Exporter (0) Imprimer
Développer tout

Fournisseurs d'identité WS-Federation

Publication: avril 2011

Mis à jour: mai 2011

S'applique à: Windows Azure

Les fournisseurs d'identité WS-Federation sont des fournisseurs d'identité personnalisés qui prennent en charge le protocole WS-Federation et qui sont configurés dans Service de contrôle d'accès Windows Azure AppFabric à l'aide des métadonnées WS-Federation. Un fournisseur d'identité WS-Federation peut également prendre en charge d'autres protocoles de fédération, tels que WS-Trust. Les fournisseurs d'identité WS-Federation sont plus fréquemment utilisés dans les scénarios de sites Web et d'applications Web, où le profil demandeur passif WS-Federation est utilisé pour permettre au jeton nécessaire d'être redirigé vers et depuis ACS à l'aide d'un navigateur Web.

Microsoft Active Directory Federation Services 2.0

Exemple classique de fournisseur d'identité WS-Federation : Services de fédération Active Directory (AD FS) 2.0. Vous pouvez l'utiliser pour intégrer les comptes Active Directory de votre entreprise à ACS. Avant de pouvoir ajouter et configurer AD FS 2.0 en tant que fournisseur d'identité dans ACS, vous devez avoir installé AD FS 2.0 et utiliser au moins un fournisseur de revendications de confiance, par exemple, les services de domaine Active Directory (AD DS). Pour plus d'informations, voir Configuration d'ADFS 2.0 en tant que fournisseur d'identité.

Configuration avec le portail de gestion ACS

Lors de la configuration d'un fournisseur d'identité WS-Federation à l'aide du portail de gestion ACS, vous devez spécifier ce qui suit :

  • Nom d'affichage : spécifie le nom d'affichage de votre fournisseur d'identité. Ce nom est utilisé dans le portail de gestion ACS uniquement.

  • Métadonnées WS-Federation : contient les informations de configuration (en d'autres termes, les métadonnées de la fédération) sur les services fédérés établis (tels que les jetons et l'autorisation) et les stratégies pour y accéder. Lorsque vous ajoutez un fournisseur d'identité WS-Federation dans ACS, vous devez entrer l'URL ou télécharger une copie locale vers le document des métadonnées de votre fournisseur d'identité WS-Federation.

    CautionAttention
    N'importez que les métadonnées WS-Federation d'un fournisseur d'identité WS-Federation auquel vous faites confiance.

    Si vous souhaitez ajouter un fournisseur d'identité WS-Federation, pour des raisons de sécurité, il est fortement recommandé que ce fournisseur d'identité publie ce document à une URL HTTPS pour que ACS l'importe. Il est également recommandé que seuls les points de terminaison d'émission des jetons soient utilisés par le fournisseur d'identité WS-Federation.

  • Texte du lien de connexion : spécifie le texte qui est affiché pour ce fournisseur d'identité sur la page de connexion de votre application Web. Pour plus d’informations, voir Pages de connexion et découverte du domaine d'accueil.

  • URL de l'image (facultatif) : associe une URL à un fichier d'image (par exemple, le logo de votre choix) que vous pouvez afficher en tant que lien de connexion pour ce fournisseur d'identité. Ce logo apparaît automatiquement dans la page de connexion par défaut de votre application Web prenant en charge ACS, ainsi que dans le flux JSON de votre application Web que vous pouvez utiliser pour rendre une page de connexion personnalisée. Si vous ne spécifiez pas d'URL d'image, un lien de connexion du texte correspondant à ce fournisseur d'identité s'affiche sur la page de connexion de votre application Web. Si vous spécifiez une URL d'image, il est fortement recommandé de la faire pointer vers une source de confiance, par exemple, votre propre site ou application Web, à l'aide d'HTTPS pour éviter tout avertissement de sécurité du navigateur. De plus, toutes les images supérieures à 240 pixels en largeur et 40 pixels en hauteur sont automatiquement redimensionnées sur la page de découverte du domaine Kerberos d'accueil d'ACS par défaut. Il est recommandé d'obtenir une autorisation de votre partenaire AD FS 2.0 pour afficher cette image.

  • Noms de domaine des messageries électroniques (facultatif) : pour inviter les utilisateurs à se connecter à l'aide de leur adresse de messagerie électronique, vous pouvez spécifier les suffixes du domaine de messagerie électronique hébergés par ce fournisseur d'identité. Sinon, laissez ce champ vide pour afficher un lien de connexion direct. Séparez la liste de suffixes par des points-virgules. Pour plus d’informations, voir Pages de connexion et découverte du domaine d'accueil.

  • Applications de la partie de confiance : spécifie toutes les applications de la partie de confiance existantes que vous souhaitez associer à ce fournisseur d'identité. Pour plus d'informations,voir Applications par partie de confiance.

Après avoir associé un fournisseur d'identité à une application de la partie de confiance, les règles de ce fournisseur d'identité doivent être générées ou ajoutées manuellement dans le groupe de règles de l'application de la partie de confiance afin de terminer la configuration. Pour plus d'informations sur la création des règles, voir Groupes de règles et règles.

Types de revendications prises en charge

Après l'authentification d'un utilisateur auprès d'un fournisseur d'identité, celui-ci reçoit un jeton qui est renseigné par des revendications d'identité. Les revendications sont des informations sur l'utilisateur, telles qu'une adresse de messagerie électronique ou un ID unique. ACS peut transmettre directement ces revendications à l'application de la partie de confiance ou prendre des décisions d'autorisation basées sur les valeurs qu'elles contiennent.

Par défaut, ces types de revendications dans ACS sont uniquement identifiés à l'aide d'une URI pour se conformer à la spécification des jetons SAML. Ces URI servent également à identifier des revendications dans d'autres formats de jetons.

Pour les fournisseurs d'identité WS-Federation, les types de revendication disponibles sont déterminés par les métadonnées WS-Federation pour le fournisseur d'identité qui est importé dans ACS. Une fois l'importation terminée, les types de revendication disponibles pour le fournisseur d'identité sont visibles dans la page Modifier la règle de revendication du portail de gestion ACS. Ces types de revendications sont également visibles par l'entité ClaimType dans le service de gestion ACS.

Outre les types de revendications disponibles par les métadonnées WS-Federation, ACS émet toujours les revendications suivantes pour chaque fournisseur d'identité WS-Federation.

 

Type de revendication URI Description

Identificateur de nom

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Un identificateur unique pour le compte utilisateur, fourni par le fournisseur d'identité.

Fournisseur d'identité

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Une revendication fournie par ACS qui indique à l'application de la partie de confiance que l'utilisateur s'est authentifié à l'aide du fournisseur d'identité sélectionné. La valeur de cette revendication est visible dans le portail de gestion de ACS via le champ Domaine sur la page Modifier le fournisseur d'identité.

noteRemarque
Les fournisseurs d'identité WS-Federation peuvent également émettre des types de revendications auprès de ACS qui ne sont pas explicitement indiqués dans le document des métadonnées WS-Federation du fournisseur d'identité. Dans ce cas, l'URI du type de revendication attendu peut être entrée manuellement dans une règle au lieu d'être sélectionnée. Pour plus d'informations sur les règles, voir Groupes de règles et règles.

Voir aussi

Afficher:
© 2014 Microsoft