Exportar (0) Imprimir
Expandir Tudo

Aplicativos de terceira parte confiável

Publicado: abril de 2011

Atualizado: março de 2015

Aplica-se a: Azure

Um aplicativo de terceira parte (também conhecido como um aplicativo com reconhecimento de declarações ou aplicativo baseado em declarações) é um aplicativo ou serviço que usa declarações para autenticação. Em Acess Control do Active Directory do Microsoft Azure (também conhecido como Access Control Service ou ACS), um aplicativo de terceira parte confiável é um site da web, um aplicativo ou um serviço que usa ACS para implementar a autenticação federada.

Você pode criar e configurar aplicativos confiáveis manualmente, usando o Portal de Gerenciamento do ACS, ou programaticamente, usando o Serviço de Gerenciamento do ACS.

No Portal de Gerenciamento do ACS, o aplicativo de terceira parte confiável que você adiciona e configura é uma representação lógica do seu site, aplicativo ou serviço que usa um determinado Namespace do Access Control. Você pode adicionar e configurar vários aplicativos confiáveis em cada Namespace do Access Control.

Você pode usar o Portal de Gerenciamento do ACS para configurar as seguintes propriedades de um aplicativo de terceira parte confiável:

A propriedade Mode determina se você deve configurar as definições do seu aplicativo de terceira parte confiável manualmente ou especificar um documento de metadados do WS-Federation que define as configurações do aplicativo.

Um documento de metadados do WS-Federation normalmente contém um realm do aplicativo e uma URL de retorno. Ele também pode incluir um certificado de criptografia opcional que é usado para criptografar os tokens que o ACS emite para o aplicativo. Se um documento do WS-Federation for especificado e os metadados contiverem um certificado de criptografia, a definição do Política de criptografia do token será padronizada para Exigir Criptografia. Se o valor da configuração Política de Criptografia Token for Exigir Criptografia, mas o documento de metadados do WS-Federation não incluir um certificado de criptografia, você deve carregar um certificado de criptografia manualmente.

Se o seu aplicativo de terceira parte confiável for integrado com o Windows Identity Foundation (WIF), o WIF cria automaticamente um documento de metadados do WS-Federation para seu aplicativo.

A propriedade Realm define o URI no qual os tokens emitidos por ACS são válidos. A URL de Retorno (também conhecida como o Endereço ReplyTo) define a URL à qual os tokens emitidos pelo ACS são enviados. Quando for solicitado um token para acessar o aplicativo de terceira parte confiável, o ACS emite o token somente quando o realm da solicitação de token corresponde ao realm do aplicativo da terceira parte confiável.

ImportantImportante
Em ACS, os valores de realm diferenciam maiúsculas de minúsculas.

No Portal de Gerenciamento do ACS, você pode configurar somente um realm e uma URL de retorno em cada Namespace do Access Control. No caso mais simples, o realm e a URL de retorno são idênticos. Por exemplo, se o URI raiz do seu aplicativo for https://contoso.com, o Realm e a URL de Retorno do aplicativo de terceira parte confiável forem https://contoso.com.

Para configurar mais de uma URL de retorno (endereço ReplyTo) para um aplicativo de terceira parte confiável, use a entidade RelyingPartyAddress no Serviço de Gerenciamento do ACS.

Quando um token é solicitado do ACS ou um token é postado no ACS de um provedor de identidade, o ACS compara o valor de realm na solicitação de token aos valores de realm para os aplicativos de terceira parte confiável. Se a solicitação de token usar o protocolo WS-Federation, o ACS usa o valor do realm fica no parâmetro wtrealm. Se o token usar o protocolo OAuth WRAP, o ACS usa o valor do realm no parâmetro applies_to. Se o ACS localizar um realm correspondente nas definições de configuração para um aplicativo de terceira parte confiável, ele cria um token que autentica o usuário ao aplicativo de terceira parte confiável e envia o token para a URL de Retorno.

