Anwendungen der vertrauenden Seite
Aktualisiert: 19. Juni 2015
Gilt für: Azure
Eine Anwendung der vertrauenden Seite (auch bekannt als Ansprüche unterstützende Anwendung oder anspruchsbasierte Anwendung) ist eine Anwendung oder ein Dienst, die bzw. der von Authentifizierungsansprüchen abhängig ist. In Microsoft Azure Active Directory Access Control (auch als Access Control Dienst oder ACS bezeichnet) ist eine Anwendung einer vertrauenden Partei eine Website, eine Anwendung oder ein Dienst, der ACS zum Implementieren der Verbundauthentifizierung verwendet.
Sie können anwendungen von vertrauenden Parteien manuell mithilfe des ACS-Verwaltungsportals oder programmgesteuert mithilfe des ACS-Verwaltungsdiensts erstellen und konfigurieren.
Im ACS-Verwaltungsportal ist die von Ihnen hinzugefügte und konfigurierende Anwendung eine logische Darstellung Ihrer Website, Anwendung oder eines Diensts, die einem bestimmten Access Control Namespace vertraut. Sie können in jedem Access Control Namespace viele Anwendungen von vertrauenden Parteien hinzufügen und konfigurieren.
Konfiguration im ACS-Verwaltungsportal
Sie können das ACS-Verwaltungsportal verwenden, um die folgenden Eigenschaften einer vertrauenden Parteianwendung zu konfigurieren:
Mode
Bereich und Rückgabe-URL
Fehler-URL (optional)
Tokenformat
Tokenverschlüsselungsrichtlinie
Tokengültigkeitsdauer
Identitätsanbieter
Regelgruppen
Tokensignaturen
Tokenverschlüsselung
Mode
Die Modus-Eigenschaft bestimmt, ob Sie die Einstellungen Ihrer Anwendung der vertrauenden Seite manuell konfigurieren oder ein WS-Verbund-Metadatendokument angeben, das die Anwendungseinstellungen definiert.
Ein WS-Verbund-Metadatendokument enthält normalerweise den Bereich einer Anwendung sowie deren Rückgabe-URL. Es kann außerdem ein optionales Verschlüsselungszertifikat enthalten, mit der die Token verschlüsselt werden, die von ACS für die Anwendung ausgestellt werden. Wenn ein WS-Federation Dokument angegeben ist und die Metadaten ein Verschlüsselungszertifikat enthalten, wird standardmäßig die Einstellung der Tokenverschlüsselungsrichtlinie für die Verschlüsselung erforderlich. Wenn der Wert der Einstellung TokenverschlüsselungsrichtlinieVerschlüsselung erforderlich ist, das WS-Verbund-Metadatendokument aber kein Verschlüsselungszertifikat enthält, müssen Sie ein Verschlüsselungszertifikat manuell hochladen.
Wenn Ihre Anwendung der vertrauenden Seite mit Windows Identity Foundation (WIF) integriert ist, erstellt WIF automatisch ein WS-Verbund-Metadatendokument für Ihre Anwendung.
Bereich und Rückgabe-URL
Die Realm-Eigenschaft definiert den URI, in dem die von ACS ausgestellten Token gültig sind. Die Rückgabe-URL (auch als ReplyTo-Adresse bezeichnet) definiert die URL, an die die acS-ausgestellten Token gesendet werden. Wenn ein Token für den Zugriff auf die Anwendung der vertrauenden Seite angefordert wird, stellt ACS das Token nur aus, wenn der Bereich in der Tokenanforderung dem Bereich der Anwendung der vertrauenden Partei entspricht.
Wichtig
In ACS sind Bereichswerte groß- und kleinschreibungsempfindlich.
Im ACS-Verwaltungsportal können Sie nur einen Bereich und eine Rückgabe-URL in jedem Access Control Namespace konfigurieren. Im einfachsten Fall sind der Bereich und die Rückgabe-URL identisch. Wenn beispielsweise der Stamm-URI Ihrer Anwendung lautet, lautet https://contoso.comhttps://contoso.comder Bereich und die Rückgabe-URL der Anwendung der vertrauenden Partei.
Verwenden Sie zum Konfigurieren mehrerer Rückgabe-URL (ReplyTo-Adresse) für eine Anwendung einer vertrauenden Partei die Entität "RelyingPartyAddress " im ACS-Verwaltungsdienst.
Wenn ein Token von ACS angefordert wird oder ein Token von einem Identitätsanbieter an ACS gesendet wird, vergleicht ACS den Bereichswert in der Tokenanforderung mit den Bereichswerten für die Anwendungen der vertrauenden Partei. Wenn die Tokenanforderung WS-Federation Protokoll verwendet, verwendet ACS den Bereichswert im wtrealm-Parameter . Wenn das Token OAuth WRAP-Protokoll verwendet, verwendet ACS den Bereichswert im applies_to-Parameter . Wenn ACS einen übereinstimmenden Bereich in den Konfigurationseinstellungen für eine vertrauende Parteianwendung findet, erstellt es ein Token, das den Benutzer bei der Anwendung der vertrauenden Partei authentifiziert und das Token an die Rückgabe-URL sendet.
Der Prozess ist ähnlich, wenn die vertrauende Seite mehr als eine Rückgabe-URL besitzt. ACS ruft die Umleitungs-URL aus dem wreply-Parameter ab. Wenn die Umleitungs-URL eine der Rückgabe-URLs für die Anwendung der vertrauenden Seite ist, sendet ACS die Antwort an diese URL.
Bei Bereichswerten wird die Groß-/Kleinschreibung beachtet. Das Token wird nur ausgestellt, wenn die Bereichswerte identisch sind oder der Bereichswert der Anwendung der vertrauenden Seite ein Präfix des Bereichs in der Tokenanforderung ist. Der Wert des Anwendungsbereichs http://www.fabrikam.com der vertrauenden Partei entspricht beispielsweise einem Wert des Tokenanforderungsbereichs von http://www.fabrikam.com/billing, aber nicht mit einem Tokenanforderungsbereich v von .https://fabrikam.com
Fehler-URL (optional)
Die Fehler-URL gibt eine URL an, zu der ACS Benutzer umleitet, wenn während des Anmeldevorgangs ein Fehler auftritt. Es ist eine optionale Eigenschaft der Anwendung der vertrauenden Seite.
Der Fehler-URL-Wert kann eine benutzerdefinierte Seite sein, die von der Anwendung der vertrauenden Partei gehostet wird, z http://www.fabrikam.com/billing/error.aspx. B. . Im Rahmen der Umleitung liefert ACS Details zum Fehler für die Anwendung der vertrauenden Partei als JSON-codierten HTTP-URL-Parameter. Die benutzerdefinierte Fehlerseite kann so konzipiert werden, dass sie die JSON-codierten Fehlerinformationen interpretiert, die tatsächliche Fehlermeldung rendert und/oder den statischen Hilfetext anzeigt.
Weitere Informationen zur Fehler-URL-Verwendung finden Sie im Codebeispiel: ASP.NET Einfachen MVC 2.
Tokenformat
Die Tokenformateigenschaft bestimmt das Format der Token, die ACS-Probleme für die Anwendung der vertrauenden Partei ausgibt. ACS kann SAML 2.0, SAML 1.1, SWT oder JWT-Token ausgeben. Weitere Informationen zu Tokenformaten finden Sie unter Tokenformate, die in ACS unterstützt werden.
ACS verwendet Standardprotokolle, um die Token an eine Webanwendung oder einen Dienst zurückzugeben. Wenn mehrere Protokolle für ein Tokenformat unterstützt werden, verwendet ACS dasselbe Protokoll, das für die Tokenanforderung verwendet wurde. ACS unterstützt die folgenden Tokenformat-/Protokollkombinationen:
ACS kann SAML 2.0-Token mithilfe von WS-Trust und WS-Federation Protokollen zurückgeben.
ACS kann SAML 1.1-Token mithilfe von WS-Federation und verwandten WS-Trust Protokollen zurückgeben.
ACS kann SWT-Token mithilfe von WS-Federation-, WS-Trust-, OAuth-WRAP- und OAuth 2.0-Protokollen zurückgeben.
ACS kann JWT-Token mit WS-Verbund-, WS-Trust- und OAuth 2.0-Protokollen ausgeben und zurückgeben.
Weitere Informationen zu standardprotokollen, die die ACS verwendet, finden Sie unter "In ACS unterstützte Protokolle".
Berücksichtigen Sie beim Auswählen eines Tokenformats, wie Ihr Access Control Namespace die von ihnen auftretenden Token signiert. Alle ACS-ausgestellten Token müssen signiert werden. Weitere Informationen finden Sie unter Tokensignatur.
Überlegen Sie auch, ob die Token verschlüsselt werden sollen.. Weitere Informationen finden Sie unter Tokenverschlüsselungsrichtlinie.
Tokenverschlüsselungsrichtlinie
Die Tokenverschlüsselungsrichtlinie bestimmt, ob die Token, die ACS-Probleme für die Anwendung der vertrauenden Partei haben, verschlüsselt sind. Um Verschlüsselung anzufordern, wählen Sie den Wert Verschlüsselung erforderlich aus.
In ACS können Sie nur eine Verschlüsselungsrichtlinie für SAML 2.0- oder SAML 1.1-Token konfigurieren. ACS unterstützt keine Verschlüsselung der SWT- oder JWT-Token.
ACS verschlüsselt SAML 2.0- und SAML 1.1-Token mithilfe eines X.509-Zertifikats, das einen öffentlichen Schlüssel (CER-Datei) enthält. Diese verschlüsselten Token werden dann mithilfe eines privaten Schlüssels entschlüsselt, der der Anwendung der vertrauenden Seite gehört. Weitere Informationen zum Abrufen und Verwenden von Verschlüsselungszertifikaten finden Sie unter Zertifikate und Schlüssel.
Das Konfigurieren einer Verschlüsselungsrichtlinie für ihre ausgestellten ACS-Token ist optional. Eine Verschlüsselungsrichtlinie muss jedoch konfiguriert werden, wenn es sich bei der Anwendung der vertrauenden Partei um einen Webdienst handelt, der über das WS-Trust-Protokoll Nachweis-von-Besitz-Token verwendet. Dieses spezielle Szenario funktioniert nicht ordnungsgemäß ohne verschlüsselte Token.
Tokengültigkeitsdauer
Die Token-Lebensdauereigenschaft gibt das Zeitintervall (in Sekunden) an, in dem das Sicherheitstoken, das ACS für die Anwendung der vertrauenden Partei ausgibt, gültig ist. Der Standardwert ist 600 (10 Minuten). In ACS muss der Tokenlebensdauerwert zwischen Null (0) und 86400 (24 Stunden) einschließlich liegen.
Identitätsanbieter
Die Eigenschaft Identitätsanbieter gibt die Identitätsanbieter an, die Ansprüche an die Anwendung der vertrauenden Seite senden können. Diese Identitätsanbieter werden auf der ACS-Anmeldeseite für Ihre Webanwendung oder Ihren Dienst angezeigt. Alle Identitätsanbieter, die im Abschnitt " Identitätsanbieter " des ACS-Portals konfiguriert sind, werden in der Identitätsanbieterliste angezeigt. Um der Liste einen Identitätsanbieter hinzuzufügen, klicken Sie auf Identitätsanbieter.
Jede Anwendung der vertrauenden Seite kann null oder mehr Identitätsanbietern zugeordnet werden. Die Anwendungen der vertrauenden Partei in einem Access Control Namespace können demselben Identitätsanbieter oder verschiedenen Identitätsanbietern zugeordnet werden. Wenn Sie keine Identitätsanbieter für eine Anwendung einer vertrauenden Partei auswählen, müssen Sie eine direkte Authentifizierung mit ACS für die Anwendung der vertrauenden Partei konfigurieren. Sie können beispielsweise Dienstidentitäten verwenden, um eine direkte Authentifizierung zu konfigurieren. Weitere Informationen finden Sie unter Dienstidentitäten.
Regelgruppen
Die Eigenschaft Regelgruppen bestimmt, welche Regeln die Anwendung der vertrauenden Seite bei der Verarbeitung von Ansprüchen verwendet.
Jede ACS-Anwendung der vertrauenden Seite muss mindestens einer Regelgruppe zugeordnet sein. Wenn eine Tokenanforderung einer vertrauenden Parteianwendung entspricht, die keine Regelgruppen enthält, stellt ACS kein Token für die Webanwendung oder den Dienst aus.
