Приложения проверяющей стороны
Обновлено: 19 июня 2015 г.
Область применения: Azure
Приложение проверяющей стороны (также известно как приложение, поддерживающее утверждения, или приложение на основе утверждений) представляет собой приложение или службу, которые используют утверждения для проверки подлинности. В Microsoft Azure Active Directory контроль доступа (также называемой службой контроль доступа или ACS), приложение проверяющей стороны — это веб-сайт, приложение или служба, использующая ACS для реализации федеративной проверки подлинности.
Приложения проверяющей стороны можно создавать и настраивать вручную с помощью портала управления ACS или программно с помощью службы управления ACS.
На портале управления ACS приложение проверяющей стороны, которое вы добавляете и настраиваете, является логическим представлением веб-сайта, приложения или службы, которая доверяет определенному пространству имен контроль доступа. Вы можете добавлять и настраивать множество приложений проверяющей стороны в каждом пространстве имен контроль доступа.
Настройка с помощью портала управления ACS
Портал управления ACS можно использовать для настройки следующих свойств приложения проверяющей стороны:
Режим
Области и URL-адрес возврата
URL-адрес ошибки (необязательно)
Формат маркера
Политика шифрования маркеров
Token Lifetime
Поставщики удостоверений
Группы правил
Подписывание маркеров
Шифрование маркеров
Режим
Свойство Режим определяет, настраиваете ли вы параметры приложения проверяющей стороны вручную или указываете документ метаданных WS-Federation, который определяет параметры приложения.
Документ метаданных WS-Federation обычно содержит область приложения и URL-адрес возврата. Он также может включать необязательный сертификат шифрования, используемый для шифрования маркеров, выданных ACS для приложения. Если указан WS-Federation документ, а метаданные содержат сертификат шифрования, параметр политики шифрования токенов по умолчанию имеет значение "Требовать шифрование". Если для параметра Политика шифрования маркеров установлено значение Требовать шифрование, а документ метаданных WS-Federation не содержит сертификата шифрования, необходимо вручную загрузить сертификат шифрования.
Если приложение проверяющей стороны интегрировано с Windows Identity Foundation (WIF), WIF автоматически создает документ метаданных WS-Federation для вашего приложения.
Области и URL-адрес возврата
Свойство Realm определяет универсальный код ресурса (URI), в котором допустимы маркеры, выданные ACS. URL-адрес возврата (также называемый адресом ReplyTo) определяет URL-адрес, на который отправляются маркеры, выданные ACS. Когда маркер запрашивается для доступа к приложению проверяющей стороны, ACS выдает маркер только в том случае, если область в запросе маркера соответствует области приложения проверяющей стороны.
Важно!
В ACS значения области чувствительны к регистру.
На портале управления ACS можно настроить только одну область и один URL-адрес возврата в каждом пространстве имен контроль доступа. В самом простом случае область и URL-адрес возврата идентичны. Например, если корневой URI приложения — это https://contoso.comобласть и URL-адрес возврата приложения https://contoso.comпроверяющей стороны.
Чтобы настроить несколько URL-адресов возврата (address ReplyTo) для приложения проверяющей стороны, используйте сущность RelyingPartyAddress в службе управления ACS.
Когда маркер запрашивается из ACS или маркер отправляется в ACS от поставщика удостоверений, ACS сравнивает значение области в запросе маркера со значениями области для приложений проверяющей стороны. Если запрос маркера использует протокол WS-Federation, СЛУЖБА ACS использует значение области в параметре wtrealm . Если маркер использует протокол OAuth WRAP, ACS использует значение области в параметре applies_to . Если СЛУЖБА ACS находит соответствующую область в параметрах конфигурации для приложения проверяющей стороны, он создает маркер, который проверяет подлинность пользователя в приложении проверяющей стороны и отправляет маркер в URL-адрес возврата.
Процесс аналогичен, если проверяющая сторона имеет несколько URL-адресов возврата. ACS получает URL-адрес перенаправления из параметра wreply . Если URL-адрес перенаправления является одним из URL-адресов возврата для приложения проверяющей стороны, ACS отправляет ответ на этот URL-адрес.
Значения области учитывают регистр. Маркер выдается только в том случае, если значение области совпадает или значение области для приложения проверяющей стороны является префиксом области в запросе маркера. Например, значение области приложения проверяющей стороны соответствует значению http://www.fabrikam.comhttp://www.fabrikam.com/billingобласти запроса маркера, но не соответствует области запроса маркера https://fabrikam.comv.
URL-адрес ошибки (необязательно)
URL-адрес ошибки указывает URL-адрес, на который ACS перенаправляет пользователей при возникновении ошибки во время входа. Это необязательное свойство приложения проверяющей стороны.
Значение URL-адреса ошибки может быть пользовательской страницей, размещенной приложением проверяющей стороны, например http://www.fabrikam.com/billing/error.aspx. В рамках перенаправления ACS предоставляет сведения об ошибке приложению проверяющей стороны в качестве параметра URL-адреса HTTP в кодировке JSON. Настраиваемая страница ошибки может обрабатывать эти данные, закодированные в формате JSON, чтобы отображать фактическое сообщение об ошибке наряду со статическим справочным текстом.
Дополнительные сведения об использовании URL-адреса ошибки см. в примере кода: ASP.NET Simple MVC 2.
Формат маркера
Свойство "Формат токена" определяет формат маркеров, которые возникают при проблемах ACS для приложения проверяющей стороны. ACS может выдавать токены SAML 2.0, SAML 1.1, SWT или JWT. Дополнительные сведения о форматах маркеров см. в разделе "Форматы маркеров", поддерживаемые в ACS.
ACS использует стандартные протоколы для возврата маркеров в веб-приложение или службу. Если для формата маркера поддерживается несколько протоколов, ACS использует тот же протокол, который использовался для запроса маркера. ACS поддерживает следующие сочетания форматов маркеров и протоколов:
ACS может возвращать токены SAML 2.0 с помощью WS-Trust и протоколов WS-Federation.
ACS может возвращать токены SAML 1.1 с помощью WS-Federation и связанных протоколов WS-Trust.
ACS может возвращать маркеры SWT с помощью протоколов WS-Federation, WS-Trust, OAuth-WRAP и OAuth 2.0.
ACS может выдавать и возвращать маркеры JWT с помощью протоколов WS-Federation, WS-Trust и OAuth 2.0.
Дополнительные сведения о стандартных протоколах, используемых ACS, см. в разделе "Протоколы, поддерживаемые в ACS".
При выборе формата маркера рассмотрите, как контроль доступа пространство имен подписывает маркеры, которые он выдает. Все маркеры, выданные ACS, должны быть подписаны. Дополнительные сведения см. в разделе "Подписывание маркера".
Кроме того следует выбрать, нужно ли шифровать маркеры. Дополнительные сведения см. в разделе "Политика шифрования маркеров".
Политика шифрования маркеров
Политика шифрования маркеров определяет, шифруются ли маркеры, которые возникают в приложении проверяющей стороны. Чтобы потребовать шифрование, выберите значение Требовать шифрование.
В ACS можно настроить политику шифрования только для токенов SAML 2.0 или SAML 1.1. ACS не поддерживает шифрование токенов SWT или JWT.
ACS шифрует токены SAML 2.0 и SAML 1.1 с помощью сертификата X.509, содержащего открытый ключ (CER-файл). Эти зашифрованные маркеры затем расшифровываются с помощью закрытого ключа, принадлежащего приложению проверяющей стороны. Дополнительные сведения о получении и использовании сертификатов шифрования см. в разделе "Сертификаты и ключи".
Настройка политики шифрования для маркеров, выданных ACS, необязательна. Тем не менее политика шифрования должна быть настроена, когда приложением проверяющей стороны является веб-служба, использующая маркеры подтверждения владения по протоколу WS-Trust. Конкретно этот сценарий не будет работать правильно без зашифрованных маркеров.
