Share via

Provider di identità WS-Federation

  • Articolo

Aggiornamento: 19 giugno 2015

Si applica a: Azure

WS-Federation provider di identità sono provider di identità personalizzati che supportano il protocollo WS-Federation e vengono configurati in Microsoft Azure Active Directory Controllo di accesso (noto anche come servizio Controllo di accesso o servizio ACS) usando i metadati WS-Federation. Un provider di identità WS-Federation può supportare anche altri protocolli federativi, ad esempio WS-Trust. WS-Federation provider di identità vengono usati più frequentemente negli scenari di siti Web e applicazioni Web, in cui viene usato il profilo del richiedente passivo WS-Federation per facilitare i reindirizzamenti di token necessari a e da ACS usando un Web browser.

Microsoft Active Directory Federation Services 2.0

Un esempio comune di provider di identità WS-Federation è . È possibile usarlo per integrare gli account Active Directory aziendali con ACS. Prima di poter aggiungere e configurare come provider di identità in ACS, è necessario installare e usare almeno un trust provider di attestazioni, ad esempio Active Directory Domain Services (AD DS). Per altre informazioni, vedere Procedura: Configurare AD FS 2.0 come provider di identità.

Configurazione nel portale di gestione ACS

Quando si usa il portale di gestione ACS per configurare un provider di identità WS-Federation, è necessario immettere i dati seguenti.

  • Display name: specifica il nome visualizzato del provider di identità. Questo nome viene usato solo nel portale di gestione di ACS.

  • WS-Federation metadata: contiene informazioni sulla configurazione, ovvero metadati, relativi ai servizi federativi stabiliti, quali i token e l'autorizzazione, nonché i relativi criteri di accesso. Quando si aggiunge un provider di identità WS-Federation in ACS, è necessario immettere l'URL del documento dei metadati federativo o caricare una copia locale del documento di metadati per il provider di identità WS-Federation.

    Avviso

    Importare metadati WS-Federation solo da un provider di identità WS-Federation considerato attendibile.

    Per motivi di sicurezza è consigliabile che il provider di identità WS-Federation pubblichi il documento dei metadati di federazione in un URL HTTPS. È inoltre consigliabile che il provider di identità WS-Federation usi solo endpoint di rilascio dei token HTTPS.

  • Login link text: specifica il testo visualizzato per il provider di identità nella pagina di accesso dell'applicazione Web. Per altre informazioni, vedere Pagine di accesso e Individuazione area di autenticazione iniziale.

  • Image URL (facoltativo): consente di associare un URL di un file di immagine, ad esempio un logo di propria scelta, che è possibile visualizzare come collegamento di accesso per il provider di identità. Questo logo viene visualizzato automaticamente nella pagina di accesso predefinita per l'applicazione Web compatibile con ACS, nonché nel feed JSON dell'applicazione Web che è possibile usare per eseguire il rendering di una pagina di accesso personalizzata. Se non si specifica un URL immagine, nella pagina di accesso dell'applicazione Web viene visualizzato il testo di un collegamento di accesso per il provider di identità. Se si specifica un URL immagine, è consigliabile puntarlo a una fonte attendibile, ad esempio il proprio sito o la propria applicazione Web, usando HTTPS per evitare che vengano visualizzati avvisi di sicurezza del browser. Inoltre, qualsiasi immagine di dimensioni superiori a 240 pixel di larghezza e 40 pixel di altezza viene ridimensionata automaticamente nella pagina predefinita relativa all'individuazione dell'area di autenticazione principale di ACS. È consigliabile ottenere l'autorizzazione dal partner per visualizzare questa immagine.

  • Email domain names (facoltativo): specifica i suffissi del dominio di posta elettronica ospitati dal provider di identità per richiedere agli utenti di eseguire l'accesso usando l'indirizzo di posta elettronica. Lasciare vuoto questo campo per visualizzare un collegamento di accesso diretto. Per separare i singoli suffissi dell'elenco, usare il punto e virgola. Per altre informazioni, vedere Pagine di accesso e Individuazione area di autenticazione iniziale.

  • Relying party applications- Specifica tutte le applicazioni relying party esistenti da associare al provider di identità. Per altre informazioni, vedere Applicazioni relying party.

Dopo l'associazione di un provider di identità a un'applicazione relying party, per completare la configurazione è necessario generare o aggiungere manualmente le regole per tale provider in un gruppo di regole dell'applicazione relying party. Per altre informazioni sulla creazione di regole, vedere Gruppi di regole e regole.

Tipi di attestazione supportati

Dopo l'autenticazione con un provider di identità, l'utente riceve un token contenente le attestazioni di identità. Le attestazioni sono informazioni sull'utente, ad esempio un indirizzo di posta elettronica o un ID univoco. ACS può passare queste attestazioni direttamente all'applicazione relying party o prendere decisioni di autorizzazione in base ai valori che contengono.

Per impostazione predefinita, i tipi di attestazioni in ACS vengono identificati in modo univoco usando un URI per la conformità con la specifica del token SAML. Gli URI vengono usati anche per identificare le attestazioni in altri formati di token.

Per WS-Federation provider di identità, i tipi di attestazione disponibili vengono determinati dai metadati WS-Federation per il provider di identità importato in ACS. Al termine dell'importazione, i tipi di attestazione disponibili per il provider di identità sono visibili nella pagina Modifica regola attestazione del portale di gestione ACS. Questi tipi di attestazione sono visibili anche tramite l'entità ClaimType nel servizio di gestione ACS.

Oltre ai tipi di attestazione disponibili tramite i metadati WS-Federation, ACS emette sempre le attestazioni seguenti per ogni provider di identità WS-Federation.

Tipo di attestazione URI Descrizione

Identificatore nome

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Identificatore univoco dell'account utente, fornito dal provider di identità.

Provider di identità

https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Attestazione fornita da ACS che indica all'applicazione relying party che l'utente ha autenticato usando il provider di identità selezionato. Il valore di questa attestazione è visibile nel portale di gestione di ACS tramite il campo Area di autenticazione nella pagina Modifica provider di identità .

Nota

WS-Federation provider di identità può anche emettere tipi di attestazione a ACS che non sono elencati in modo esplicito nel documento dei metadati WS-Federation del provider di identità. In tal caso, l'URI del tipo di attestazione previsto può essere immesso manualmente in una regola anziché selezionato. Per altre informazioni sulle regole, vedere Gruppi di regole e regole.

Gestione di certificati

I certificati di firma del token X.509 per un provider di identità WS-Federation sono elencati nella pagina del provider di identità nel portale di gestione di ACS. È importante monitorare i certificati e assicurarsi che siano validi e che vengono sostituiti prima della scadenza.

Per visualizzare i certificati per un provider di identità WS-Federation:

  1. Nel portale di gestione di ACS fare clic su Provider di identità.

  2. Fare clic sul provider di identità WS-Federation.

  3. Passare alla sezione Token Signing Certificates nella parte inferiore della pagina.

Per altre informazioni sulla gestione dei certificati per i provider di identità WS-Federation, vedere Certificato del provider di identità WS-Federation.

Vedere anche

Concetti

Provider di identità
Linee guida per la gestione dei certificati e delle chiavi