Экспорт (0) Печать
Развернуть все

Приложения проверяющей стороны

Опубликовано: Апрель 2011 г.

Обновлено: Март 2015 г.

Назначение: Azure

Приложение проверяющей стороны (также известно как приложение, поддерживающее утверждения, или приложение на основе утверждений) представляет собой приложение или службу, которые используют утверждения для проверки подлинности. В Microsoft Azure Active Directory Access Control (также называется Access Control Service или ACS) приложение проверяющей стороны — это веб-сайт, приложение или служба, использующие Служба управления доступом для реализации федеративной проверки подлинности.

Вы можете создать и настроить приложения проверяющей стороны вручную, с помощью Служба управления доступом портала управления, либо программно с помощью службы управления Служба управления доступом.

На портале управления Служба управления доступом приложение проверяющей стороны, которое вы добавляете или настраиваете, — это логическое представление веб-узла, приложения или службы, которые доверяют определенному Пространство имен Access Control. Вы можете добавить и настроить несколько приложений проверяющей стороны в каждом Пространство имен Access Control.

Вы можете использовать портал управления Служба управления доступом для настройки следующих свойств приложения проверяющей стороны.

Свойство Режим определяет, настраиваете ли вы параметры приложения проверяющей стороны вручную или указываете документ метаданных WS-Federation, который определяет параметры приложения.

Документ метаданных WS-Federation обычно содержит область приложения и URL-адрес возврата. Он также может включать необязательный сертификат шифрования, используемый для шифрования маркеров, выданных ACS для приложения. Если указан документ WS-Federation и метаданные содержат сертификат шифрования, то по умолчанию для параметра Политика шифрования маркеров установлено значение Требовать шифрование. Если для параметра Политика шифрования маркеров установлено значение Требовать шифрование, а документ метаданных WS-Federation не содержит сертификата шифрования, необходимо вручную загрузить сертификат шифрования.

Если приложение проверяющей стороны интегрировано с Windows Identity Foundation (WIF), WIF автоматически создает документ метаданных WS-Federation для вашего приложения.

Свойство Область определяет URI, в котором маркеры, выданные Служба управления доступом, являются допустимыми. URL-адрес возврата (также известен как адрес отправителя) определяет URL-адрес, на который отправляются выданные Служба управления доступом маркеры. При запросе маркера для доступа к приложению проверяющей стороны служба Служба управления доступом выдает маркер только в том случае, если область в запросе маркера соответствует области приложения проверяющей стороны.

ImportantВажно!
В Служба управления доступом для значений области учитывается регистр.

На портале управления Служба управления доступом можно настроить только одну область и один URL-адрес возврата в каждом Пространство имен Access Control. В самом простом случае область и URL-адрес возврата идентичны. Например, если корневой URI приложения — https://contoso.com, то областью и URL-адресом возврата приложения проверяющей стороны являются https://contoso.com.

Чтобы настроить несколько URL-адресов возврата (адресов отправителя) для приложения проверяющей стороны, используйте сущность RelyingPartyAddress в службе управления ACS.

При запросе маркера из Служба управления доступом или отправке маркера в Служба управления доступом от поставщика удостоверений служба Служба управления доступом сравнивает значение области в запросе маркера со значением области для приложений проверяющей стороны. Если запрос маркера использует протокол WS-Federation, то Служба управления доступом использует значение области из параметра wtrealm. Если маркер использует протокол OAuth WRAP, то Служба управления доступом использует значение области из параметра applies_to. Если служба Служба управления доступом находит соответствующую область в параметрах конфигурации для приложения проверяющей стороны, то эта служба создает маркер, который проверяет подлинность пользователя для приложения проверяющей стороны и отправляет этот маркер на URL-адрес возврата.

Этот процесс выполняется таким же образом, если проверяющая сторона имеет несколько URL-адресов возврата. Служба Служба управления доступом получает URL-адрес перенаправления из параметра wreply. Если URL-адрес перенаправления является одним из URL-адресов возврата для приложения проверяющей стороны, ACS отправляет ответ на этот URL-адрес.

