Экспорт (0) Печать
Развернуть все

Приложения проверяющей стороны

Опубликовано: Апрель 2011 г.

Обновлено: Май 2011 г.

Назначение: Windows Azure

При создании приложения (или службы), использующего утверждения, создается приложение проверяющей стороны (синонимы — приложение, учитывающее утверждения или приложение, поддерживающее утверждения). В контексте Служба управления доступом (ACS) к Windows Azure AppFabric приложение проверяющей стороны — это веб-сайт, приложение или служба, где средствами Служба управления доступом реализуется федеративная проверка подлинности. При добавлении и настройке приложения проверяющей стороны с помощью портала управления Служба управления доступом добавляется и настраивается логическое представление веб-сайта, приложения или службы, доверяющее конкретному пространству имен службы Служба управления доступом. В одном пространстве имен службы Служба управления доступом можно добавить и настроить несколько приложений проверяющей стороны.

Создавать и настраивать приложения проверяющей стороны можно вручную на портале управления Служба управления доступом или программным способом с помощью службы управления Служба управления доступом.

Настройка с помощью портала управления ACS

Портал управления Служба управления доступом позволяет настраивать следующие свойства приложения проверяющей стороны:

Область и URL-адрес возврата

Свойство Область задает URI, для которого действуют маркеры, выпускаемые Служба управления доступом. Свойство URL-адрес возврата используется для возврата маркеров, выдаваемых Служба управления доступом приложениям проверяющей стороны.

В веб-приложениях и службах область — это обычно URL-адрес (например, http://www.fabrikam.com/billing), но это может быть и URN (например, urn:fabrikam:billing). При запросе маркера напрямую у Служба управления доступом или отправке маркера в Служба управления доступом из поставщика удостоверений Служба управления доступом сопоставляет настроенные URI областей со значением области в запросе маркера (если маркер передается по протоколу WS-Federation, область задается в параметре wtrealm, а если по протоколу OAuth WRAP, то в applies_to). Если обнаружится совпадение, запрос обрабатывается и приложению проверяющей стороны выдается маркер, который возвращается по URL-адресу возврата. Маркер выдается только в случае, если значения областей идентичны или же указанная область является префиксом полученной области. Так, настроенное значение области http://www.fabrikam.com соответствует полученному http://www.fabrikam.com/billing, но не http://fabrikam.com.

Для пространства имен Служба управления доступом на портале управления Служба управления доступом можно настроить только одну область и один URL-адрес возврата. В простейшем случае они совпадают. Например, если корневой URI приложения — https://contoso.com, то регистрируемые для приложения проверяющей стороны область и URL-адрес возврата можно задать как https://contoso.com.

URL-адрес ошибки (необязательно)

URL-адрес ошибки используется Служба управления доступом для перенаправления пользователей в случае ошибки при входе. Это может быть отдельная страница приложения проверяющей стороны, например http://www.fabrikam.com/billing/error.aspx. В рамках перенаправления Служба управления доступом передает приложению проверяющей стороны сведения об ошибке в виде закодированного в JSON параметра HTTP в URL-адресе. Страница ошибки может принимать эти данные, чтобы отображать фактическое сообщение об ошибке наряду со статическим справочным текстом.

URL-адрес ошибки не является обязательным свойством приложения проверяющей стороны Служба управления доступом. Дополнительные сведения об использовании URL-адреса ошибки см. в разделе Пример кода: простая MVC 2 ASP.NET.

Формат маркеров

Приложению проверяющей стороны Служба управления доступом следует назначить формат маркеров. Свойство Формат маркеров определяет формат маркеров, которые Служба управления доступом выдает и возвращает веб-приложению или службе, доверяющей Служба управления доступом.

Служба управления доступом выдает маркеры форматов SAML 2.0, SAML 1.1 и SWT. Дополнительные сведения о форматах маркеров см. в разделе Форматы маркеров, поддерживаемые в ACS.

После выдачи маркера SAML 2.0, SAML 1.1 или SWT Служба управления доступом использует различные стандартные протоколы, чтобы вернуть его веб-приложению или службе. Служба управления доступом поддерживает следующие сочетания форматов и протоколов:

  • Служба управления доступом может выдавать и возвращать маркеры SAML 2.0 по протоколам WS-Trust и WS-Federation (в зависимости от протокола запроса маркера).

  • Служба управления доступом может выдавать и возвращать маркеры SAML 1.1 по протоколам WS-Federation и связанным протоколам WS-Trust (в зависимости от протокола запроса маркера).

  • Служба управления доступом может выдавать и возвращать маркеры SWT по протоколам WS-Federation, WS-Trust, OAuth-WRAP и OAuth 2.0 (в зависимости от протокола запроса маркера).

Дополнительные сведения о стандартных протоколах, используемых Служба управления доступом, см. в разделе Протоколы, поддерживаемые в ACS.

При выборе формата маркера следует учесть, как пространство имен службы Служба управления доступом будет подписывать выдаваемые маркеры. Все маркеры, выдаваемые Служба управления доступом, должны быть подписаны. Дополнительные сведения см. в разделе Подписывание маркеров .

При выборе формата маркера следует учесть, требуется ли настроить политику шифрования для маркеров, выдаваемых Служба управления доступом. Дополнительные сведения см. в разделе Политика шифрования маркеров.

Политика шифрования маркеров

Свойство Политика шифрования маркеров задает политику шифрования для маркеров, выдаваемых Служба управления доступом этому приложению проверяющей стороны. В Служба управления доступом политику шифрования можно настроить только для маркеров SAML 2.0 и SAML 1.1. Служба управления доступом не поддерживает шифрование маркеров SWT.

Служба управления доступом шифрует маркеры SAML 2.0 и SAML 1.1 с помощью сертификата X.509 с открытым ключом (CER-файла). Такие зашифрованные маркеры затем расшифровываются с помощью закрытого ключа, который есть у приложения проверяющей стороны. Дополнительные сведения о получении сертификатов шифрования и их использовании см. в разделе Сертификаты и ключи.

Настраивать политику шифрования для маркеров, выдаваемых Служба управления доступом, необязательно. Тем не менее, политику шифрования следует настроить, если приложение проверяющей стороны — это веб-служба, использующая маркеры подтверждения владения по протоколу WS-Trust. Этот сценарий не будет работать правильно без шифрования маркеров.

Время существования маркеров

Свойство Время существования маркера позволяет задать время, в течение которого маркер безопасности, выданный Служба управления доступом приложению проверяющей стороны, остается действительным. По умолчанию в Служба управления доступом установлено значение "10 минут" (600 секунд). В Служба управления доступом это значение должно быть больше нуля и не больше 24 часов (86 400 секунд).

Поставщики удостоверений

Свойство Поставщики удостоверений позволяет указать, какие поставщики удостоверений используются с приложением проверяющей стороны. Другими словами, связав поставщик удостоверений с приложением проверяющей стороны, можно передавать утверждения от этого поставщика веб-приложению или службе.

Число поставщиков, связываемых с приложением проверяющей стороны, произвольно. Все поставщики удостоверений, связанные с приложением проверяющей стороны Служба управления доступом, отображаются на странице для входа Служба управления доступом в веб-приложении или службе. В результате в одном и том же пространстве имен службы может быть несколько приложений проверяющей стороны, связанных с одинаковыми или разными поставщиками удостоверений.

Для связывания поставщика с приложением проверяющей стороны его следует добавить в пространство имен службы Служба управления доступом. Дополнительные сведения см. в разделе Поставщики удостоверений.

Если с приложением проверяющей стороны не связаны поставщики удостоверений, то оно использует прямую проверку подлинности в Служба управления доступом. Прямую проверку в Служба управления доступом можно настроить с использованием удостоверения службы. Дополнительные сведения см. в разделе Удостоверения служб.

Группы правил

Свойство Группы правил позволяет выбрать группы правил, используемые приложением проверяющей стороны Служба управления доступом при обработке утверждений.

Приложению проверяющей стороны Служба управления доступом следует назначить по меньшей мере одну группу. Другими словами, если запрос маркера соответствует приложению проверяющей стороны без настроенных групп правил, то Служба управления доступом не выдаст маркер для возврата в веб-приложение или службу.

При добавлении и настройке свойств нового приложения проверяющей стороны на портале управления Служба управления доступом на странице Добавление приложения проверяющей стороны по умолчанию выбран вариант Создать новую группу правил. Настоятельно рекомендуется не изменять выбор, чтобы создать группу правил для нового приложения проверяющей стороны, используемую по умолчанию. Тем не менее, чтобы связать приложение проверяющей стороны с уже существующей в этом пространстве имен группой правил, снимите выбор с команды Создать новую группу правил и выберите требуемую группу.

Приложение проверяющей стороны можно связать с несколькими группами правил. (Аналогично группу правил можно связать с несколькими приложениями.) Если приложение проверяющей стороны связано с несколькими группами правил, то пространство имен службы Служба управления доступом рекурсивно проверяет все правила во всех группах, воспринимая их как одну группу.

Дополнительные сведения о созданных правилах и группах правил см. в разделе Группы правил и правила.

Подписывание маркеров

Свойство Параметры для подписи маркеров позволяет указать, как подписываются маркеры безопасности, выдаваемые Служба управления доступом. Все маркеры, выдаваемые Служба управления доступом, должны быть подписаны. Доступные параметры подписывания зависят от выбранного формата маркеров Служба управления доступом. (Дополнительные сведения о форматах маркеров см. в разделе Формат маркеров.)

Для форматов SAML 1.1 и SAML 2.0 доступны следующие варианты подписывания:

  • Использовать сертификат пространства имен службы (стандартно) — при выборе этого варианта для подписывания маркеров SAML 1.1 и SAML 2.0, выдаваемых и возвращаемых приложению проверяющей стороны, используется сертификат пространства имен службы. Этот вариант можно выбрать, чтобы использовать один сертификат для подписи маркеров, выдаваемых всем приложениям проверяющей стороны. Его также можно использовать в случае необходимости автоматизации настройки веб-приложения или службы с помощью метаданных WS-Federation, так как открытый ключ сертификатов пространства имен службы публикуется в метаданных WS-Federation пространства имен службы Служба управления доступом. Значение URL-адреса метаданных WS-Federation можно найти на странице Интеграция приложений на портале управления Служба управления доступом.

  • Использовать выделенный сертификат — при выборе этого варианта для подписывания маркеров SAML 1.1 и SAML 2.0, выдаваемых и возвращаемых приложению проверяющей стороны, используется выделенный сертификат. При выборе этого варианта можно указать сертификат X.509 с закрытым ключом (PFX-файлом), используемый для подписывания маркеров. Потребуется ввести пароль для PFX-файла.

Дополнительные сведения о получении и добавлении сертификатов и ключей см. в разделе Сертификаты и ключи.

Для формата SWT доступны следующие варианты подписывания:

  • Ключ для подписи маркеров — в Служба управления доступом для маркеров доступен только 256-битный симметричный ключ. Этот ключ можно ввести или создать автоматически, нажав кнопку Создать.

  • Дата вступления в действие — дата начала действия симметричного ключа. В Служба управления доступом по умолчанию это текущая дата.

  • Дата истечения срока действия — задает дату, когда Служба управления доступом перестанет подписывать маркеры SWT этим симметричным ключом. С точки зрения безопасности рекомендуется периодически менять симметричные ключи.

Шифрование маркеров

При выборе шифрования маркеров с помощью сертификата можно загрузить сертификат X.509 (CER-файл) для шифрования маркеров этого приложения проверяющей стороны. В Служба управления доступом шифрование поддерживается только для маркеров SAML 2.0 и SAML 1.1. Служба управления доступом не поддерживает шифрование маркеров SWT. Дополнительные сведения см. в разделе Политика шифрования маркеров. Дополнительные сведения о получении и добавлении сертификатов шифрования см. в разделе Сертификаты и ключи.

См. также

Основные понятия

Компоненты ACS 2.0

Показ:
© 2014 Microsoft