此页面有用吗?
您对此内容的反馈非常重要。 请告诉我们您的想法。
更多反馈?
1500 个剩余字符
导出 (0) 打印
全部展开

WS 联合身份验证标识提供程序

发布时间: 2011年4月

更新时间: 2015年3月

应用到: Azure

WS 联合身份验证标识提供程序是支持 WS 联合身份验证协议的自定义标识提供程序,使用 WS 联合身份验证元数据在 Microsoft Azure Active Directory 访问控制(也称为访问控制服务或 ACS) 中配置。WS 联合身份验证标识提供程序也可能支持其他联合身份验证协议(如 WS 信任)。WS 联合身份验证标识提供程序在网站和 Web 应用程序方案中最常用,在这些方案中,WS 联合身份验证被动请求者配置文件有助于使用 Web 浏览器将必要的令牌重定向到 ACS 或从其重定向该令牌。

WS 联合身份验证标识提供程序的一个常见示例为 。你可以使用它将你的企业 Active Directory 帐户与 ACS 集成。必须先安装 并将其用于至少一个声明提供程序信任(如 Active Directory 域服务 (AD DS)),然后才能在 ACS 中将 添加和配置为标识提供程序。有关详细信息,请参阅操作方法:将 AD FS 2.0 配置为标识提供程序

使用 ACS 管理门户配置 WS 联合身份验证标识提供程序时,必须输入以下数据。

  • 显示名称 - 指定标识提供程序的显示名称。此名称仅在 ACS 管理门户中使用。

  • WS 联合身份验证元数据 - 包含有关已建立联合服务(如令牌和授权)以及用于访问这些服务的策略的配置信息(即联合元数据)。在 ACS 中添加 WS 联合身份验证标识提供程序时,必须输入联合元数据文档的 URL,或上载 WS 联合身份验证标识提供程序元数据文档的本地副本。

    Caution注意
    只能从信任的 WS 联合身份验证标识提供程序导入 WS 联合身份验证元数据。

    出于安全考虑,强烈建议 WS 联合身份验证标识提供程序在 HTTPS URL 上发布其联合元数据文档。同时,还建议 WS 联合身份验证标识提供程序仅使用 HTTPS 令牌颁发终结点。

  • 登录链接文本 — 指定在 Web 应用程序的登录页上为此标识提供程序显示的文本。有关详细信息,请参阅登录页与主领域发现

  • 图像 URL (可选) - 将 URL 与可显示为此标识提供程序的登录链接的图像文件(例如,所选的徽标)相关联。此徽标将自动显示在 ACS 感知 Web 应用程序的默认登录页上,以及可用来呈现自定义登录页的 Web 应用程序的 JSON 源中。如果你不指定图像 URL,则此标识提供程序的文本登录链接将显示在 Web 应用程序的登录页上。如果你指定了图像 URL,我们强烈建议使其指向受信任源(例如,你自己的网站或应用程序),并使用 HTTPS 防止出现浏览器安全警告。此外,任何宽度大于 240 像素、高度大于 40 像素的图像都会在默认的 ACS 主领域发现页上自动调整大小。建议从你的 合作伙伴获取权限以显示此图像。

  • 电子邮件域名(可选) - 若要提示用户使用其电子邮件地址登录,你可以指定由此标识提供程序托管的电子邮件域后缀。否则,将此字段留空以显示直接登录链接。使用分号分隔后缀列表。有关详细信息,请参阅登录页与主领域发现

  • 信赖方应用程序 - 指定要与此标识提供程序关联的所有现有信赖方应用程序。有关详细信息,请参阅信赖方应用程序

将标识提供程序与信赖方应用程序关联后,必须在信赖方应用程序的规则组中手动生成或添加该标识提供程序的规则才能完成配置。有关创建规则的详细信息,请参阅规则组和规则

在用户使用标识提供程序进行身份验证之后,他们将会收到一个填充了标识声明的令牌。声明是有关用户的信息片段,例如电子邮件地址或唯一 ID。ACS 可以直接将这些声明传递给信赖方应用程序,或者基于声明包含的值做出授权决策。

默认情况下,ACS 中的声明类型是使用 URI 唯一标识的,以遵从 SAML 令牌规范。这些 URI 也用于标识其他令牌格式的声明。

对于 WS 联合身份验证标识提供程序,可用的声明类型由导入到 ACS 的标识提供程序的 WS 联合身份验证元数据确定。完成导入后,可以在 ACS 管理门户的“编辑声明规则”页上查看可用于该标识提供程序的声明类型。这些声明类型还可以通过 ACS 管理服务中的 ClaimType 实体查看。

除通过 WS 联合身份验证元数据提供的声明类型之外,ACS 始终会为每个 WS 联合身份验证标识提供程序颁发以下声明。

 

声明类型 URI 说明

名称标识符

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

标识提供程序提供的用户帐户的唯一标识符。

标识提供程序

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

ACS 提供的声明,用于向信赖方应用程序告知用户已使用选定的标识提供程序完成了身份验证。在 ACS 管理门户的“编辑标识提供程序”页的“领域”字段中,你可以看到此声明的值。

note备注
WS 联合身份验证标识提供程序也可以将声明类型颁发给未在该标识提供程序的 WS 联合身份验证元数据文档中明确列出的 ACS。在这种情况下,可以将预期声明类型 URI 手动输入到规则中(而不是进行选择)。有关规则的详细信息,请参阅规则组和规则

WS 联合身份验证标识提供程序的 X.509 令牌签名证书列在 ACS 管理门户中标识提供程序的对应页中。必须监视这些证书,确保它们有效,并在过期之前进行替换。

若要查看 WS 联合身份验证标识提供程序的证书,请执行以下操作:

  1. 在 ACS 门户中,单击“标识提供程序”。

  2. 单击该 WS 联合身份验证标识提供程序。

  3. 滚动到页底部的“令牌签名证书”部分。

有关管理 WS 联合身份验证标识提供程序证书的详细信息,请参阅 WS-Federation identity provider certificate

另请参阅

社区附加资源

显示:
© 2015 Microsoft