Значения области учитывают регистр. Маркер выдается только в том случае, если значение области совпадает или значение области для приложения проверяющей стороны является префиксом области в запросе маркера. Например, значение области для приложения проверяющей стороны http://www.fabrikam.com совпадает со значением области запроса маркера http://www.fabrikam.com/billing, но не совпадают со значением области запроса маркера v в http://fabrikam.com.

URL-адрес ошибки указывает URL-адрес, на который Служба управления доступом перенаправляет пользователей при возникновении ошибки в процессе входа в систему. Это необязательное свойство приложения проверяющей стороны.

URL-адрес ошибки может быть настраиваемой страницей приложения проверяющей стороны, например http://www.fabrikam.com/billing/error.aspx. В рамках перенаправления служба Служба управления доступом передает приложению проверяющей стороны сведения об ошибке в виде параметра HTTP URL, закодированного в формате JSON. Настраиваемая страница ошибки может обрабатывать эти данные, закодированные в формате JSON, чтобы отображать фактическое сообщение об ошибке наряду со статическим справочным текстом.

Подробнее об использовании URL-адреса ошибки см. в разделе Образец кода: ASP.NET Simple MVC 2.

Свойство Формат маркера определяет формат маркеров, которые служба Служба управления доступом выдает приложению проверяющей стороны. Служба управления доступом может выдавать маркеры SAML 2.0, SAML 1.1, SWT или JWT. Подробнее о форматах маркеров см. в разделе Форматы токенов, поддерживаемые в ACS.

Служба управления доступом использует стандартные протоколы для возврата маркеров веб-приложению или службе. Если для какого-либо формата маркера поддерживается несколько протоколов, Служба управления доступом использует тот же протокол, который был использован в запросе на выдачу маркера. Служба управления доступом поддерживает следующие сочетания формата маркера и протокола.

  • Служба управления доступом может возвращать маркеры SAML 2.0 с использованием протоколов WS-Trust и WS-Federation.

  • Служба управления доступом может возвращать маркеры SAML 1.1 с использованием WS-Federation и соответствующих протоколов WS-Trust.

  • Служба управления доступом может возвращать маркеры SWT с использованием протоколов WS-Federation, WS-Trust, OAuth WRAP и OAuth 2.0.

  • Служба управления доступом может выдавать и возвращать маркеры JWT с использованием протоколов WS-Federation, WS-Trust и OAuth 2.0.

Подробнее о стандартных протоколах, используемых службой Служба управления доступом, см. в разделе Протоколы, поддерживаемые в ACS.

При выборе формата маркера необходимо учитывать то, как Пространство имен Access Control подписывает выдаваемые маркеры. Все маркеры, выданные Служба управления доступом, должны быть подписаны. Дополнительные сведения см. в Подписывание маркеров.

Кроме того следует выбрать, нужно ли шифровать маркеры. Дополнительные сведения см. в Политика шифрования маркеров.

Политика шифрования маркеров определяет, будут ли шифроваться маркеры, выдаваемые службой Служба управления доступом приложению проверяющей стороны. Чтобы потребовать шифрование, выберите значение Требовать шифрование.

В Служба управления доступом можно настроить политику шифрования только для маркеров SAML 2.0 или SAML 1.1. Служба управления доступом не поддерживает шифрование маркеров SWT и JWT.

Служба управления доступом шифрует маркеры SAML 2.0 и SAML 1.1 с помощью сертификата X.509 с открытым ключом (файл .cer). Эти зашифрованные маркеры затем расшифровываются с помощью закрытого ключа, принадлежащего приложению проверяющей стороны. Подробнее о получении и использовании сертификатов шифрования см. в разделе Сертификаты и ключи.

Настройка политики шифрования выданных Служба управления доступом маркеров является необязательной. Тем не менее политика шифрования должна быть настроена, когда приложением проверяющей стороны является веб-служба, использующая маркеры подтверждения владения по протоколу WS-Trust. Конкретно этот сценарий не будет работать правильно без зашифрованных маркеров.

Свойство Время существования маркера указывает интервал времени (в секундах), в течение которого маркер безопасности, выданный службой Служба управления доступом приложению проверяющей стороны, является действительным. Значение по умолчанию — 600 (10 минут). В Служба управления доступом значение времени существования маркера должно быть от нуля (0) до 86 400 (24 часа) включительно.

