Поставщики удостоверений WS-Federation

  • Статья

Обновлено: 19 июня 2015 г.

Область применения: Azure

WS-Federation поставщики удостоверений — это настраиваемые поставщики удостоверений, которые поддерживают протокол WS-Federation и настраиваются в Microsoft Azure Active Directory контроль доступа (также называемой службой контроль доступа или ACS) с помощью метаданных WS-Federation. Поставщики удостоверений WS-Federation также могут поддерживать другие протоколы федерации, например WS-Trust. WS-Federation поставщики удостоверений чаще всего используются в сценариях веб-сайта и веб-приложений, где WS-Federation пассивный профиль запрашивающего сервера используется для упрощения необходимых перенаправлений маркеров в ACS и из них с помощью веб-браузера.

Службы федерации Microsoft Active Directory 2.0

Распространенный пример поставщика удостоверений WS-Federation — . Его можно использовать для интеграции корпоративных учетных записей Active Directory с ACS. Перед добавлением и настройкой в качестве поставщика удостоверений в ACS необходимо установить и работать с по крайней мере одним доверием поставщика утверждений, например доменные службы Active Directory (AD DS). Дополнительные сведения см. в разделе "Практическое руководство. Настройка AD FS 2.0 в качестве поставщика удостоверений".

Настройка с помощью портала управления ACS

При использовании портала управления ACS для настройки поставщика удостоверений WS-Federation необходимо ввести следующие данные.

  • Отображаемое имя — указывает отображаемое имя поставщика удостоверений. Это имя используется только на портале управления ACS.

  • Метаданные WS-Federation — содержат сведения о конфигурации (метаданные федерации) установленных федеративных служб, таких как токены и авторизация, а также политики для доступа к ним. При добавлении поставщика удостоверений WS-Federation в ACS необходимо ввести URL-адрес документа метаданных федерации или отправить локальную копию документа метаданных для поставщика удостоверений WS-Federation.

    Предупреждение

    Импортируйте метаданные WS-Federation только из поставщика удостоверений WS-Federation, которому вы доверяете.

    По соображениям безопасности настоятельно рекомендуется, чтобы поставщик удостоверений WS-Federation публиковал свой документ метаданных федерации по URL-адресу HTTPS. Также рекомендуется, чтобы поставщик удостоверений WS-Federation использовал только конечные точки HTTPS с выдачей токена.

  • Текст ссылки для входа — здесь указывается текст, который отображается для поставщика удостоверений на странице входа вашего веб-приложения. Дополнительные сведения см. в разделе "Страницы входа" и "Обнаружение домашней области".

  • URL-адрес изображения (необязательно) — связывает URL-адрес с файлом изображения (например, логотипом), которое может отображаться в качестве ссылки для входа с использованием этого поставщика удостоверений. Этот логотип автоматически отображается на странице входа по умолчанию для веб-приложения с поддержкой ACS, а также в веб-канале JSON веб-приложения, который можно использовать для отображения настраиваемой страницы входа. Если не указать URL-адрес изображения, то на странице входа веб-приложения отображается текстовая ссылка на поставщик удостоверений. Если URL-адрес изображения указан, настоятельно рекомендуется сделать так, чтобы он указывал на надежный источник, например ваш собственный веб-сайт или веб-приложение, и использовал протокол HTTPS во избежание появления предупреждений подсистемы безопасности браузера. Кроме того, изображения размером больше 240 пикселей в ширину и 40 пикселей в длину автоматически масштабируются на странице обнаружения домашней области ACS по умолчанию. Рекомендуется получить разрешение от партнера на отображение этого изображения.

  • Имена доменов электронной почты (необязательно) — пользователям предлагается выполнить вход, используя свой адрес электронной почты. Можно указать суффиксы доменов электронной почты, размещенные этим поставщиком удостоверений. Оставьте это поле пустым, чтобы отобразить прямую ссылку для входа. Используйте точку с запятой для разделения списка суффиксов. Дополнительные сведения см. в разделе "Страницы входа" и "Обнаружение домашней области".

  • Приложения проверяющей стороны — указывает все имеющиеся приложения проверяющей стороны, которые следует связать с данным поставщиком удостоверений. Дополнительные сведения см. в разделе "Приложения проверяющей стороны".

После связывания поставщика удостоверений с приложением проверяющей стороны следует автоматически или вручную добавить правила для этого поставщика в группу правил приложения, чтобы завершить настройку. Дополнительные сведения о создании правил см. в разделе "Группы правил" и "Правила".

Поддерживаемые типы утверждений

Когда пользователь проходит проверку подлинности, используя поставщик удостоверений, он получает маркер с утверждениями удостоверения. Утверждения — это фрагменты сведений о пользователе, например адрес электронной почты или уникальный идентификатор. ACS может передавать эти утверждения непосредственно приложению проверяющей стороны или принимать решения об авторизации на основе содержащихся в них значений.

По умолчанию типы утверждений в ACS однозначно идентифицируются с помощью универсального кода ресурса (URI) для соответствия спецификации токена SAML. Эти URI также используются для идентификации утверждений в других форматах токенов.

Для поставщиков удостоверений WS-Federation доступные типы утверждений определяются метаданными WS-Federation для поставщика удостоверений, импортируемого в ACS. После завершения импорта типы утверждений, доступные для поставщика удостоверений, отображаются на странице "Изменение правила утверждения " на портале управления ACS. Эти типы утверждений также видны через сущность ClaimType в службе управления ACS.

Помимо типов утверждений, доступных через метаданные WS-Federation, ACS всегда выдает следующие утверждения для каждого поставщика удостоверений WS-Federation.

Тип утверждения URI Описание

Идентификатор имени

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Уникальный идентификатор учетной записи пользователя, предоставляемый поставщиком удостоверений.

Поставщик удостоверений

https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Утверждение, предоставляемое ACS, которое сообщает приложению проверяющей стороны, что пользователь прошел проверку подлинности с помощью выбранного поставщика удостоверений. Значение этого утверждения отображается на портале управления ACS с помощью поля Realm на странице "Изменение поставщика удостоверений ".

Примечание

WS-Federation поставщики удостоверений также могут выдавать типы утверждений acS, которые явно не указаны в документе метаданных WS-Federation поставщика удостоверений. В этом случае URI ожидаемого типа утверждений может быть введен вручную в правило вместо выбранного. Дополнительные сведения о правилах см. в разделе " Группы правил" и "Правила".

Управление сертификатами

Сертификаты подписи маркера X.509 для поставщика удостоверений WS-Federation перечислены на странице поставщика удостоверений на портале управления ACS. Важно отслеживать сертификаты и гарантировать их действие, а также их замену до истечения срока действия.

Просмотр сертификатов для поставщика удостоверений WS-Federation

  1. На портале управления ACS щелкните "Поставщики удостоверений".

  2. Щелкните поставщик удостоверений WS-Federation.

  3. Перейдите к разделу Сертификаты для подписи токенов в нижней части страницы.

Дополнительные сведения об управлении сертификатами для поставщиков удостоверений WS-Federation см. в разделе сертификат поставщика удостоверений WS-Federation.

См. также:

Основные понятия

Поставщики удостоверений
Рекомендации по управлению сертификатами и ключами