O processo é semelhante quando a terceira parte confiável tem mais de uma URL de Retorno. O ACS obtém a URL de redirecionamento do parâmetro wreply. Se a URL de redirecionamento for uma das URLs de Retorno para o aplicativo de terceira parte confiável, o ACS envia a resposta para essa URL.

Os valores realm diferenciam maiúsculas de minúsculas. O token é emitido somente se os valores de realm forem idênticos ou o valor de realm para o aplicativo de terceira parte confiável for um prefixo do realm na solicitação de token. Por exemplo, o valor de realm do aplicativo de terceira parte confiável de http://www.fabrikam.com corresponde a um valor de realm da solicitação de token de http://www.fabrikam.com/billing, mas não corresponde a um realm de solicitação de token de http://fabrikam.com.

A URL de Erro Especifica uma URL para a qual o ACS redireciona os usuários se ocorrer um erro durante o processo de logon. Ela é uma propriedade opcional de aplicativo da terceira parte confiável.

O valor da URL de Erro pode ser uma página personalizada hospedada pelo aplicativo da terceira parte confiável, como http://www.fabrikam.com/billing/error.aspx. Como parte de redirecionamento, o ACS fornece detalhes sobre o erro para o aplicativo de terceira parte confiável como um parâmetro de URL de HTTP codificada em JSON. A página de erro personalizada pode ser criada para interpretar as informações de erro codificadas em JSON para renderizar a mensagem real de erro e/ou exibir o texto de ajuda estático.

Para obter mais informações sobre o uso de URL de Erro, consulte Exemplo de código: ASP.NET MVC 2 Simples.

A propriedade Token format determina o formato dos tokens que o ACS emite para o aplicativo de terceira parte confiável. O ACS pode emitir tokens SAML 2.0, SAML 1.1, SWT ou JWT. Para obter mais informações sobre os formatos de token, consulte Formatos de token com suporte no ACS.

O ACS usa protocolos padrão para retornar os tokens para um aplicativo da Web ou serviço. Quando mais de um protocolo tem suporte para um formato de token, o ACS usa o mesmo protocolo que foi usado para a solicitação de token. O ACS suporta as seguintes combinações de protocolo/formato do token:

  • O ACS pode retornar os tokens SAML 2.0 usando os protocolos WS-Trust e WS-Federation.

  • O ACS pode retornar os tokens SAML 1,1 usando os protocolos WS-Federation e relacionados ao WS-Trust.

  • O ACS pode retornar tokens SWT usando protocolos WS-Federation, WS-Trust, OAuth WRAP e OAuth 2.0.

  • O ACS pode emitir e retornar tokens JWT usando protocolos WS-Federation, WS-Trust e OAuth 2.0.

Para obter mais informações sobre protocolos padrão que o ACS usa, consulte Protocolos compatíveis com o ACS.

Ao escolher um formato de token, considere como o Namespace do Access Control assina os tokens que ele emite. Todos os tokens emitidos pelo ACS devem ser assinados. Para obter mais informações, consulte Assinatura de token.

Além disso, considere se você deseja que os tokens sejam criptografados. Para obter mais informações, consulte Política de criptografia do token.

A Política de criptografia de token determina se os tokens que o ACS emite para o aplicativo de terceira parte confiável são criptografados. Para exigir criptografia, selecione o valor Exigir Criptografia.

Em ACS, você pode configurar uma política de criptografia somente para os tokens SAML 2.0 ou SAML 1.1. O ACS não oferece suporte a criptografia dos tokens SWT ou JWT.

O ACS criptografa tokens SAML 2.0 e SAML 1.1 usando um certificado X.509 que contém uma chave pública (arquivo .cer). Esses tokens criptografados são, em seguida, descriptografados usando uma chave privada de aplicativo da terceira parte confiável. Para obter mais informações sobre como obter e usar certificados de criptografia, consulte Certificados e chaves.

Configurar uma política de criptografia em seus tokens emitidos pelo ACS é opcional. No entanto, uma política de criptografia deve ser configurada quando seu aplicativo de terceira parte é um serviço da Web que usa tokens de prova de posse através do protocolo WS-Trust. Neste cenário específico não funcionar corretamente sem tokens criptografados.

A propriedade Token lifetime especifica o intervalo de tempo (em segundos) durante o qual token de segurança que o ACS emite para o aplicativo de terceira parte é válido. O valor padrão é 600 (10 minutos). Em ACS, a vida útil do token valor deve estar entre zero (0) e 86400 (24 horas) inclusivo.

A propriedade Identity providers especifica os provedores de identidade que podem enviar solicitações ao aplicativo de terceira parte confiável. Esses provedores de identidade aparecem na página de logon do ACS do seu aplicativo da Web ou serviço. Todos os provedores de identidade configurados na seção Provedores de identidade do portal do ACS aparecem na lista de provedores de identidade. Para adicionar um provedor de identidade à lista, clique em Provedores de identidade.

Cada aplicativo de terceira parte confiável pode ser associado com zero ou mais provedores de identidade. Os aplicativos de terceira parte confiável em um Namespace do Access Control pode ser associado ao mesmo provedor de identidade ou diferentes provedores de identidade. Se você não selecionar nenhum provedor de identidade para um aplicativo de terceira parte confiável, você deve configurar uma autenticação direta com ACS para o aplicativo de terceira parte. Por exemplo, você pode usar as identidades de serviço para configurar uma autenticação direta. Para obter mais informações, consulte Identidades de serviço.

A propriedade Rule groups propriedade determina quais regras o aplicativo da terceira parte confiável usa ao processar declarações.

Cada aplicativo de terceira parte confiável do ACS deve ser associado a pelo menos um grupo de regras. Se uma solicitação de token corresponder a um aplicativo de terceira parte confiável que não tenha nenhum grupo de regras, o ACS não emite um token para o aplicativo da Web ou serviço.

Todos os grupos configurados de regras na seção Grupos de regras do portal do ACS aparecem na lista do grupo de regras. Para adicionar um grupo de regras à lista, clique em Grupos de regras.

Quando você adiciona um novo aplicativo de terceira parte confiável no Portal de Gerenciamento do ACS, a opção Criar Novo Grupo de Regras é selecionada por padrão. É recomendável que você crie um novo grupo de regras para o seu novo aplicativo de terceira parte confiável. No entanto, você pode associar seu aplicativo de terceira parte confiável com um grupo de regras existente. Para fazer isso, desmarque a opção Criar Novo Grupo de Regras e selecione o grupo de regras desejado.

Você pode associar um aplicativo de terceira parte confiável com mais de um grupo de regras (e associar um grupo de regras a mais de um aplicativo de terceira parte confiável). Se um aplicativo de terceira parte confiável estiver associado a mais de um grupo de regras, o ACS avalia recursivamente as regras em todos os grupos de regras, como se fossem regras em um único grupo de regras.

Para obter mais informações sobre regras e grupos de regras, consulte Regras e grupos de regras.

A propriedade Token signing settings especifica como a tokens de segurança que o ACS emite são assinados. Todos os tokens emitidos pelo ACS devem ser assinados.

As opções de assinatura de tokens que estão disponíveis dependem do Formato do Token do aplicativo da terceira parte confiável. Para obter mais informações sobre os formatos de token, consulte Formato do token.

  • Tokens SAML: Use um certificado X.509 para assinar tokens.

  • Tokens SWT: Use uma chave simétrica para assinar tokens.

  • Tokens JWT: Use um certificado X.509 ou uma chave simétrica para assinar tokens.

Opções de Certificado X.509. As seguintes opções estão disponíveis para tokens assinados com um certificado X.509.

  • Usar certificado de namespace de serviço (padrão)— se você selecionar essa opção, o ACS usa o certificado para o Namespace do Access Control assinar os tokens SAML 1.1 e SAML 2.0 para o aplicativo de terceira parte confiável. Use esta opção se você pretende automatizar a configuração de seu aplicativo da Web ou serviço usando metadados do WS-Federation, porque a chave pública do namespace é publicada nos metadados do WS-Federation para o Namespace do Access Control. A URL do documento Metadados do WS-Federation aparece na página Integração de Aplicativos do Portal de Gerenciamento do ACS.

  • Usar certificado dedicado— se você selecionar essa opção, o ACS usa um certificado de específico do aplicativo para assinar tokens SAML 1.1 e SAML 2.0 para o aplicativo de terceira parte confiável. O certificado não é usado para outros aplicativos de terceira parte confiável. Depois de selecionar essa opção, procure um certificado X.509 com uma chave privada (arquivo .pfx) e digite a senha para o arquivo .pfx.

noteObservação
Tokens JWT. Quando você configura um aplicativo de terceira parte confiável para usar o certificado X.509 para o namespace do Controle de Acesso para assinar tokens JWT para um aplicativo de terceira parte confiável, os links para o certificado de namespace de Controle de Acesso e a chave do namespace de Controle de Acesso são exibidos na página de aplicativo da terceira parte confiável no Portal de Gerenciamento do ACS. Entretanto, o ACS só utiliza o certificado do namespace para assinar tokens do aplicativo de terceira parte confiável.

Namespaces gerenciados. Ao adicionar um aplicativo de terceira parte confiável a um namespace gerenciado, como um namespace do Barramento de Serviço, não insira chaves ou certificados (dedicados) específicos de aplicativo. Em vez disso, selecione as opções que orientam o ACS a usar as chaves e os certificados configurados para todos os aplicativos no namespace gerenciado. Para obter mais informações, consulte Namespaces gerenciados

Para obter mais informações sobre chaves e certificados compartilhados dedicados, consulte Certificados e chaves.

Opções de chave simétrica

Como uma prática recomendada de segurança, ao usar chaves simétricas, crie uma chave dedicada para cada aplicativo de terceira parte confiável, em vez de usar a chave simétrica compartilhada para o Namespace do Access Control. Se você inserir ou gerar uma chave dedicada, o ACS usa uma chave dedicada para assinar tokens para o aplicativo de terceira parte confiável, desde que a chave dedicada seja válida. No entanto, se a chave dedicada expirar e não for substituída, o ACS usa a chave de namespace compartilhada para assinar tokens para o aplicativo de terceira parte confiável.

Se você optar por usar a chave simétrica compartilhada, copie os valores para a chave Namespace de Serviço da página Certificados e chaves e cole-os nos campos da seção Assinatura de Token da página Aplicativos de terceira parte confiável.

As seguintes opções estão disponíveis para tokens assinados com chaves simétricas.

  • Chave de assinatura de token– Insira uma chave simétrica de 256 bits ou clique em Gerar para gerar uma chave simétrica de 256 bits.

  • Data de efetivação— Especifica a data de início do intervalo de datas durante o qual a chave simétrica é válida. Iniciando nessa data, o ACS usa a chave simétrica para assinar tokens para o aplicativo de terceira parte confiável. O valor padrão de ACS é a data atual.

  • Data de vencimento— Especifica a data de término do intervalo de datas durante o qual a chave simétrica é válida. A partir dessa data, o ACS não usa a chave simétrica para assinar tokens para o aplicativo de terceira parte confiável. Não há valor padrão. Como prática recomendada de segurança, as chaves simétricas devem ser substituídas todo ano ou a cada dois anos, dependendo dos requisitos do aplicativo.

A opção de certificado de criptografia de token especifica o certificado X.509 (arquivo .cer) que é usado para criptografar tokens para o aplicativo de terceira parte confiável. No ACS, você pode criptografar somente os tokens SAML 2.0 ou SAML 1.1. O ACS não aceita a criptografia de tokens SWT ou JWT.

Especifique certificados de criptografia do token na seção Certificados e Chaves do portal do ACS. Quando você clica no link Clique aqui na seção Política de Criptografia de Token seção da página de aplicativo da terceira parte confiável, a página Adicionar Certificado de Criptografia de Token de Certificados e Chaves é aberta. Use esta página para especificar um arquivo de certificado.

Para obter mais informações, consulte Política de criptografia do token. Para obter mais informações sobre como obter e adicionar certificados de criptografia, consulte Certificados e chaves.

Consulte também

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2015 Microsoft