War diese Seite hilfreich?
Ihr Feedback ist uns wichtig. Teilen Sie uns Ihre Meinung mit.
Weiteres Feedback?
1500 verbleibende Zeichen
Exportieren (0) Drucken
Alle erweitern

Anwendungen der vertrauenden Seite

Veröffentlicht: April 2011

Letzte Aktualisierung: März 2015

Betrifft: Azure

Eine Anwendung der vertrauenden Seite (auch bekannt als Ansprüche unterstützende Anwendung oder anspruchsbasierte Anwendung) ist eine Anwendung oder ein Dienst, die bzw. der von Authentifizierungsansprüchen abhängig ist. In Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS) ist eine Anwendung der vertrauenden Seite eine Website, eine Anwendung oder ein Dienst, die bzw. der ACS verwendet, um Verbundauthentifizierung zu implementieren.

Sie können Anwendungen der vertrauenden Seite manuell mithilfe des ACS-Verwaltungsportals oder programmgesteuert mithilfe des ACS-Verwaltungsdiensts erstellen und konfigurieren.

Im ACS-Verwaltungsportal ist die Anwendung der vertrauenden Seite, die Sie hinzufügen und konfigurieren, eine logische Darstellung Ihrer Website, Anwendung oder Diensts, die bzw. der einem bestimmten Namespace für die Zugriffssteuerung vertraut. Sie können viele Anwendungen der vertrauenden Seite in jedem Namespace für die Zugriffssteuerung hinzufügen und konfigurieren.

Sie können das ACS-Verwaltungsportal zum Konfigurieren der folgenden Eigenschaften einer Anwendung der vertrauenden Seite verwenden:

Die Modus-Eigenschaft bestimmt, ob Sie die Einstellungen Ihrer Anwendung der vertrauenden Seite manuell konfigurieren oder ein WS-Verbund-Metadatendokument angeben, das die Anwendungseinstellungen definiert.

Ein WS-Verbund-Metadatendokument enthält normalerweise den Bereich einer Anwendung sowie deren Rückgabe-URL. Es kann außerdem ein optionales Verschlüsselungszertifikat enthalten, mit der die Token verschlüsselt werden, die von ACS für die Anwendung ausgestellt werden. Wenn ein WS-Verbunddokument angegeben ist und die Metadaten ein Verschlüsselungszertifikat enthalten, erhält die Einstellung Tokenverschlüsselungsrichtlinie den Standardwert Verschlüsselung erforderlich. Wenn der Wert der Einstellung TokenverschlüsselungsrichtlinieVerschlüsselung erforderlich ist, das WS-Verbund-Metadatendokument aber kein Verschlüsselungszertifikat enthält, müssen Sie ein Verschlüsselungszertifikat manuell hochladen.

Wenn Ihre Anwendung der vertrauenden Seite mit Windows Identity Foundation (WIF) integriert ist, erstellt WIF automatisch ein WS-Verbund-Metadatendokument für Ihre Anwendung.

Die Eigenschaft Bereich definiert den URI, in dem die von ACS ausgestellten Token gültig sind. Die Rückgabe-URL(auch bekannt als "ReplyTo"-Adresse) definiert die URL, an die die von ACS ausgestellten Token gesendet werden. Wenn ein Token für den Zugriff auf die Anwendung der vertrauenden Seite angefordert wird, stellt ACS das Token nur aus, wenn der Bereich in der Tokenanforderung mit dem Bereich der Anwendung der vertrauenden Seite übereinstimmt.

ImportantWichtig
In ACS wird bei Werten für den Bereich Groß-/Kleinschreibung unterschieden.

Im ACS-Verwaltungsportal können Sie nur einen Bereich und eine Rückgabe-URL pro Namespace für die Zugriffssteuerung konfigurieren. Im einfachsten Fall sind der Bereich und die Rückgabe-URL identisch. Wenn beispielsweise der Stamm-URI Ihrer Anwendung "https://contoso.com" lautet, sind der Bereich und die Rückgabe-URL für die Anwendung der vertrauenden Seite "https://contoso.com".

Um mehr als eine Rückgabe-URL ("ReplyTo"-Adresse) für eine Anwendung einer vertrauenden Seite zu konfigurieren, verwenden Sie die RelyingPartyAddress-Entität im ACS-Verwaltungsdienst.

