(0) exportieren Drucken
Alle erweitern
Dieser Artikel wurde noch nicht bewertet - Dieses Thema bewerten.

In ACS unterstützte Tokenformate

Veröffentlicht: April 2011

Letzte Aktualisierung: Mai 2011

Betrifft: Windows Azure

Wenn Ihre Webanwendungen und -dienste die Authentifizierung mit Zugriffssteuerungsdienst (ACS) für Windows Azure AppFabric verarbeiten, muss der Client ein von ACS ausgestelltes Sicherheitstoken abrufen, damit er sich bei Ihrer Anwendung oder Ihrem Dienst anmelden kann. ACS kann Sicherheitstoken in den folgenden Formaten ausstellen:

noteHinweis
ACS kann Sicherheitstoken in jedem der folgenden Formate ausstellen. Das Tokenformat, das ACS für eine Webanwendung oder einen -dienst verwendet, wird durch die Anwendungskonfiguration der vertrauenden Seite festgelegt. Weitere Informationen zum Konfigurieren von Anwendungen der vertrauenden Seite finden Sie unter Anwendungen der vertrauenden Seite.

SAML 1.1 und 2.0

SAML (Security Assertion Markup Language) ist das älteste und am häufigsten verwendete Tokenformat, das heute für SSO (Single Sign-On, Einmaliges Anmelden) und anspruchsbasierte Identität in Gebrauch ist. SAML gibt ein XML-Format (für Token und für Protokolle) zum Ausführen der Einmaligen Anmeldung einer Webanwendung oder eines Webdiensts mithilfe von SAML-Token an. Weitere Informationen zu SAML-Token finden Sie in den SAML-Spezifikationen (http://go.microsoft.com/fwlink/?LinkID=213719).

noteHinweis
SAML 1.1- und SAML 2.0-Token werden von einer Vielzahl von Entwicklerplattformen unterstützt, z. B. von Windows Identity Foundation (http://go.microsoft.com/fwlink/?LinkID=213729).

Das folgende Beispiel zeigt ein SAML-Token.


<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:1.0:assertion" AssertionID="uuid-fa8f21f6-1f80-4a23-8744-8fe63ad3b56f" IssueInstant="2011-03-10T02:04:26Z" Issuer="uri:WindowsLiveID" MajorVersion="1" MinorVersion="1">
<saml:Conditions NotBefore="2011-03-10T02:04:26Z" NotOnOrAfter="2011-03-10T10:04:26Z">
<saml:AudienceRestrictionCondition>
<saml:Audience>accesscontrol.windows.net</saml:Audience>
</saml:AudienceRestrictionCondition>
</saml:Conditions>
<saml:AuthenticationStatement AuthenticationInstant="2011-03-10T02:04:26Z" AuthenticationMethod="urn:oasis:names:tc:SAML:1.0:am:password">
<saml:Subject>
<saml:NameIdentifier Format="http://schemas.xmlsoap.org/claims/UPN">XXXXXXXXX@Live.com</saml:NameIdentifier></saml:Subject>
</saml:AuthenticationStatement>
<saml:AttributeStatement>
<saml:Subject>
<saml:NameIdentifier Format="http://schemas.xmlsoap.org/claims/UPN">XXXXXXXXX@Live.com</saml:NameIdentifier>
</saml:Subject>
<saml:Attribute AttributeName="Managed" AttributeNamespace="http://schemas.xmlsoap.org/claims">
<saml:AttributeValue>FALSE</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute AttributeName="Child" AttributeNamespace="http://schemas.xmlsoap.org/claims">
<saml:AttributeValue>FALSE</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute AttributeName="TOUAccepted" AttributeNamespace="http://schemas.xmlsoap.org/claims">
<saml:AttributeValue>TRUE</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute AttributeName="CID" AttributeNamespace="http://schemas.xmlsoap.org/claims">
<saml:AttributeValue>d55dea3aae96e63e</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute AttributeName="EmailAddress" AttributeNamespace="http://schemas.xmlsoap.org/claims">
<saml:AttributeValue>example@contoso.com</saml:AttributeValue>
</saml:Attribute>
<saml:Attribute AttributeName="PUID" AttributeNamespace="http://schemas.xmlsoap.org/claims">
<saml:AttributeValue>00000000000000123</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"></CanonicalizationMethod>
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"></SignatureMethod>
<Reference URI="#uuid-fa8f21f6-1f80-4a23-8744-8fe63ad3b56e">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"></Transform>
<Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"></Transform>
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"></DigestMethod>
<DigestValue>zMqHsRnM6/UG72tqenBM3NWHoFk=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>UlUruV...=</SignatureValue>
<KeyInfo>
<X509Data>
<X509SKI>H1D81qy0njcaeJ3fI6gkn6N/jpA=</X509SKI>
</X509Data>
<KeyName>Windows Live ID</KeyName>
</KeyInfo>
</saml:Assertion>

SWT

SWT-Token (Simple Web Token) entsprechen der SimpleWebToken-Spezifikation. SWT-Token liegen als formularcodierte Schlüssel/Wert-Paare vor, die mit einem kryptografischen Schlüssel signiert sind. Die Spezifikation verlangt das Vorhandensein einiger Schlüssel/Wert-Paare, lässt jedoch auch Raum für anwendungsspezifische Schlüssel/Wert-Paare. Die Schlüssel, die immer in einem von ACS ausgestellten SWT-Token vorhanden sind, werden in der folgenden Tabelle aufgeführt.

