsselungsrichtlinie für die von ACS ausgestellten Token ist optional. Eine Verschlüsselungsrichtlinie muss jedoch konfiguriert werden, wenn es sich bei Ihrer Anwendung der vertrauenden Seite um einen Webdienst handelt, der Eigentumsnachweistoken über das WS-Trust-Protokoll verwendet. Dieses spezielle Szenario funktioniert nicht ordnungsgemäß ohne verschlüsselte Token.

Mithilfe der Eigenschaft Tokengültigkeitsdauer können Sie den Zeitraum angeben, für den ein von ACS für die vertrauende Seite ausgestelltes Sicherheitstoken gültig bleibt. Standardmäßig ist der Wert in ACS auf 10 Minuten (600 Sekunden) festgelegt. In ACS muss dieser Wert größer als Null und kleiner oder gleich 24 Stunden (86400 Sekunden) sein.

Mithilfe der Eigenschaft Identitätsanbieter können Sie angeben, welche Identitätsanbieter mit Ihrer Anwendung der vertrauenden Seite verwendet werden können. Wenn Sie also einen Identitätsanbieter einer Anwendung der vertrauenden Seite zuordnen, können Ansprüche von diesem Identitätsanbieter an Ihre Webanwendung oder Ihren Webdienst übermittelt werden.

Eine Anwendung der vertrauenden Seite kann Null oder mehr Identitätsanbietern zugeordnet werden. Alle Identitätsanbieter, die Ihrer ACS-Anwendung der vertrauenden Seite zugeordnet sind, werden auf der ACS-Anmeldeseite für Ihre Webanwendung oder den Webdienst angezeigt. Aus diesem Grund können mehrere Anwendungen der vertrauenden Seite unter einem einzigen Dienstnamespace vorhanden sein, die jeweils einer gemeinsam verwendeten Sammlung von Identitätsanbietern und/oder verschiedenen Identitätsanbietern zugeordnet sind.

Bevor Sie einen Identitätsanbieter einer Anwendung der vertrauenden Seite zuordnen können, müssen Sie den betreffenden Identitätsanbieter in Ihrem ACS-Dienstnamespace hinzufügen. Weitere Informationen finden Sie unter Identitätsanbieter.

Wenn Sie keine Identitätsanbieter auswählen, die Ihrer Anwendung der vertrauenden Seite zugeordnet werden sollen, bedeutet dies, dass Sie die direkte Authentifizierung mit ACS für Ihre Anwendung der vertrauenden Seite konfigurieren. Sie können die direkte Authentifizierung mit ACS mithilfe von Dienstidentitäten konfigurieren. Weitere Informationen finden Sie unter Dienstidentitäten.

Mithilfe der Eigenschaft Regelgruppen können Sie auswählen, welche Regeln Ihre ACS-Anwendung der vertrauenden Seite beim Verarbeiten von Ansprüchen verwendet.

Einer ACS-Anwendung der vertrauenden Seite muss mindestens eine Regelgruppe zugewiesen sein. Wenn eine Tokenanforderung mit einer Anwendung der vertrauenden Seite übereinstimmt, für die keine Regelgruppen konfiguriert sind, stellt ACS also kein Token aus, das an die Webanwendung oder den -dienst zurückgegeben wird.

Wenn Sie die Eigenschaften einer neuen Anwendung der vertrauenden Seite im ACS-Verwaltungsportal hinzufügen und konfigurieren, ist die Option Neue Regelgruppe erstellen auf der Seite Anwendung der vertrauenden Seite hinzufügen standardmäßig aktiviert. Es wird dringend empfohlen, diese Option aktiviert zu lassen und auf diese Weise eine Standardregelgruppe für Ihre neue Anwendung der vertrauenden Seite zu erstellen. Wenn Sie jedoch Ihre Anwendung der vertrauenden Seite einer vorhandenen Regelgruppe (in diesem Dienstnamespace) zuordnen möchten, deaktivieren Sie die Option Neue Regelgruppe erstellen, und wählen Sie dann die gewünschte Regelgruppe aus.

Sie können eine Anwendung der vertrauenden Seite mehreren Regelgruppen zuordnen. (Sie können analog auch eine Regelgruppe mehreren Anwendungen der vertrauenden Seite zuordnen.) Wenn eine Anwendung der vertrauenden Seite mehreren Regelgruppen zugeordnet ist, wertet ein ACS-Dienstnamespace rekursiv die Regeln in allen Regelgruppen als einzelne Regelgruppe aus.

