匯出 (0) 列印
全部展開

信賴憑證者應用程式

發佈時間: 2011年4月

更新日期: 2011年5月

適用於: Windows Azure

當您建立依賴宣告的應用程式 (或服務) 時,您會建立一個信賴憑證者應用程式 (其他同義字是宣告感知應用程式宣告式應用程式)。在 Windows Azure AppFabric 存取控制服務 (ACS) 的內容中,信賴憑證者應用程式是一個您想使用 ACS 實作同盟驗證的網站、應用程式或服務。當您使用 ACS 管理入口網站新增並設定信賴憑證者應用程式時,您會新增並設定信任特定 ACS 服務命名空間之網站、應用程式或服務的邏輯表示法。您可以在單一 ACS 服務命名空間中新增並設定一個以上的信賴憑證者應用程式。

您可以使用 ACS 管理入口網站來手動建立並設定信賴憑證者應用程式,或是使用 ACS 管理服務以程式設計方式來進行。

使用 ACS 管理入口網站進行設定

您可以使用 ACS 管理入口網站來設定信賴憑證者應用程式的下列屬性:

領域與傳回 URL

領域屬性定義簽發有效權杖之 ACS 的 URI。傳回 URL 定義由 ACS 對信賴憑證者應用程式簽發之權杖要傳回的 URL。

若為 Web 應用程式及服務,領域通常是 URL (例如 http://www.fabrikam.com/billing),但也可以是 URN (例如 urn:fabrikam:billing)。直接向 ACS 提出權杖要求,或從身分識別提供者將權杖公佈至 ACS 時,ACS 都會對照在權杖要求中收到的領域值來符合設定的領域 URI (如果是透過 WS-同盟通訊協定傳遞權杖,則可以在 wtrealm 參數中找到領域值;如果是透過 OAuth WRAP 通訊協定傳遞權杖,則可以在 applies_to 參數中找到領域值)。如果找到相符項目,則會處理要求,並簽發權杖給信賴憑證者應用程式,同時傳回到 [傳回 URL]。唯有領域值都相同,或輸入的領域是所接收領域的字首時,才會簽發權杖。例如,http://www.fabrikam.com 已設定的領域值符合已收到的領域值 http://www.fabrikam.com/billing,而非 http://fabrikam.com

使用 ACS 管理入口網站只能在 ACS 命名空間中設定一個領域與一個傳回 URL。在最簡單的案例中,領域與傳回 URL 都相同。例如,如果應用程式的根 URI 是 https://contoso.com,則針對該信賴憑證者應用程式註冊的領域與傳回 URL 可以是 https://contoso.com。

錯誤 URL (選擇性)

[錯誤 URL] 可讓您指定萬一在登入過程中發生錯誤時,ACS 重新導向使用者前往的 URL。它可以是在信賴憑證者應用程式上主控的自訂頁面,例如 http://www.fabrikam.com/billing/error.aspx。在重新導向過程中,ACS 會提供關於錯誤的詳細資料給信賴憑證者應用程式,例如以 JSON 編碼的 HTTP URL 參數。您可以製作自訂錯誤頁面,以利用 JSON 編碼的錯誤資訊來呈現收到的實際錯誤訊息及/或顯示靜態說明文字。

錯誤 URL 不是 ACS 信賴憑證者應用程式的必要屬性。如需錯誤 URL 用法的詳細資訊,請參閱程式碼範例:ASP.NET 簡易 MVC 2

權杖格式

您必須為 ACS 信賴憑證者應用程式指派一個權杖格式。權杖格式屬性定義 ACS 簽發並傳回給信任 ACS 的 Web 應用程式或服務的權杖格式。

ACS 可以簽發 SAML 2.0、SAML 1.1 或 SWT 權杖。如需權杖格式的詳細資訊,請參閱在 ACS 中支援的權杖格式

簽發 SAML 2.0、SAML 1.1 或 SWT 權杖時,ACS 會使用多種標準通訊協定將權杖傳回 Web 應用程式或服務。ACS 支援下列權杖格式/通訊協定組合。