 

Schlüssel Beschreibung

Aussteller

Eine Darstellung des ACS Dienstnamespaces, der das Token ausgestellt hat. Das Muster für diesen Wert lautet https://<Dienstnamespace>.accesscontrol.windows.net/.

Publikum

Der Wert von applies_to, der zum Anfordern des Tokens verwendet wird. Dieser Wert lautet HTTP oder HTTPS URI.

ExpiresOn

Die Epochenzeit, nach der das Token abläuft.

HMACSHA256

Die HMACSHA256-Signatur aller anderen Schlüssel/Wert-Paare. Dieses Schlüssel/Wert-Paar ist immer das letzte Schlüssel/Wert-Paar im Token. Die formularcodierte Darstellung der anderen Schlüssel/Wert-Paare (einschließlich anwendungsspezifischer Ansprüche) ist signiert.

Neben diesen Schlüssel/Wert-Paaren fügt ACS dem Token vor der Ausstellung mindestens einen Anspruch hinzu. Diese Ansprüche werden durch die Regelkonfiguration gesteuert, die in ACS zum Zeitpunkt der Tokenanforderung vorhanden ist. Alle diese Ansprüche weisen einen Typ und mindestens einen Wert auf. Typ und Wert sind Zeichenfolgen. Wenn ein Anspruch mehrere Werte enthält, werden diese durch ein Komma (",") getrennt. Ansprüche werden als Schlüssel/Wert-Paare kodiert, und zwar genau wie die in der Tabelle oben beschriebenen Schlüssel/Wert-Paare.

Das folgende Beispiel zeigt ein ACS-Token, das als Schlüssel/Wert-Paare dargestellte Ansprüche enthält.

Audience=http%3a%2f%2flocalhost%2fmyservice&ExpiresOn=1255913549Issuer=https%3a%2f%2fmyservice.accesscontrol.windows.net%2f&role=Admin%2cUser&role=Admin%2cUser&&HMACSHA256=sT7Hr9z%2b3t1oDFLpq5GOToVsu6Dyxpq7hHsSAznmwnI%3d

Mit Ausnahme des HMACSHA256-Schlüssel/Wert-Paars können diese Paare eine beliebige Reihenfolge aufweisen. das folgende ACS-Token entspricht dem vorherigen ACS-Token. Nur die Signaturen unterscheiden sich.

role=Admin%2cUser&customerName=Contoso%20Corporation&Issuer=https%3a%2f%2fmyservice.accesscontrol.windows.net%2f&Audience=http%3a%2f%2flocalhost%2fmyservice&ExpiresOn=1255912922&HMACSHA256=yuVO%2fwc58%2ftYP36%2fDM1mS%2fHr0hswpsGTWwgfvAbpL64%3d

Die folgende Tabelle zeigt den Inhalt des Tokens mit URL-decodierten Werten.

 

Quelle Schlüssel URL-codierter Wert URL-decodierter Wert

Benutzerdefinierte Ansprüche

Rolle

Admin%2cUser

Admin,User

customerName

Contoso%20Corporation

Contoso Corporation

Systemdefinierte Ansprüche

Aussteller

https%3a%2f%2fmyservice.accesscontrol.windows.net%2f

https://myservice.accesscontrol.windows.net/

Publikum

http%3a%2f%2flocalhost%2fmyservice

http://localhost/MeinDienst

ExpiresOn

1255912922

1255912922

HMACSHA256

yuVO%2fwc58%2ftYP36%2fDM1mS%2fHr0hswpsGTWwgfvAbpL64%3d

yuVO/wc58/tYP36/DM1mS/Hr0hswpsGTWwgfvAbpL64=

ACS-Token und -Protokolle

Wenn ein SAML 2.0-, SAML 1.1- oder SWT-Token ausgestellt wird, verwendet ACS verschiedene Standardprotokolle, um das Token an eine Webanwendung oder einen -dienst zurückzugeben. ACS unterstützt die folgenden Tokenformat-/Protokollkombinationen:

  • ACS kann SAML 2.0-Token über die WS-Trust- und WS-Verbundprotokolle ausstellen und zurückgeben (abhängig von dem Protokoll, das in der Tokenanforderung verwendet wird).

  • ACS kann SAML 1.1-Token über die WS-Verbund- und die verwandten WS-Trust-Protokolle ausstellen und zurückgeben (abhängig von dem Protokoll, das in der Tokenanforderung verwendet wird).

  • ACS kann SWT-Token über die WS-Verbund-, WS-Trust- und OAuth WRAP- oder OAuth 2.0-Protokolle ausstellen und zurückgeben (abhängig von dem Protokoll, das in der Tokenanforderung verwendet wird).

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.