Esporta (0) Stampa
Espandi tutto

Provider di identità WS-Federation

Pubblicato: aprile 2011

Aggiornamento: maggio 2011

Si applica a: Windows Azure

I provider di identità WS-Federation sono provider di identità personalizzati che supportano il protocollo WS-Federation e vengono configurati in AppFabric Access Control Service (ACS) in Windows Azure mediante l'utilizzo di metadati WS-Federation. Un provider di identità WS-Federation può inoltre supportare altri protocolli federativi, ad esempio WS-Trust. I provider di identità WS-Federation vengono spesso utilizzati in scenari con siti e applicazioni Web, in cui viene utilizzato WS-Federation Passive Requestor Profile per facilitare i reindirizzamenti di token necessari da e verso ACS mediante un Web browser.

Microsoft Active Directory Federation Services 2.0

Un esempio comune di provider di identità WS-Federation è Active Directory Federation Services (AD FS) 2.0. Può essere utilizzato per integrare gli account Active Directory dell'organizzazione con ACS. Prima di poter aggiungere e configurare AD FS 2.0 come provider di identità in ACS, è necessario che sia installato e in esecuzione AD FS 2.0 con almeno un trust con un provider di attestazioni, ad esempio Servizi di dominio Active Directory. Per ulteriori informazioni, vedere Procedura: configurare ADFS 2.0 come provider di identità.

Configurazione con il portale di gestione ACS

Quando si configura un provider di identità WS-Federation utilizzando il portale di gestione ACS, è necessario specificare quanto segue:

  • Display name - Specifica il nome visualizzato del provider di identità. Questo nome viene utilizzato solo nel portale di gestione ACS.

  • WS-Federation metadata - Contiene informazioni sulla configurazione, ovvero metadati, relativi ai servizi federativi stabiliti, quali i token e l'autorizzazione, nonché i relativi criteri di acceso. Quando si aggiunge un provider di identità WS-Federation in ACS, è necessario immettere l'URL oppure caricare una copia locale del documento di metadati per il provider di identità WS-Federation.

    CautionAttenzione
    Importare metadati WS-Federation solo da un provider di identità WS-Federation considerato attendibile.

    Se si desidera aggiungere un provider di identità WS-Federation, per motivi di sicurezza è consigliabile che tale provider di identità WS-Federation pubblichi il documento in un URL HTTPS per l'importazione da parte di ACS. È inoltre consigliabile che il provider di identità WS-Federation utilizzi solo endpoint di rilascio dei token HTTPS.

  • Login link text - Specifica il testo visualizzato per il provider di identità nella pagina di accesso dell'applicazione Web. Per ulteriori informazioni, vedere Pagine di accesso e individuazione dell'area di autenticazione principale.

  • Image URL (optional) - Consente di associare un URL di un file di immagine, ad esempio un logo di propria scelta, che è possibile visualizzare come collegamento di accesso per il provider di identità. Questo logo viene visualizzato automaticamente nella pagina di accesso predefinita dell'applicazione Web compatibile con ACS, nonché nel feed JSON dell'applicazione Web che è possibile utilizzare per eseguire il rendering di una pagina di accesso personalizzata. Se non si specifica un URL immagine, nella pagina di accesso dell'applicazione Web viene visualizzato il testo di un collegamento di accesso per il provider di identità. Se si specifica un URL immagine, è consigliabile puntarlo a una fonte attendibile, ad esempio il proprio sito o la propria applicazione Web, utilizzando HTTPS per evitare che vengano visualizzati avvisi di sicurezza del browser. Inoltre, qualsiasi immagine di dimensioni superiori a 240 pixel di larghezza e 40 pixel di altezza viene ridimensionata automaticamente nella pagina predefinita relativa all'individuazione dell'area di autenticazione principale di ACS. È consigliabile richiedere al partner AD FS 2.0 l'autorizzazione per la visualizzazione dell'immagine.

  • Email domain names (optional) - Specifica i suffissi del dominio di posta elettronica ospitati dal provider di identità per richiedere agli utenti di eseguire l'accesso utilizzando l'indirizzo di posta elettronica. Lasciare vuoto questo campo per visualizzare un collegamento di accesso diretto. Per separare i singoli suffissi dell'elenco, utilizzare il punto e virgola. Per ulteriori informazioni, vedere Pagine di accesso e individuazione dell'area di autenticazione principale.

  • Relying party applications - Specifica tutte le applicazioni relying party esistenti che si desidera associare al provider di identità. Per ulteriori informazioni, vedere Applicazioni relying party.

Dopo aver associato un provider di identità a un'applicazione relying party, è necessario generare o aggiungere manualmente le regole del provider di identità nel gruppo di regole dell'applicazione relying party per completare la configurazione. Per ulteriori informazioni sulla creazione di regole, vedere Regole e gruppi di regole.

Tipi di attestazione supportati

Dopo l'autenticazione con un provider di identità, l'utente riceve un token contenente le attestazioni di identità. Le attestazioni sono informazioni relative all'utente, ad esempio un indirizzo di posta elettronica o un ID univoco. ACS può passare queste attestazioni direttamente all'applicazione relying party oppure decidere di concedere l'autorizzazione in base ai valori in esse contenuti.

Per impostazione predefinita, i tipi di attestazione in ACS vengono identificati in modo univoco utilizzando un URI per conformità con la specifica di token SAML. Gli URI vengono utilizzati anche per identificare le attestazioni in altri formati di token.

Per i provider di identità WS-Federation, i tipi di attestazione disponibili sono determinati dai metadati WS-Federation relativi al provider di identità importati in ACS. Al termine dell'importazione, i tipi di attestazione disponibili per il provider di identità sono visibili nella pagina Edit Claim Rule del portale di gestione ACS. I tipi di attestazione sono inoltre visibili tramite l'entità ClaimType nel servizio di gestione ACS.

Oltre ai tipi di attestazione disponibili tramite i metadati WS-Federation, in ACS vengono sempre rilasciate le attestazioni riportate di seguito per ciascun provider di identità WS-Federation.

 

Tipo di attestazione URI Descrizione

ID nome

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Identificatore univoco dell'account utente, fornito dal provider di identità.

Provider di identità

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Attestazione fornita da ACS per comunicare all'applicazione relying party che l'utente ha eseguito l'autenticazione utilizzando il provider di identità selezionato. Il valore di questa attestazione è visibile nel portale di gestione ACS mediante il campo Realm disponibile nella pagina Edit Identity Provider.

noteNota
I provider di identità WS-Federation possono inoltre rilasciare a ACS tipi di attestazione non elencati esplicitamente nel documento di metadati WS-Federation del provider di identità. In tal caso, l'URI del tipo di attestazione previsto può essere immesso manualmente in una regola anziché essere selezionato. Per ulteriori informazioni sulle regole, vedere Regole e gruppi di regole.

Vedere anche

Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2014 Microsoft