Эта документация перемещена в архив и не поддерживается.

Поставщики удостоверений WS-Federation

Опубликовано: Апрель 2011 г.

Обновлено: Июнь 2015 г.

Назначение: Azure

Поставщики удостоверений WS-Federation — это поставщики пользовательских удостоверений, которые поддерживают протокол WS-Federation и настраиваются в Microsoft Azure Active Directory Access Control (также называется Access Control Service или ACS) с помощью метаданных WS-Federation. Поставщики удостоверений WS-Federation также могут поддерживать другие протоколы федерации, например WS-Trust. Поставщики удостоверений WS-Federation наиболее часто применяются в сценариях веб-сайтов и веб-приложений, в которых используется профиль пассивных инициаторов запроса WS-Federation для упрощения необходимых перенаправлений токенов в Служба управления доступом и обратно с помощью веб-браузера.

Распространенный пример поставщика удостоверений WS-Federation — . Его можно использовать для интеграции учетных записей Active Directory вашего предприятия с Служба управления доступом. Прежде чем можно будет добавить и настроить как поставщик удостоверений в Служба управления доступом, необходимо установить и настроить для работы по меньшей мере с одним отношением доверия поставщика утверждений, например доменными службами Active Directory (AD DS). Дополнительные сведения см. в Инструкции Настройка служб AD FS 2.0 в качестве поставщика удостоверений.

При использовании портала управления Служба управления доступом для настройки поставщика удостоверений WS-Federation необходимо ввести следующие данные.

  • Отображаемое имя — указывает отображаемое имя поставщика удостоверений. Это имя используется только на портале управления Служба управления доступом.

  • Метаданные WS-Federation — содержат сведения о конфигурации (метаданные федерации) установленных федеративных служб, таких как токены и авторизация, а также политики для доступа к ним. При добавлении поставщика удостоверений WS-Federation в Служба управления доступом необходимо ввести URL-адрес документа метаданных федерации или отправить локальную копию документа метаданных для поставщика удостоверений WS-Federation.

    CautionВнимание!
    Импортируйте метаданные WS-Federation только из поставщика удостоверений WS-Federation, которому вы доверяете.

    По соображениям безопасности настоятельно рекомендуется, чтобы поставщик удостоверений WS-Federation публиковал свой документ метаданных федерации по URL-адресу HTTPS. Также рекомендуется, чтобы поставщик удостоверений WS-Federation использовал только конечные точки HTTPS с выдачей токена.

  • Текст ссылки для входа — здесь указывается текст, который отображается для поставщика удостоверений на странице входа вашего веб-приложения. Дополнительные сведения см. в Страницы входа и обнаружение домашней области.

  • URL-адрес изображения (необязательно) — связывает URL-адрес с файлом изображения (например, логотипом), которое может отображаться в качестве ссылки для входа с использованием этого поставщика удостоверений. Этот логотип автоматически отображается на странице входа веб-приложения Служба управления доступом, используемой по умолчанию, а также в JSON-канале веб-приложения, который можно использовать для отображения настраиваемой страницы входа. Если не указать URL-адрес изображения, то на странице входа веб-приложения отображается текстовая ссылка на поставщик удостоверений. Если URL-адрес изображения указан, настоятельно рекомендуется сделать так, чтобы он указывал на надежный источник, например ваш собственный веб-сайт или веб-приложение, и использовал протокол HTTPS во избежание появления предупреждений подсистемы безопасности браузера. Кроме того, изображения размером больше 240 пикселей в ширину и 40 пикселей в длину автоматически масштабируются на странице обнаружения домашней области ACS по умолчанию. Рекомендуется получить разрешение от вашего партнера для отображения этого изображения.

  • Имена доменов электронной почты (необязательно) — пользователям предлагается выполнить вход, используя свой адрес электронной почты. Можно указать суффиксы доменов электронной почты, размещенные этим поставщиком удостоверений. Оставьте это поле пустым, чтобы отобразить прямую ссылку для входа. Используйте точку с запятой для разделения списка суффиксов. Дополнительные сведения см. в Страницы входа и обнаружение домашней области.

  • Приложения проверяющей стороны — указывает все имеющиеся приложения проверяющей стороны, которые следует связать с данным поставщиком удостоверений. Дополнительные сведения см. в Приложения проверяющей стороны.

После связывания поставщика удостоверений с приложением проверяющей стороны следует автоматически или вручную добавить правила для этого поставщика в группу правил приложения, чтобы завершить настройку. Дополнительные сведения о создании правил см. в разделе Группы правил и правила.

Когда пользователь проходит проверку подлинности, используя поставщик удостоверений, он получает маркер с утверждениями удостоверения. Утверждения — это сведения о пользователе, например адрес электронной почты или уникальный идентификатор. Служба управления доступом может передавать утверждения напрямую приложению проверяющей стороны или самостоятельно принимать решения об авторизации, исходя из содержащихся в них значений.

По умолчанию типы утверждений в Служба управления доступом уникальным образом идентифицируются по URI для обеспечения совместимости со спецификацией токенов SAML. Эти URI также используются для идентификации утверждений в других форматах токенов.

Типы доступных утверждений для поставщиков удостоверений WS-Federation определяются метаданными WS-Federation для поставщика удостоверений, которые импортируются в Служба управления доступом. После завершения импорта типы утверждений, доступные для поставщика удостоверений, видны на странице Изменение правила утверждения портала управления Служба управления доступом. Эти типы утверждений также доступны через сущность ClaimType в службе управления Служба управления доступом.

В дополнение к типам утверждений, доступным через метаданные WS-Federation, Служба управления доступом всегда выдает следующи�� утверждения для каждого поставщика удостоверений WS-Federation.

 

Тип утверждения URI Описание

Идентификатор имени

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Уникальный идентификатор учетной записи пользователя, предоставляемый поставщиком удостоверений.

Поставщик удостоверений

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Утверждение, предоставленное Служба управления доступом, которое сообщает приложению проверяющей стороны о том, что проверка подлинности пользователя осуществляется с помощью выбранного поставщика удостоверений. Значение этого утверждения можно найти на портале управления Служба управления доступом в поле Область на странице Изменение поставщика удостоверений.

noteПримечание
Поставщики удостоверений WS-Federation могут также выдавать типы утверждений для Служба управления доступом, которые не указаны явным образом в документе метаданных поставщика удостоверений WS-Federation. В этом случае URI ожидаемого типа утверждений может быть введен вручную в правило вместо выбранного. Дополнительные сведения о правилах см. в разделе Группы правил и правила.

Сертификаты подписывания токенов X.509 для поставщика удостоверений WS-Federation перечислены на странице для поставщика удостоверений на портале управления Служба управления доступом. Важно отслеживать сертификаты и гарантировать их действие, а также их замену до истечения срока действия.

Просмотр сертификатов для поставщика удостоверений WS-Federation

  1. На портале управления Служба управления доступом выберите пункт Поставщики удостоверений.

  2. Щелкните поставщик удостоверений WS-Federation.

  3. Перейдите к разделу Сертификаты для подписи токенов в нижней части страницы.

Дополнительные сведения об управлении сертификатами для поставщиков удостоверений WS-Federation см. в разделе WS-Federation identity provider certificate.

См. также

Показ: