Esta página foi útil?
Seus comentários sobre este conteúdo são importantes. Queremos saber sua opinião.
Comentários adicionais?
1500 caracteres restantes
Exportar (0) Imprimir
Expandir Tudo

Provedores de identidade do WS-Federation

Publicado: abril de 2011

Atualizado: junho de 2015

Aplica-se a: Azure

Os provedores de identidade do WS-Federation são provedores de identidade personalizados que oferecem suporte ao protocolo WS-Federation e são configurados no Access Control do Active Directory do Microsoft Azure (também conhecido como Access Control Service ou ACS) usando metadados do WS-Federation. Um provedor de identidade do WS-Federation também pode oferecer suporte a outros protocolos de federação, como WS-Trust. Os provedores de identidade do WS-Federation são usados com mais frequência em cenários de sites e aplicativos da Web, onde o perfil do solicitador passivo do WS-Federation que é usado para facilitar o token necessário redireciona para e do ACS usando um navegador da Web.

Um exemplo comum de um provedor de identidade do WS-Federation é . Você pode usá-lo para integrar suas contas do Active Directory da empresa com ACS. Antes de adicionar e configurar o como um provedor de identidade em ACS, é necessário ter o instalado e funcionando com pelo menos um Provedor Confiável de Declarações, por exemplo, os Serviços de Domínio do Active Directory (AD DS). Para obter mais informações, consulte Como: Configurar o AD FS 2.0 como um provedor de identidade.

Quando estiver usando o Portal de Gerenciamento do ACS para configurar um provedor de identidade do WS-Federation, você deve inserir os dados a seguir.

  • Nome de exibição – especifica o nome de exibição do seu provedor de identidade. Esse nome só é usado no Portal de Gerenciamento do ACS.

  • Metadados do WS-Federation – contém informações de configuração (metadados de federação) sobre os serviços federados estabelecidos, como tokens e autorização, e as políticas para acessá-los. Ao adicionar um provedor de identidade do WS-Federation no ACS, digite a URL do documento de metadados de federação ou carregue uma cópia local do documento de metadados para o provedor de identidade do WS-Federation.

    CautionCuidado
    Importe metadados de WS-Federation apenas de um provedor de identidade do WS-Federation que você confia.

    Por motivos de segurança, é altamente recomendável que o provedor de identidade do WS-Federation publique seu documento de metadados de federação em uma URL HTTPS. Também é recomendável que o provedor de identidade do WS-Federation use apenas pontos de extremidade de emissão de token HTTPS.

  • Texto do link de logon – especifica o texto que é exibido para esse provedor de identidade na página de logon do seu aplicativo da Web. Para obter mais informações, consulte Páginas de logon e Home Realm Discovery.

  • URL da imagem (opcional) — Associa uma URL a um arquivo de imagem (por exemplo, um logotipo de sua escolha) que você pode exibir como link de logon desse provedor de identidade. Esse logotipo aparece automaticamente na página de logon padrão de seu aplicativo Web com reconhecimento de ACS e no feed de JSON do aplicativo Web que você pode usar para processar uma página de logon personalizada. Se você não especificar a URL de uma imagem, um link de logon de texto desse provedor de identidade será exibido na página de logon de seu aplicativo Web. Se você especificar a URL de uma imagem, é altamente recomendável que ela aponte para uma fonte confiável. Por exemplo, seu próprio aplicativo ou site da Web, usando HTTPS para evitar avisos de segurança do navegador. Além disso, qualquer imagem com mais de 240 pixels de largura e 40 pixels de altura é automaticamente redimensionada na página Descoberta de realm inicial padrão do ACS. Recomenda-se obter permissão do seu parceiro para exibir essa imagem.

  • Nomes de domínio de email (opcional) – para solicitar que os usuários façam logon usando seu endereço de email, você pode especificar os sufixos de domínio de email hospedados por esse provedor de identidade. Caso contrário, deixe esse campo em branco para exibir um link de logon direto. Use ponto e vírgula para separar a lista de sufixos. Para obter mais informações, consulte Páginas de logon e Home Realm Discovery.

  • Aplicativos de terceira parte confiável – especifica todos os aplicativos de terceira parte confiável existentes que você queira associar a esse provedor de identidade. Para obter mais informações, consulte Aplicativos de terceira parte confiável.

Após a associação do provedor de identidade a um aplicativo de terceira parte confiável, regras para esse provedor de identidade devem ser geradas ou adicionadas manualmente em um grupo de regras do aplicativo de terceira parte confiável para concluir a configuração. Para obter mais informações sobre como criar regras, consulte Regras e grupos de regras.

Depois da autenticação do usuário com um provedor de identidade, o usuário recebe um token com declarações de identidade. As declarações são informações sobre o usuário, como endereço de email ou uma ID exclusiva. O ACS pode passar essas declarações diretamente para o aplicativo de terceira parte confiável ou tomar decisões de autorização com base nos valores que elas contêm.

Por padrão, os tipos de declaração no ACS são identificados com exclusividade por meio de um URI para conformidade com a especificação de token SAML. Esses URIs também são usados para identificar declarações em outros formatos de token.

Para provedores de identidade do WS-Federation, os tipos de declaração disponíveis são determinados pelos metadados WS-Federation para o provedor de identidade que é importado para o ACS. Depois que a importação for concluída, os tipos de declaração disponíveis para o provedor de identidade estarão visíveis na página Editar regra de declaração do Portal de Gerenciamento do ACS. Esses tipos de declarações também são visíveis através da entidade ClaimType no Serviço de Gerenciamento do ACS.

Além dos tipos de declaração disponíveis através dos metadados do WS-Federation, o ACS sempre emite as seguintes declarações para cada provedor de identidade do WS-Federation.

 

Tipo de declaração URI Descrição

Identificador de nome

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Identificador exclusivo da conta de usuário fornecido pelo provedor de identidade.

Provedor de identidade

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Uma declaração fornecida pelo ACS que informa ao aplicativo de terceira parte confiável que o usuário autenticado usando o provedor de identidade selecionado. O valor da declaração fica visível no Portal de Gerenciamento ACS, no campo Realm na página Editar Provedor de Identidade.

noteObservação
Os provedores de identidade do WS-Federation também podem emitir para ACS que não estejam explicitamente listados no documento de metadados do WS-Federation do provedor de identidade. Nesse caso, o URI de tipo de declaração esperado pode ser inserido manualmente em uma regra selecionada. Para obter mais informações sobre regras, consulte Regras e grupos de regras.

Os certificados de autenticação de tokens X.509 para um provedor de identidade do WS-Federation listados na página para o provedor de identidade no Portal de Gerenciamento do ACS. É importante monitorar os certificados e garantir que sejam efetivos e que serão substituídos antes de expirarem.

Para exibir os certificados para um provedor de identidade do WS-Federation:

  1. No Portal de Gerenciamento do ACS, clique em Provedores de identidade.

  2. Clique no provedor de identidade do WS-Federation.

  3. Role até a seção Certificados de assinatura de token na parte inferior da página.

Para obter mais informações sobre como gerenciar certificados para provedores de identidade do WS-Federation, consulte WS-Federation identity provider certificate.

Consulte também

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2015 Microsoft