Wenn ein Token von ACS angefordert oder ein Token von einem Identitätsanbieter an ACS gesendet wird, vergleicht ACS den Bereichswert in der Tokenanforderung mit den Bereichswerten für die Anwendung der vertrauenden Seite. Wenn die Tokenanforderung das WS-Verbundprotokoll verwendet, verwendet ACS den Bereichswert aus dem Parameter wtrealm. Wenn die Tokenanforderung das OAuth WRAP-Protokoll verwendet, verwendet ACS den Bereichswert aus dem Parameter applies_to. Wenn ACS in den Konfigurationseinstellungen für eine Anwendung einer vertrauenden Seite einen übereinstimmenden Bereich findet, erstellt er ein Token, das den Benutzer gegenüber der Anwendung der vertrauenden Seite authentifiziert, und sendet das Token an die Rückgabe-URL.

Der Prozess ist ähnlich, wenn die vertrauende Seite mehr als eine Rückgabe-URL besitzt. ACS ruft die Umleitungs-URL aus dem Parameter wreply ab. Wenn die Umleitungs-URL eine der Rückgabe-URLs für die Anwendung der vertrauenden Seite ist, sendet ACS die Antwort an diese URL.

Bei Bereichswerten wird die Groß-/Kleinschreibung beachtet. Das Token wird nur ausgestellt, wenn die Bereichswerte identisch sind oder der Bereichswert der Anwendung der vertrauenden Seite ein Präfix des Bereichs in der Tokenanforderung ist. Beispielsweise stimmt der Bereichswert der Anwendung der vertrauenden Seite von http://www.fabrikam.com mit einem Tokenanforderungs-Bereichswert von http://www.fabrikam.com/billing überein, jedoch nicht mit einem Tokenanforderungs-Bereichswert von http://fabrikam.com.

Die Fehler-URL gibt eine URL an, an die ACS Benutzer weiterleitet, wenn während des Anmeldevorgangs ein Fehler auftritt. Es ist eine optionale Eigenschaft der Anwendung der vertrauenden Seite.

Der Wert von Fehler-URL kann eine benutzerdefinierte Seite sein, die von der Anwendung der vertrauenden Seite gehostet wird, z. B. "http://www.fabrikam.com/billing/error.aspx". Als Teil der Weiterleitung stellt ACS Details zum Fehler für die Anwendung der vertrauenden Seite als JSON-codierten HTTP-URL-Parameter zur Verfügung. Die benutzerdefinierte Fehlerseite kann so konzipiert werden, dass sie die JSON-codierten Fehlerinformationen interpretiert, die tatsächliche Fehlermeldung rendert und/oder den statischen Hilfetext anzeigt.

Weitere Informationen zur Verwendung der Fehler-URL finden Sie unter Codebeispiel: Einfache ASP.NET MVC 2-Anwendung.

Die Eigenschaft Tokenformat bestimmt das Format der Token, die ACS für die Anwendung der vertrauenden Seite ausstellt. ACS kann SAML 2.0-, SAML 1.1- und SWT- oder JWT-Token ausstellen. Weitere Informationen zu Tokenformaten finden Sie unter In ACS unterstützte Tokenformate.

ACS verwendet Standardprotokolle, um die Token an eine Webanwendung oder einen Dienst zurückzugeben. Wenn mehr als ein Protokoll für ein Tokenformat unterstützt wird, verwendet ACS das gleiche Protokoll, das für die Tokenanforderung verwendet wurde. ACS unterstützt die folgenden Kombinationen aus Tokenformat/Protokoll:

  • ACS kann SAML 2.0-Token zurückgeben, unter Verwendung der WS-Trust- und WS-Verbundprotokolle

  • ACS kann SAML 1.1-Token zurückgeben, unter Verwendung der WS-Verbund- und verwandter WS-Trust-Protokolle

  • ACS kann SWT-Token zurückgeben, unter Verwendung der WS-Verbund-, WS-Trust-, OAuth-WRAP- und OAuth 2.0-Protokolle.

  • ACS kann JWT-Token ausstellen und zurückgeben, unter Verwendung der WS-Verbund-, WS-Trust- und OAuth 2.0-Protokolle.

Weitere Informationen zu den von ACS verwendeten Standardprotokollen finden Sie unter In ACS unterstützte Protokolle.

Weitere Informationen finden Sie unter Tokensignaturen.

Weitere Informationen finden Sie unter Tokenverschlüsselungsrichtlinie.

Die Tokenverschlüsselungsrichtlinie bestimmt, ob die von ACS für die Anwendung der vertrauenden Seite ausgestellten Token verschlüsselt werden. Um Verschlüsselung anzufordern, wählen Sie den Wert Verschlüsselung erforderlich aus.

In ACS können Sie nur für SAML 2.0- oder SAML 1.1-Token eine Verschlüsselungsrichtlinie konfigurieren. ACS unterstützt keine Verschlüsselung der SWT- oder JWT-Token.

ACS verschlüsselt SAML 2.0- und SAML 1.1-Token mithilfe eines X.509-Zertifikats, das einen öffentlichen Schlüssel (CER-Datei) enthält. Diese verschlüsselten Token werden dann mithilfe eines privaten Schlüssels entschlüsselt, der der Anwendung der vertrauenden Seite gehört. Weitere Informationen zum Abrufen und Verwenden von Verschlüsselungszertifikaten finden Sie unter Zertifikate und Schlüssel.

Dieses spezielle Szenario funktioniert nicht ordnungsgemäß ohne verschlüsselte Token.

Die Eigenschaft Tokengültigkeitsdauer gibt den Zeitraum (in Sekunden) an, für den das Sicherheitstoken, das ACS für die Anwendung der vertrauenden Seite ausstellt, gültig ist. Der Standardwert ist "600" (10 Minuten). In ACS muss der Wert der Tokengültigkeitsdauer zwischen null (0) und einschließlich 86400 (24 Stunden) liegen.

Die Eigenschaft Identitätsanbieter gibt die Identitätsanbieter an, die Ansprüche an die Anwendung der vertrauenden Seite senden können. Diese Identitätsanbieter werden auf der ACS-Anmeldeseite für Ihre Webanwendung oder den Webdienst angezeigt. Alle im Abschnitt Identitätsanbieter des ACS-Portals konfigurierten Identitätsanbieter werden in der Liste der Identitätsanbieter angezeigt. Um der Liste einen Identitätsanbieter hinzuzufügen, klicken Sie auf Identitätsanbieter.

Weitere Informationen finden Sie unter Dienstidentitäten.

Die Eigenschaft Regelgruppen bestimmt, welche Regeln die Anwendung der vertrauenden Seite bei der Verarbeitung von Ansprüchen verwendet.

Jeder Anwendung der vertrauenden Seite von ACS muss mindestens eine Regelgruppe zugeordnet sein. Wenn eine Tokenanforderung mit einer Anwendung der vertrauenden Seite übereinstimmt, die keine Regelgruppen besitzt, stellt ACS kein Token für die Webanwendung oder den Webdienst aus.

Alle im Abschnitt Regelgruppen des ACS-Portals konfigurierten Regelgruppen werden in der Liste der Regelgruppen angezeigt. Um der Liste eine Regelgruppe hinzuzufügen, klicken Sie auf Regelgruppen.

Wenn Sie im ACS-Verwaltungsportal eine neue Anwendung der vertrauenden Seite hinzufügen, ist die Option Neue Regelgruppe erstellen standardmäßig aktiviert. Es wird dringend empfohlen, eine neue Regelgruppe für Ihre neue Anwendung der vertrauenden Seite zu erstellen. Sie können Ihre Anwendung der vertrauenden Seite jedoch auch einer vorhandenen Regelgruppe zuordnen. Deaktivieren Sie hierzu die Option Neue Regelgruppe erstellen, und wählen Sie die gewünschte Regelgruppe aus.

Sie können eine Anwendung der vertrauenden Seite mehreren Regelgruppen zuordnen (sowie eine Regelgruppe mehr als einer Anwendung der vertrauenden Seite zuordnen). Wenn eine Anwendung der vertrauenden Seite mehreren Regelgruppen zugeordnet ist, wertet ACS die Regeln in allen Regelgruppen rekursiv so aus, als ob es Regeln in einer einzelnen Regelgruppe wären.

Weitere Informationen zu Regeln und Regelgruppen finden Sie unter Regelgruppen und Regeln.

Die Eigenschaft Tokensignatureinstellungen gibt an, wie die von ACS ausgestellten Sicherheitstoken signiert werden. Alle von ACS ausgestellten Token müssen signiert werden.

Die verfügbaren Tokensignaturoptionen hängen vom Tokenformat der Anwendung der vertrauenden Seite ab. (Weitere Informationen zu Tokenformaten finden Sie unter Tokenformat).

  • SAML-Token: verwenden ein X.509-Zertifikat zum Signieren von Token.

  • SWT-Token: verwenden einen symmetrischen Schlüssel zum Signieren von Token.

  • JWT-Token: verwenden entweder ein X.509-Zertifikat oder einen symmetrischen Schlüssel zum Signieren von Token.