Weitere Informationen zu den erstellten Regeln und Regelgruppen finden Sie unter Regelgruppen und Regeln.

Mithilfe der Eigenschaft Tokensignaturoptionen können Sie angeben, wie die von ACS ausgestellten Sicherheitstoken signiert werden. Alle von ACS ausgestellten Token müssen signiert werden. Die verfügbaren Signaturoptionen hängen von dem für von ACS ausgestellte Token ausgewählten Tokenformat ab. (Weitere Informationen zu Tokenformaten finden Sie unter Tokenformat).

Die folgenden Tokensignaturoptionen sind für die SAML 1.1- oder SAML 2.0-Tokenformate verfügbar:

  • Dienstnamespacezertifikat verwenden (Standard) - Wenn Sie diese Option auswählen, wird das Dienstnamespace-Standardzertifikat zum Signieren von SAML 1.1- und SAML 2.0-Token verwendet, die ausgestellt und an diese Anwendung der vertrauenden Seite zurückgegeben werden. Sie können diese Option auswählen, wenn Sie das gleiche Zertifikat zum Signieren von Token verwenden möchten, die für alle Ihre Anwendungen der vertrauenden Seite ausgestellt werden. Sie können diese Option auch verwenden, wenn Sie die Konfiguration Ihrer Webanwendung oder Ihres Webdiensts mithilfe von WS-Verbundmetadaten automatisieren möchten, denn der öffentliche Schlüssel des Dienstnamespace-Standardzertifikats wird in den WS-Verbundmetadaten für Ihren ACS-Dienstnamespace veröffentlicht. Die URL für das Metadatendokument des WS-Verbunds finden Sie auf der Seite Anwendungsintegration des ACS-Verwaltungsportals.

  • Dediziertes Zertifikat verwenden - Wenn Sie diese Option auswählen, wird das ein dediziertes Zertifikat zum Signieren von SAML 1.1- und SAML 2.0-Token verwendet, die ausgestellt und an diese Anwendung der vertrauenden Seite zurückgegeben werden. Nachdem Sie diese Option ausgewählt haben, können ein X.509-Zertifikat mit einem privaten Schlüssel (PFX-Datei) festlegen, das zum Signieren von Token verwendet werden soll, und das Kennwort für die PFX-Datei eingeben.

Weitere Informationen zum Abrufen und Hinzufügen von Zertifikaten und Schlüsseln finden Sie unter Zertifikate und Schlüssel.

Die folgenden Tokensignaturoptionen sind für das SWT-Tokenformat verfügbar:

  • Tokensignaturschlüssel - In ACS ist ein symmetrischer 256-Bit-Schlüssel die einzige Signaturoption, die für SWT-Token verfügbar ist. Sie können einen symmetrischen 256-Bit-Schlüssel für diese Anwendung der vertrauenden Seite eingeben oder auf die Schaltfläche Generieren klicken, um einen symmetrischen 256-Bit-Schlüssel automatisch zu erstellen.

  • Gültigkeitsdatum - Gibt das Startdatum für den Datumsbereich an, in dem dieser symmetrische Schlüssel gültig ist. In ACS ist das Gültigkeitsdatum standardmäßig das aktuelle Datum.

  • Ablaufdatum - Gibt das Datum an, an dem ACS die Signatur von SWT-Token mithilfe dieses symmetrischen Schlüssels einstellt. Als bewährte Sicherheitsmethode wird empfohlen, symmetrische Schlüssel von Zeit zu Zeit zu erneuern.

Das Tokenverschlüsselungszertifikat ermöglicht die Suche nach dem X.509-Zertifikat (CER-Datei) für die Tokenverschlüsselung für diese Anwendung der vertrauenden Seite sowie das Laden des Zertifikats. In ACS können Sie nur SAML 2.0- oder SAML 1.1-Token verschlüsseln. ACS unterstützt keine Verschlüsselung von SWT-Token. Weitere Informationen finden Sie unter Tokenverschlüsselungsrichtlinie. Weitere Informationen zum Abrufen und Hinzufügen von Verschlüsselungszertifikaten finden Sie unter Zertifikate und Schlüssel.

Siehe auch

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft