Exportieren (0) Drucken
Alle erweitern

WS-Verbundidentitätsanbieter

Veröffentlicht: April 2011

Letzte Aktualisierung: März 2015

Betrifft: Azure

Identitätsanbieter für den WS-Verbund sind benutzerdefinierte Identitätsanbieter, die das WS-Verbundprotokoll beherrschen und in der Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS) mithilfe von Metadaten des WS-Verbunds konfiguriert werden. Ein WS-Verbundidentitätsanbieter unterstützt ggf. auch andere Verbundprotokolle, z. B. WS-Trust. WS-Verbundidentitätsanbieter werden am häufigsten in Website- und Webanwendungsszenarien verwendet, in denen das passive Antragstellerprofil des WS-Verbunds zum Ermöglichen der erforderlichen Tokenweiterleitungen an und von ACS mithilfe eines Webbrowsers verwendet wird.

Ein gängiges Beispiel für einen WS-Verbundidentitätsanbieter ist . Sie können diesen Anbieter zum Integrieren Ihrer Active Directory-Konten in ACS verwenden. Bevor Sie als Identitätsanbieter in ACS hinzufügen und konfigurieren können, müssen Sie installieren und mit mindestens einer Anspruchsanbieter-Vertrauensstellung (z. B. den Active Directory-Domänendiensten, AD DS) zusammenarbeiten lassen. Weitere Informationen finden Sie unter Vorgehensweise: Konfigurieren von AD FS 2.0 als Identitätsanbieter.

Beim Verwenden des ACS-Verwaltungsportals zum Konfigurieren eines WS-Verbundidentitätsanbieters müssen Sie die folgenden Daten eingeben.

  • Anzeigename – Gibt den Anzeigenamen Ihres Identitätsanbieters an. Dieser Name wird nur im ACS-Verwaltungsportal verwendet.

  • WS-Verbund-Metadaten – enthält Konfigurationsinformationen (Verbundmetadaten) zu den eingerichteten Verbunddiensten, wie etwa Token und Autorisierung, und die Richtlinien für den Zugriff darauf. Beim Hinzufügen eines WS-Verbundidentitätsanbieters in ACS müssen Sie die URL des Verbund-Metadatendokuments oder eine lokale Kopie des Metadatendokuments für den WS-Federation-Identitätsanbieter hochladen.

    CautionVorsicht
    Importieren Sie WS-Verbundmetadaten von einem WS-Verbundidentitätsanbieter, dem Sie vertrauen.

    Aus Sicherheitsgründen wird empfohlen, dass der WS-Verbundidentitätsanbieter sein Verbund-Metadatendokument unter einer HTTPS-URL veröffentlicht. Es empfiehlt sich ferner, dass der WS-Verbundidentitätsanbieter nur HTTPS-Endpunkte zur Tokenausstellung verwendet.

  • Anmeldelinktext – Gibt den Text an, der für diesen Identitätsanbieter auf der Anmeldeseite Ihrer Webanwendung angezeigt wird. Weitere Informationen finden Sie unter Anmeldeseiten und Homebereicherkennung.

  • Bild-URL (optional) - Ordnet eine URL einer Bilddatei (z. B. einem Logo Ihrer Wahl) zu, die Sie als Anmeldelink für diesen Identitätsanbieter anzeigen können. Dieses Logo wird automatisch auf der Standardanmeldeseite für Ihre ACS unterstützende Webanwendung sowie im JSON-Feed der Webanwendung angezeigt, den Sie zum Rendern einer benutzerdefinierten Anmeldeseite verwenden können. Wenn Sie keine Bild-URL angeben, wird ein Textanmeldelink für diesen Identitätsanbieter auf der Anmeldeseite Ihrer Webanwendung angezeigt. Wenn Sie eine Bild-URL angeben, wird dringend empfohlen, dass diese auf eine vertrauenswürdige Quelle verweist, z. B. auf Ihre eigene Website oder -anwendung, und dass HTTPS verwendet wird, um Sicherheitswarnungen des Browsers zu verhindern. Die Größe jedes Bilds, das breiter als 240 Pixel und höher als 40 Pixel ist, wird außerdem automatisch auf der Standardseite für die ACS-Startbereicherkennung angepasst. Es wird empfohlen, die Erlaubnis Ihres -Partners für die Anzeige dieses Bilds einzuholen.

  • E-Mail-Domänennamen (optional) – Wenn Benutzer aufgefordert werden sollen, die Anmeldung mithilfe ihrer E-Mail-Adresse auszuführen, können Sie die E-Mail-Domänensuffixe angeben, die von diesem Identitätsanbieter gehostet werden. Lassen Sie dieses Feld andernfalls leer, um einen direkten Anmeldelink anzuzeigen. Trennen Sie die Einträge in der Liste der Suffixe durch Semikolons voneinander. Weitere Informationen finden Sie unter Anmeldeseiten und Homebereicherkennung.

  • Anwendungen der vertrauenden Seite – Gibt alle vorhandenen Anwendungen der vertrauenden Seite an, die diesem Identitätsanbieter zugeordnet werden sollen. Weitere Informationen finden Sie unter Anwendungen der vertrauenden Seite.

Nachdem ein Identitätsanbieter einer Anwendung der vertrauenden Seite zugeordnet wurde, müssen Regeln für diesen Identitätsanbieter generiert oder manuell der Regelgruppe der Anwendung der vertrauenden Seite hinzugefügt werden, um die Konfiguration abzuschließen. Weitere Informationen zum Erstellen von Regeln finden Sie unter Regelgruppen und Regeln.

Nachdem ein Benutzer die Authentifizierung mit einem Identitätsanbieter ausgeführt hat, empfängt er ein Token, das Identitätsansprüche enthält. Ansprüche sind Informationen zum Benutzer, z. B. eine E-Mail-Adresse oder eine eindeutige ID. ACS kann diese Ansprüche direkt durch die Anwendung der vertrauenden Seite leiten oder Autorisierungsentscheidungen basierend auf den darin enthaltenen Werten treffen.

Anspruchstypen in ACS werden standardmäßig mithilfe eines URIs aus Gründen der Konformität mit der SAML-Tokenspezifikation eindeutig identifiziert. Diese URIs werden auch verwendet, um Ansprüche in anderen Tokenformaten zu identifizieren.

Für WS-Verbundidentitätsanbieter werden die verfügbaren Anspruchstypen durch die WS-Verbundmetadaten für den Identitätsanbieter festgelegt, der in ACS importiert wird. Nachdem der Importvorgang abgeschlossen ist, werden die für den Identitätsanbieter verfügbaren Anspruchstypen auf der Seite Anspruchsregel bearbeiten des ACS-Verwaltungsportals angezeigt. Diese Anspruchstypen können auch über die Entität ClaimType im ACS-Verwaltungsdienst angezeigt werden.

Zusätzlich zu den über die WS-Verbundmetadaten verfügbaren Anspruchstypen stellt ACS immer die folgenden Ansprüche für jeden WS-Verbundidentitätsanbieter aus.

 

Anspruchstyp URI Beschreibung

Namenbezeichner

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Ein eindeutiger Bezeichner für das Benutzerkonto, der vom Identitätsanbieter bereitgestellt wird.

Identitätsanbieter

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Ein von ACS bereitgestellter Anspruch, der die Anwendung der vertrauenden Seite informiert, dass sich der Benutzer mithilfe des ausgewählten Identitätsanbieters authentifiziert hat. Der Wert dieses Anspruchs wird im ACS-Verwaltungsportal über das Feld Bereich auf der Seite Identitätsanbieter bearbeiten angezeigt.

noteHinweis
WS-Verbundidentitätsanbieter können auch Anspruchstypen für ACS ausstellen, die nicht ausdrücklich im Metadatendokument des WS-Verbunds des Identitätsanbieters aufgelistet werden. In diesem Fall kann der erwartete Anspruchstyp-URI manuell in eine Regel eingegeben anstatt ausgewählt werden. Weitere Informationen zu Regeln finden Sie unter Regelgruppen und Regeln.

Die X.509-Tokensignaturzertifikate für einen WS-Verbundidentitätsanbieter sind auf der Seite für den Identitätsanbieter im ACS-Verwaltungsportal aufgelistet. Es ist wichtig, die Zertifikate zu überwachen und sicherzustellen, dass sie in Kraft sind und vor dem Ablaufen ersetzt werden.

So zeigen Sie die Zertifikate für einen WS-Verbundidentitätsanbieter an:

  1. Klicken Sie im ACS-Verwaltungsporta. auf Identitätsanbieter.

  2. Klicken Sie auf den WS-Verbundidentitätsanbieter.

  3. Scrollen Sie zum Abschnitt Tokensignaturzertifikate unten auf der Seite.

Weitere Informationen zum Verwalten von Zertifikaten für WS-Verbundidentitätsanbieter finden Sie unter WS-Federation identity provider certificate.

Siehe auch

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2015 Microsoft