X.509-Zertifikatoptionen. Folgende Optionen stehen für Token zur Verfügung, die mit einem X-509-Zertifikat signiert sind.

  • Dienstnamespacezertifikat verwenden (Standard) – Wenn Sie diese Option auswählen, verwendet ACS das Zertifikat für den Namespace für die Zugriffssteuerung zum Signieren von SAML 1.1- und SAML 2.0-Token für die Anwendung der vertrauenden Seite. Verwenden Sie diese Option, wenn Sie die Konfiguration Ihrer Webanwendung oder Ihres Webdiensts mithilfe von WS-Verbundmetadaten automatisieren möchten, denn der öffentliche Schlüssel des Namespace wird in den WS-Verbundmetadaten für Ihren Namespace für die Zugriffssteuerung veröffentlicht. Die URL für das Metadatendokument des WS-Verbunds wird auf der Seite Anwendungsintegration des ACS-Verwaltungsportals angezeigt.

  • Dediziertes Zertifikat verwenden – Wenn Sie diese Option auswählen, verwendet ACS ein anwendungsspezifisches Zertifikat zum Signieren von SAML 1.1- und SAML 2.0-Token für die Anwendung der vertrauenden Seite. Das Zertifikat wird nicht für andere Anwendungen der vertrauenden Seite verwendet. Nachdem Sie diese Option ausgewählt haben, suchen Sie nach einem X.509-Zertifikat mit einem privaten Schlüssel (PFX-Datei), und geben Sie dann das Kennwort für die PFX-Datei ein.

noteHinweis
ACS verwendet jedoch nur das Namespacezertifikat zum Signieren von Token für die Anwendung der vertrauenden Seite.

Weitere Informationen finden Sie unter Verwaltete Namespaces.

Weitere Informationen zu freigegebenen und dedizierten Zertifikaten und Schlüsseln finden Sie unter Zertifikate und Schlüssel.

Optionen für symmetrische Schlüssel

Als bewährte Sicherheitsmethode erstellen Sie bei der Verwendung symmetrischer Schlüssel für jede Anwendung der vertrauenden Seite einen dedizierten Schlüssel, statt den freigegebenen symmetrischen Schlüssel für den Namespace für die Zugriffssteuerung zu verwenden. Wenn Sie einen dedizierten Schlüssel eingeben oder generieren, verwendet ACS den dedizierten Schlüssel zum Signieren von Token für die Anwendung der vertrauenden Seite, solange der dedizierte Schlüssel gültig ist. Wenn der dedizierte Schlüssel jedoch abläuft und nicht ersetzt wird, verwendet ACS den freigegebenen Namespaceschlüssel, um Token für die Anwendung der vertrauenden Seite zu signieren.

Wenn Sie sich entscheiden, den freigegebenen symmetrischen Schlüssel zu verwenden, kopieren Sie die Werte für den Service Namespace-Schlüssel von der Seite Zertifikate und Schlüssel, und fügen Sie sie in die Felder im Abschnitt Tokensignatur auf der Seite Anwendungen der vertrauenden Seite ein.

Folgende Optionen stehen für Token zur Verfügung, die mit symmetrischen Schlüsseln signiert sind.

  • Tokensignaturschlüssel – Geben Sie einen symmetrischen 256-Bit-Schlüssel ein, oder klicken Sie auf Generieren, um einen symmetrischen 256-Bit-Schlüssel zu generieren.

  • Gültigkeitsdatum – Gibt das Startdatum für den Datumsbereich an, in dem dieser symmetrische Schlüssel gültig ist. Beginnend mit diesem Datum verwendet ACS den symmetrischen Schlüssel, um Token für die Anwendung der vertrauenden Seite zu signieren. Der Standardwert von ACS ist das aktuelle Datum.

  • Es ist kein Standardwert vorhanden.

Die Verschlüsselung von SWT- oder JWT-Token wird von ACS nicht unterstützt.

Zertifikate für die Tokenverschlüsselung geben Sie im Bereich Zertifikate und Schlüssel des ACS-Portals an. Wenn Sie auf der Seite Anwendung der vertrauenden Seite im Abschnitt Tokenverschlüsselungsrichtlinie auf den Link Hier klicken klicken, wird die Seite Tokenverschlüsselungszertifikat hinzufügen von "Zertifikate und Schlüssel" geöffnet. Verwenden Sie diese Seite, um eine Zertifikatdatei anzugeben.

Weitere Informationen finden Sie unter Tokenverschlüsselungsrichtlinie.

Siehe auch

Community-Beiträge

Anzeigen:
© 2015 Microsoft