Свойство Поставщики удостоверений определяет поставщиков удостоверений, которые могут отправлять утверждения для приложения проверяющей стороны. Эти поставщики удостоверений отображаются на странице входа в службу Служба управления доступом для веб-приложения или службы. Все поставщики удостоверений, настроенные в разделе Поставщики удостоверений портала Служба управления доступом, отображаются в списке поставщиков удостоверений. Чтобы добавить поставщика в список, нажмите кнопку Поставщики удостоверений.

Каждое приложение проверяющей стороны можно связать с нулем или более поставщиками удостоверений. Приложения проверяющей стороны в Пространство имен Access Control могут быть связаны с одним и тем же поставщиком удостоверений или с разными поставщиками удостоверений. Если ни один поставщик удостоверений для приложения проверяющей стороны не выбран, необходимо настроить прямую проверку подлинности с помощью службы Служба управления доступом для приложения проверяющей стороны. Например, можно использовать службы удостоверения для настройки прямой проверки подлинности. Дополнительные сведения см. в Удостоверения службы.

Свойство Группы правил определяет, какие правила использует приложение проверяющей стороны при обработке утверждений.

Каждое приложение проверяющей стороны Служба управления доступом должно быть связано по крайней мере с одной группой правил. Если запрос маркера соответствует приложению проверяющей стороны, не имеющему группы правил, то Служба управления доступом не выдает маркер для веб-приложения или службы.

Все группы правил, настроенные в разделе Группы правил портала Служба управления доступом, отображаются в списке групп правил. Чтобы добавить группу правил в список, нажмите кнопку Группы правил.

При добавлении нового приложения проверяющей стороны на портале управления Служба управления доступом по умолчанию выбирается значение Создать новую группу правил. Настоятельно рекомендуется создать новую группу правил для нового приложения проверяющей стороны. Тем не менее можно связать приложение проверяющей стороны с существующей группой правил. Для этого очистите значение Создать новую группу правил и выберите нужную группу правил.

Можно связать приложение проверяющей стороны с более чем одной группой правил (и связать группу правил с более чем одним приложением проверяющей стороны). Если приложение проверяющей стороны связано с несколькими группами правил, Служба управления доступом рекурсивно оценивает правила во всех группах правил так, как если бы они принадлежали одной группе правил.

Дополнительные сведения о правилах и группах правил см. в разделе Группы правил и правила.

Свойство Параметры подписи маркеров указывает, как подписываются выдаваемые службой Служба управления доступом маркеры безопасности. Все маркеры, выданные Служба управления доступом, должны быть подписаны.

Доступные параметры подписи маркеров зависят от формата маркеров приложения проверяющей стороны. (Подробнее о форматах маркеров см. в разделе Формат маркера.)

  • Маркеры SAML: использует сертификат X.509 для подписи маркеров.

  • Маркеры SWT: использует симметричный ключ для подписи маркеров.

  • Маркеры JWT: использует сертификат X.509 или симметричный ключ для подписи маркеров.

Параметры сертификата X.509. Для маркеров, подписанных с помощью сертификата X.509, доступны следующие параметры.

  • Использовать сертификат пространства имен службы (стандартно) — при выборе этого варианта служба Служба управления доступом использует сертификат для Пространство имен Access Control, чтобы подписывать маркеры SAML 1.1 и SAML 2.0 для приложения проверяющей стороны. Используйте этот вариант при планировании автоматизации настройки веб-приложения или службы с использованием метаданных WS-Federation, так как открытый ключ пространства имен опубликован в метаданных WS-Federation для вашего Пространство имен Access Control. URL-адрес документа метаданных WS-Federation появится на странице Интеграция приложения портала управления Служба управления доступом.

  • Использовать выделенный сертификат — при выборе этого варианта служба Служба управления доступом использует сертификат конкретного приложения для того, чтобы подписывать маркеры SAML 1.1 и SAML 2.0 для приложения проверяющей стороны. Сертификат не используется для других приложений проверяющей стороны. После выбора этого параметра укажите сертификат X.509 с закрытым ключом (PFX-файл) и введите пароль для PFX-файла.

noteПримечание
Маркеры JWT. При настройке приложения проверяющей стороны с целью использования сертификата X.509 для пространства имен Access Control для подписи маркеров JWT для приложения проверяющей стороны, ссылки на сертификат пространства имен Access Control и ключ пространства имен Access Control отображаются на странице приложения проверяющей стороны на портале управления ACS. При этом Служба управления доступом использует для подписи токенов приложения проверяющей стороны только сертификат пространства имен.

Управляемые пространства имен. При добавлении приложения проверяющей стороны к управляемому пространству имен, например к пространству имен служебной шины, не вводите сертификаты или ключи, предназначенные для конкретного приложения. Вместо этого выберите такие параметры, при которых служба Служба управления доступом будет использовать сертификаты и ключи, настроенные для всех приложений в управляемом пространстве имен. Дополнительные сведения см. в разделе Управляемые пространства имен.

Подробнее об общих и предназначенных для конкретного приложения сертификатах и ключах см. в разделе Сертификаты и ключи.

Параметры симметричного ключа

В целях безопасности рекомендуется создавать отдельные симметричные ключи, предназначенные для каждого конкретного приложения проверяющей стороны, а не использовать общий симметричный ключ для Пространство имен Access Control. Если вы создаете или вводите симметричный ключ для конкретного приложения, служба Служба управления доступом использует его для подписи маркеров для приложения проверяющей стороны до тех пор, пока этот ключ действителен. Если ключ будет просрочен и не будет заменен, Служба управления доступом будет использовать общий симметричный ключ пространства имен для подписывания маркеров приложения проверяющей стороны.

Если вы решите использовать общий симметричный ключ, скопируйте значения для ключа пространства имен службы со страницы Сертификаты и ключи и вставьте их в поля раздела Подписывание маркеров страницы Приложения проверяющей стороны.

Следующие параметры доступны для маркеров, подписанных с помощью симметричного ключа.

  • Ключ подписи маркера — введите 256-разрядный симметричный ключ или нажмите Создать для создания 256-разрядного симметричного ключа.

  • Дата начала действия — определяет начальную дату диапазона дат, в пределах которого действует симметричный ключ. Начиная с этой даты Служба управления доступом использует симметричный ключ для подписывания маркеров для приложения проверяющей стороны. По умолчанию значение Служба управления доступом равно текущей дате.

  • Дата окончания действия — определяет конечную дату диапазона дат, в пределах которого действует симметричный ключ. Начиная с этой даты Служба управления доступом не использует симметричный ключ для подписывания маркеров для приложения проверяющей стороны. Значение по умолчанию отсутствует. По соображениям безопасности следует заменять симметричные ключи каждый год или каждые два года, в зависимости от требований приложения.

Параметр сертификата шифрования маркера определяет сертификат X.509 (CER-файл), используемый для шифрования маркеров для приложения проверяющей стороны. В Служба управления доступом можно шифровать только маркеры SAML 2.0 или SAML 1.1. Служба управления доступом не поддерживает шифрование маркеров SWT и JWT.

Сертификаты для шифрования маркеров можно указать в разделе Сертификаты и ключи портала Служба управления доступом. Если вы воспользуетесь ссылкой Щелкните здесь в разделе Политика шифрования маркеров страницы приложения проверяющей стороны, откроется страница Добавление сертификата шифрования маркеров раздела «Сертификаты и ключи». Эта страница служит для указания файла сертификата.

Дополнительные сведения см. в Политика шифрования маркеров. Подробнее о получении и добавлении сертификатов шифрования см. в разделе Сертификаты и ключи.

См. также

Основные понятия

Компоненты ACS 2.0

Добавления сообщества

ДОБАВИТЬ
Корпорация Майкрософт проводит интернет-опрос, чтобы выяснить ваше мнение о веб-сайте MSDN. Если вы желаете принять участие в этом интернет-опросе, он будет отображен при закрытии веб-сайта MSDN.

Вы хотите принять участие?
Показ:
© 2015 Microsoft