Alle Regelgruppen, die im Abschnitt "Regelgruppen " des ACS-Portals konfiguriert sind, werden in der Regelgruppenliste angezeigt. Um der Liste eine Regelgruppe hinzuzufügen, klicken Sie auf Regelgruppen.
Wenn Sie eine neue Anwendung für vertrauende Parteien im ACS-Verwaltungsportal hinzufügen, wird standardmäßig die Option "Neue Regelgruppe erstellen" ausgewählt. Es wird dringend empfohlen, eine neue Regelgruppe für Ihre neue Anwendung der vertrauenden Seite zu erstellen. Sie können Ihre Anwendung der vertrauenden Seite jedoch auch einer vorhandenen Regelgruppe zuordnen. Deaktivieren Sie hierzu die Option Neue Regelgruppe erstellen, und wählen Sie die gewünschte Regelgruppe aus.
Sie können eine Anwendung der vertrauenden Seite mehreren Regelgruppen zuordnen (sowie eine Regelgruppe mehr als einer Anwendung der vertrauenden Seite zuordnen). Wenn eine Anwendung einer vertrauenden Partei mehreren Regelgruppen zugeordnet ist, wertet ACS die Regeln in allen Regelgruppen rekursiv aus, als wären sie Regeln in einer einzigen Regelgruppe.
Weitere Informationen zu Regeln und Regelgruppen finden Sie unter Regelgruppen und Regeln.
Tokensignaturen
Die Eigenschaft " Tokensignatureinstellungen" gibt an, wie die Sicherheitstoken, die ACS-Probleme haben, signiert werden. Alle ACS-ausgestellten Token müssen signiert werden.
Die verfügbaren Tokensignaturoptionen hängen vom Tokenformat der Anwendung der vertrauenden Seite ab. (Weitere Informationen zu Tokenformaten finden Sie unter Tokenformat.)
SAML-Token: Verwenden Sie ein X.509-Zertifikat, um Token zu signieren.
SWT-Token: Verwenden Sie einen symmetrischen Schlüssel, um Token zu signieren.
JWT-Token: Verwenden Sie entweder ein X.509-Zertifikat oder einen symmetrischen Schlüssel zum Signieren von Token.
X.509-Zertifikatoptionen. Folgende Optionen stehen für Token zur Verfügung, die mit einem X-509-Zertifikat signiert sind.
Verwenden Sie das Dienstnamespacezertifikat (Standard) – Wenn Sie diese Option auswählen, verwendet ACS das Zertifikat für den Access Control Namespace, um SAML 1.1- und SAML 2.0-Token für die Anwendung der vertrauenden Partei zu signieren. Verwenden Sie diese Option, wenn Sie die Konfiguration Ihrer Webanwendung oder Ihres Diensts mithilfe von WS-Federation Metadaten automatisieren möchten, da der öffentliche Namespaceschlüssel in den WS-Federation Metadaten für Ihren Access Control Namespace veröffentlicht wird. Die URL des WS-Federation Metadatendokuments wird auf der Seite "Anwendungsintegration " des ACS-Verwaltungsportals angezeigt.
Verwenden Sie dediziertes Zertifikat– Wenn Sie diese Option auswählen, verwendet ACS ein anwendungsspezifisches Zertifikat, um SAML 1.1- und SAML 2.0-Token für die Anwendung der vertrauenden Partei zu signieren. Das Zertifikat wird nicht für andere Anwendungen der vertrauenden Seite verwendet. Nachdem Sie diese Option ausgewählt haben, suchen Sie nach einem X.509-Zertifikat mit einem privaten Schlüssel (PFX-Datei), und geben Sie dann das Kennwort für die PFX-Datei ein.
Hinweis
JWT-Token. Wenn Sie eine Anwendung für vertrauende Parteien so konfigurieren, dass das X.509-Zertifikat für den Access Control Namespace zum Signieren von JWT-Token für eine Anwendung einer vertrauenden Partei verwendet wird, werden Links zum Access Control Namespacezertifikat und der Access Control Namespaceschlüssel auf der Seite für die Anwendung der vertrauenden Partei im ACS-Verwaltungsportal angezeigt. ACS verwendet jedoch nur das Namespacezertifikat, um Token für die Anwendung der vertrauenden Partei zu signieren.