  • ACS 可以透過 WS-Trust 與 WS-同盟通訊協定 (視權杖要求中使用的通訊協定而定) 來簽發及傳回 SAML 2.0 權杖。

  • ACS 可以透過 WS-同盟與相關的 WS-Trust 通訊協定 (視權杖要求中使用的通訊協定而定) 來簽發及傳回 SAML 1.1 權杖。

  • ACS 可以透過 WS-同盟、WS-Trust、OAuth-WRAP 和 OAuth 2.0 通訊協定 (視權杖要求中使用的通訊協定而定) 來簽發及傳回 SWT 權杖。

如需 ACS 使用之標準通訊協定的詳細資訊,請參閱 ACS 中支援的通訊協定

在選擇權杖格式時,也必須考慮您的 ACS 服務命名空間如何簽署它所發行的權杖。ACS 簽發的所有權杖都必須經過簽署。如需詳細資訊,請參閱 權杖簽署

在選擇權杖格式時,也必須考慮您是否想要針對 ACS 簽發的權杖設定加密原則。如需詳細資訊,請參閱 權杖加密原則

權杖加密原則

權杖加密原則屬性可讓您針對 ACS 向這個信賴憑證者應用程式簽發的權杖設定加密原則。在 ACS 中,您只能為 SAML 2.0 或 SAML 1.1 權杖設定加密原則。ACS 不支援加密 SWT 權杖。

ACS 使用包含公開金鑰 (.cer 檔案) 的 X.509 憑證加密 SAML 2.0 及 SAML 1.1 權杖。然後使用信賴憑證者應用程式處理擁有的私密金鑰來解密這些加密的權杖。如需有關取得及使用加密憑證的詳細資訊,請參閱憑證與金鑰

對 ACS 簽發的權杖設定加密原則是選擇性的。但是,如果您的信賴憑證者應用程式是透過 WS-Trust 通訊協定使用持有證明權杖的 Web 服務,則必須設定加密原則。如果沒有加密的權杖,這個特定的案例無法正常運作。

權杖存留時間

權杖存留時間屬性可讓您針對 ACS 向信賴憑證者應用程式簽發的安全性權杖指定要維持有效的時間量。依預設,會在 ACS 中將此值設為 10 分鐘 (600 秒)。在 ACS 中,此值必須大於零,但小於或等於 24 小時 (86400 秒)。

身分識別提供者

身分識別提供者屬性可指定能搭配您信賴憑證者應用程式使用的身分識別提供者。換句話說,如果您將一個身分識別提供者與一個信賴憑證者應用程式產生關聯,則可以將來自該身分識別提供者的宣告傳送到您的 Web 應用程式或服務。

信賴憑證者應用程式可以與零個以上身分識別提供者產生關聯。與您 ACS 信賴憑證者應用程式關聯的所有身分識別提供者,都會出現在您 Web 應用程式或服務的 ACS 登入頁面上。因此,您可以在單一服務命名空間下擁有多個信賴憑證者應用程式,它們可以分別與共用的一組身分識別提供者及/或不同的身分識別提供者產生關聯。

在可以將身分識別提供者與信賴憑證者應用程式產生關聯之前,必須先在您的 ACS 服務命名空間中新增該身分識別提供者。如需詳細資訊,請參閱 身分識別提供者

不選取任何身分識別提供者與您的信賴憑證者應用程式產生關聯,代表要直接以 ACS 驗證您的信賴憑證者應用程式。您可以使用服務身分識別,直接以 ACS 進行驗證。如需詳細資訊,請參閱 服務身分識別

規則群組

[規則群組] 屬性可讓您選擇 ACS 信賴憑證者應用程式處理宣告時要使用的規則。

ACS 信賴憑證者應用程式必須至少和一個規則群組產生關聯。換句話說,如果權杖要求符合一個沒有設定規則群組的信賴憑證者應用程式,則 ACS 不會簽發要傳回的權杖給 Web 應用程式或服務。