Token Lifetime
Свойство времени существования токена указывает интервал времени (в секундах), в течение которого маркер безопасности, который acS выдает приложению проверяющей стороны, действителен. Значение по умолчанию — 600 (10 минут). В ACS значение времени существования токена должно находиться в диапазоне от нуля (0) до 86400 (24 часа) включительно.
Поставщики удостоверений
Свойство Поставщики удостоверений определяет поставщиков удостоверений, которые могут отправлять утверждения для приложения проверяющей стороны. Эти поставщики удостоверений отображаются на странице входа ACS для веб-приложения или службы. Все поставщики удостоверений, настроенные в разделе "Поставщики удостоверений " портала ACS, отображаются в списке поставщиков удостоверений. Чтобы добавить поставщика в список, нажмите кнопку Поставщики удостоверений.
Каждое приложение проверяющей стороны можно связать с нулем или более поставщиками удостоверений. Приложения проверяющей стороны в пространстве имен контроль доступа могут быть связаны с тем же поставщиком удостоверений или различными поставщиками удостоверений. Если для приложения проверяющей стороны не выбраны поставщики удостоверений, необходимо настроить прямую проверку подлинности с помощью ACS для приложения проверяющей стороны. Например, можно использовать службы удостоверения для настройки прямой проверки подлинности. Дополнительные сведения см. в разделе "Удостоверения службы".
Группы правил
Свойство Группы правил определяет, какие правила использует приложение проверяющей стороны при обработке утверждений.
Каждое приложение проверяющей стороны ACS должно быть связано по крайней мере с одной группой правил. Если запрос маркера соответствует приложению проверяющей стороны, у которого нет групп правил, служба ACS не выдает маркер веб-приложению или службе.
Все группы правил, настроенные в разделе "Группы правил " портала ACS, отображаются в списке групп правил. Чтобы добавить группу правил в список, нажмите кнопку Группы правил.
При добавлении нового приложения проверяющей стороны на портале управления ACS параметр "Создать группу правил " выбран по умолчанию. Настоятельно рекомендуется создать новую группу правил для нового приложения проверяющей стороны. Тем не менее можно связать приложение проверяющей стороны с существующей группой правил. Для этого очистите значение Создать новую группу правил и выберите нужную группу правил.
Можно связать приложение проверяющей стороны с более чем одной группой правил (и связать группу правил с более чем одним приложением проверяющей стороны). Если приложение проверяющей стороны связано с несколькими группами правил, ACS рекурсивно оценивает правила во всех группах правил, как если бы они были правилами в одной группе правил.
Дополнительные сведения о правилах и группах правил см. в разделе "Группы правил" и "Правила".
Подписывание маркеров
Свойство параметров подписывания маркеров указывает, как подписываются маркеры безопасности, связанные с проблемами ACS. Все маркеры, выданные ACS, должны быть подписаны.
Доступные параметры подписи маркеров зависят от формата маркеров приложения проверяющей стороны. (Дополнительные сведения о форматах маркеров см. в разделе "Формат токена".)
Токены SAML: используйте сертификат X.509 для подписывания маркеров.
Токены SWT: используйте симметричный ключ для подписывания маркеров.
Маркеры JWT: используйте сертификат X.509 или симметричный ключ для подписывания маркеров.
Параметры сертификата X.509. Для маркеров, подписанных с помощью сертификата X.509, доступны следующие параметры.
Используйте сертификат пространства имен службы (стандартный) — при выборе этого параметра СЛУЖБА ACS использует сертификат для пространства имен контроль доступа для подписывания токенов SAML 1.1 и SAML 2.0 для приложения проверяющей стороны. Используйте этот параметр, если планируется автоматизировать настройку веб-приложения или службы с помощью WS-Federation метаданных, так как открытый ключ пространства имен публикуется в WS-Federation метаданных для пространства имен контроль доступа. URL-адрес документа WS-Federation метаданных отображается на странице интеграции приложений на портале управления ACS.