Verwaltete Namespaces. Wenn Sie einer verwalteten Namespaceanwendung, z. B. einem Service Bus Namespace, eine Anwendung hinzufügen, geben Sie keine anwendungsspezifischen (dedizierten) Zertifikate oder Schlüssel ein. Wählen Sie stattdessen die Optionen aus, die ACS anweisen, die Zertifikate und Schlüssel zu verwenden, die für alle Anwendungen im verwalteten Namespace konfiguriert sind. Weitere Informationen finden Sie unter Verwaltete NamespacesWeitere Informationen zu freigegebenen und dedizierten Zertifikaten und Schlüsseln finden Sie unter Zertifikate und Schlüssel.
Optionen für symmetrische Schlüssel
Erstellen Sie bei der Verwendung symmetrischer Schlüssel einen dedizierten Schlüssel für jede Anwendung der vertrauenden Partei, anstatt den freigegebenen symmetrischen Schlüssel für den Access Control Namespace zu verwenden. Wenn Sie einen dedizierten Schlüssel eingeben oder generieren, verwendet ACS dedizierte Schlüssel zum Signieren von Token für die Anwendung der vertrauenden Partei, solange der dedizierte Schlüssel gültig ist. Wenn der dedizierte Schlüssel jedoch abläuft und nicht ersetzt wird, verwendet ACS den freigegebenen Namespaceschlüssel, um Token für die Anwendung der vertrauenden Partei zu signieren.
Wenn Sie sich entscheiden, den freigegebenen symmetrischen Schlüssel zu verwenden, kopieren Sie die Werte für den Service Namespace-Schlüssel von der Seite Zertifikate und Schlüssel, und fügen Sie sie in die Felder im Abschnitt Tokensignatur auf der Seite Anwendungen der vertrauenden Seite ein.
Folgende Optionen stehen für Token zur Verfügung, die mit symmetrischen Schlüsseln signiert sind.
Tokensignaturschlüssel – Geben Sie einen symmetrischen 256-Bit-Schlüssel ein, oder klicken Sie auf Generieren, um einen symmetrischen 256-Bit-Schlüssel zu generieren.
Gültigkeitsdatum – Gibt das Startdatum für den Datumsbereich an, in dem dieser symmetrische Schlüssel gültig ist. Ab diesem Datum verwendet ACS den symmetrischen Schlüssel, um Token für die Anwendung der vertrauenden Partei zu signieren. Der ACS-Standardwert ist das aktuelle Datum.
Ablaufdatum– Gibt das Enddatum des Datumsbereichs an, in dem der symmetrische Schlüssel gültig ist. Ab diesem Datum verwendet ACS nicht den symmetrischen Schlüssel, um Token für die Anwendung der vertrauenden Partei zu signieren. Es ist kein Standardwert vorhanden. Als bewährte Sicherheitsmethode sollten symmetrische Schlüssel jedes Jahr oder alle zwei Jahre ersetzt werden, je nach den Anforderungen der Anwendung.
Tokenverschlüsselung
Die Tokenverschlüsselungszertifikatoption gibt das X.509-Zertifikat (CER-Datei) an, das zum Verschlüsseln von Token für die Anwendung der vertrauenden Partei verwendet wird. In ACS können Sie nur SAML 2.0- oder SAML 1.1-Token verschlüsseln. ACS unterstützt keine Verschlüsselung von SWT- oder JWT-Token.
Sie geben Zertifikate für die Tokenverschlüsselung im Abschnitt " Zertifikate und Schlüssel " des ACS-Portals an. Wenn Sie auf der Seite Anwendung der vertrauenden Seite im Abschnitt Tokenverschlüsselungsrichtlinie auf den Link Hier klicken klicken, wird die Seite Tokenverschlüsselungszertifikat hinzufügen von "Zertifikate und Schlüssel" geöffnet. Verwenden Sie diese Seite, um eine Zertifikatdatei anzugeben.
Weitere Informationen finden Sie unter Tokenverschlüsselungsrichtlinie. Weitere Informationen zum Abrufen und Hinzufügen von Verschlüsselungszertifikaten finden Sie unter "Zertifikate und Schlüssel".