當您在 ACS 管理入口網站中新增並設定新信賴憑證者應用程式的屬性時,預設會勾選 [新增信賴憑證者應用程式] 頁面上的 [建立新規則群組] 選項。強烈建議保持選取此選項,為您的新信賴憑證者應用程式的建立預設規則群組。但是,如果您想要將信賴憑證者應用程式與現有的規則群組 (在這個服務命名空間中) 產生關聯,請清除 [建立新規則群組] 選項,並選取想要的規則群組。

您可以將一個信賴憑證者應用程式與一個以上的規則群組產生關聯 (同樣地,您可以將一個規則群組與一個以上的信賴憑證者應用程式產生關聯)。如果一個信賴憑證者應用程式與一個以上的規則群組產生關聯,則 ACS 服務命名空間會遞迴評估所有規則群組中的規則,如同它們是單一規則群組一般。

如需已建立之規則與規則群組的詳細資訊,請參閱規則群組與規則

權杖簽署

權杖簽署選項屬性可讓您指定如何簽署由 ACS 發行的安全性權杖。ACS 簽發的所有權杖都必須經過簽署。可用的簽署選項視您針對 ACS 簽發之權杖所選取的權杖格式而定 (如需權杖格式的詳細資訊,請參閱權杖格式)。

下列是 SAML 1.1 或 SAML 2.0 權杖格式可用的權杖簽署選項:

  • 使用服務命名空間憑證 (標準) - 如果您選取此選項,則會使用預設服務命名空間憑證來簽署針對這個信賴憑證者應用程式簽發與傳回的 SAML 1.1 及 SAML 2.0 權杖。如果您想要使用相同的憑證來簽署針對所有信賴憑證者應用程式簽發的權杖,請選取此選項。如果您想使用 WS-同盟中繼資料自動化 Web 應用程式或服務的設定,也可使用此選項,因為預設服務命名空間憑證的公開金鑰是發佈在您 ACS 服務命名空間的 WS-同盟中繼資料中。您可以在 ACS 管理入口網站的 [應用程式整合] 頁面上,找到 WS-同盟中繼資料文件的 URL。

  • 使用專用憑證 - 如果您選取此選項,則會使用專用憑證來簽署針對信賴憑證者應用程式簽發與傳回的 SAML 1.1 及 SAML 2.0 權杖。選取此選項後,您可以瀏覽具有私密金鑰 (.pfx 檔案) 的 X.509 憑證以用來簽署權杖,並輸入 .pfx 檔案的密碼。

如需有關取得及使用憑證與金鑰的詳細資訊,請參閱憑證與金鑰

下列是 SWT 權杖格式可用的權杖簽署選項:

  • 權杖簽署金鑰 - 在 ACS 中,256 位元對稱金鑰是 SWT 權杖唯一可用的簽署選項。您可以為這個信賴憑證者應用程式輸入 256 位元對稱金鑰,或按一下 [產生] 按鈕,以自動產生 256 位元的對稱金鑰。

  • 生效日期 - 指定這個對稱金鑰有效日期範圍的開始日期。在 ACS 中,生效日期預設是目前日期。

  • 到期日 - 指定 ACS 停止使用此對稱金鑰簽署 SWT 權杖的日期。安全性最佳作法是建議每隔一段時間就重設對稱金鑰。

權杖加密

權杖加密憑證可讓您瀏覽以載入 X.509 憑證 (.cer 檔案),用來加密這個信賴憑證者應用程式的權杖。在 ACS 中,您只能加密 SAML 2.0 或 SAML 1.1 權杖。ACS 不支援加密 SWT 權杖。如需詳細資訊,請參閱 權杖加密原則。如需有關取得及新增加密憑證的詳細資訊,請參閱憑證與金鑰

另請參閱

顯示:
© 2014 Microsoft