Используйте выделенный сертификат. Если выбрать этот параметр, СЛУЖБА ACS использует сертификат для подписывания токенов SAML 1.1 и SAML 2.0 для приложения проверяющей стороны. Сертификат не используется для других приложений проверяющей стороны. После выбора этого параметра укажите сертификат X.509 с закрытым ключом (PFX-файл) и введите пароль для PFX-файла.
Примечание
Маркеры JWT. При настройке приложения проверяющей стороны использовать сертификат X.509 для пространства имен контроль доступа для подписывания маркеров JWT для приложения проверяющей стороны, ссылки на сертификат пространства имен контроль доступа и ключ пространства имен контроль доступа отображаются на странице приложения проверяющей стороны на портале управления ACS. Однако ACS использует только сертификат пространства имен для подписывания маркеров для приложения проверяющей стороны.
Управляемые пространства имен. При добавлении приложения проверяющей стороны к управляемому пространству имен, например к пространству имен служебной шины, не вводите сертификаты или ключи, предназначенные для конкретного приложения. Вместо этого выберите параметры, благодаря которым ACS будет использовать сертификаты и ключи, настроенные для всех приложений в управляемом пространстве имен. Дополнительные сведения см. в разделе "Управляемые пространства имен"Дополнительные сведения о общих и выделенных сертификатах и ключах см. в разделе "Сертификаты и ключи".
Параметры симметричного ключа
Рекомендуется при использовании симметричного ключа создать выделенный ключ для каждого приложения проверяющей стороны, а не использовать общий симметричный ключ для пространства имен контроль доступа. При вводе или создании выделенного ключа ACS использует выделенный ключ для подписывания маркеров для приложения проверяющей стороны, если выделенный ключ действителен. Однако если срок действия выделенного ключа истечет и не заменяется, СЛУЖБА ACS использует ключ общего пространства имен для подписывания маркеров для приложения проверяющей стороны.
Если вы решите использовать общий симметричный ключ, скопируйте значения для ключа пространства имен службы со страницы Сертификаты и ключи и вставьте их в поля раздела Подписывание маркеров страницы Приложения проверяющей стороны.
Следующие параметры доступны для маркеров, подписанных с помощью симметричного ключа.
Ключ подписи маркера — введите 256-разрядный симметричный ключ или нажмите Создать для создания 256-разрядного симметричного ключа.
Дата начала действия — определяет начальную дату диапазона дат, в пределах которого действует симметричный ключ. Начиная с этой даты служба ACS использует симметричный ключ для подписывания маркеров для приложения проверяющей стороны. Значение по умолчанию ACS — текущая дата.
Дата окончания действия — определяет конечную дату диапазона дат, в пределах которого действует симметричный ключ. С этой даты acS не использует симметричный ключ для подписывания маркеров для приложения проверяющей стороны. Значение по умолчанию отсутствует. По соображениям безопасности следует заменять симметричные ключи каждый год или каждые два года, в зависимости от требований приложения.
Шифрование маркеров
Параметр сертификата шифрования маркера определяет сертификат X.509 (CER-файл), используемый для шифрования маркеров для приложения проверяющей стороны. В ACS можно шифровать только токены SAML 2.0 или SAML 1.1. ACS не поддерживает шифрование токенов SWT или JWT.
Сертификаты для шифрования маркеров указываются в разделе "Сертификаты и ключи " на портале ACS. Если вы воспользуетесь ссылкой Щелкните здесь в разделе Политика шифрования маркеров страницы приложения проверяющей стороны, откроется страница Добавление сертификата шифрования маркеров раздела «Сертификаты и ключи». Эта страница служит для указания файла сертификата.
Дополнительные сведения см. в разделе "Политика шифрования маркеров". Дополнительные сведения о получении и добавлении сертификатов шифрования см. в разделе "Сертификаты и ключи".