本文件已封存並已停止維護。

信賴憑證者應用程式

發佈時間: 2011年4月

更新日期: 2015年6月

適用於: Azure

信賴憑證者應用程式 (也稱為宣告感知應用程式宣告式應用程式) 是仰賴宣告進行驗證的應用程式或服務。在 Microsoft Azure Active Directory 存取控制服務 (也稱為「存取控制服務」或 ACS) 中,信賴憑證者應用程式是指網站、應用程式或使用 ACS 實作同盟驗證的服務。

您可以透過 ACS 管理入口網站以手動方式建立及設定信賴憑證者應用程式,或透過 ACS 管理服務以程式設計方式建立及設定信賴憑證者應用程式。

在 ACS 管理入口網站中,所新增及設定的信賴憑證者應用程式會是網站、應用程式或信任特定 存取控制命名空間 之服務的邏輯表示法。您可以在每個 存取控制命名空間 中新增及設定許多信賴憑證者應用程式。

您可以使用 ACS 管理入口網站來設定信賴憑證者應用程式的下列屬性:

[模式] 屬性會判斷您是以手動方式進行信賴憑證者應用程式設定,還是指定定義應用程式設定的 WS-同盟中繼資料文件。

WS-同盟中繼資料文件通常包含應用程式的領域和傳回 URL。它也可以包含選擇性的加密憑證,可用來加密 ACS 簽發給應用程式的權杖。如果指定 WS-同盟文件且中繼資料包含加密憑證,則 權杖加密原則 設定會預設為 [需要加密]。如果 [權杖加密原則] 設定的值是 [需要加密],但 WS-同盟中繼資料文件不包含加密憑證,則您必須手動上傳加密憑證。

如果信賴憑證者應用程式已與 Windows Identity Foundation (WIF) 整合,則 WIF 會自動建立應用程式的 WS-同盟中繼資料文件。

[領域] 屬性可定義在 ACS 所簽發權杖中的 URI 是有效的。[傳回 URL] (也稱為 ReplyTo 地址) 可定義 ACS 所簽發權杖的傳送目標 URL。要求存取信賴憑證者應用程式的權杖時,只有當權杖要求中的領域與信賴憑證者應用程式的領域相符時,ACS 才會簽發權杖。

Important重要事項
在 ACS 中,領域值會區分大小寫。

在 ACS 管理入口網站中,您可以在每個 存取控制命名空間 中只設定一個領域和一個傳回 URL。在最簡單的情況下,領域和傳回 URL 會完全相同。例如,如果應用程式的根 URI 是 https://contoso.com,信賴憑證者應用程式的領域和傳回 URL 是 https://contoso.com。

若要為信賴憑證者應用程式設定多個傳回 URL (ReplyTo 地址),請使用 ACS 管理服務中的 RelyingPartyAddress 實體。

當 ACS 要求權杖或身分識別提供者將權杖發佈至 ACS 時,ACS 會將權杖要求中的領域值與信賴憑證者應用程式的領域值進行比較。如果權杖要求使用 WS-同盟通訊協定,則 ACS 會使用 wtrealm 參數中的領域值。如果權杖使用 OAuth WRAP 通訊協定,則 ACS 會使用 applies_to 參數中的領域值。如果 ACS 在信賴憑證者應用程式的組態設定中找到相符的領域,則它會建立可向信賴憑證者應用程式驗證使用者的權杖,並將此權杖傳送至傳回 URL。

當信賴憑證者有多個傳回 URL 時,處理程序會十分類似。ACS 會從 wreply 參數中取得重新導向 URL。如果重新導向 URL 是信賴憑證者應用程式的其中一個傳回 URL,則 ACS 會將回應傳送至該 URL。

領域值會區分大小寫。只有當領域值完全相同,或信賴憑證者應用程式的領域值是權杖要求中領域的前置詞時,才會簽發權杖。例如,信賴憑證者應用程式領域值 http://www.fabrikam.com 與權杖要求領域值 http://www.fabrikam.com/billing 相符,但與權杖要求領域 http://fabrikam.com 不符。

[錯誤 URL] 可指定登入過程中發生錯誤時,ACS 要重新導向使用者的 URL。它是信賴憑證者應用程式的選擇性屬性。

[錯誤 URL] 值可以是信賴憑證者應用程式代管的自訂頁面,例如 http://www.fabrikam.com/billing/error.aspx。在重新導向過程中,ACS 會將錯誤的相關詳細資料,作為 JSON 編碼的 HTTP URL 參數提供給信賴憑證者應用程式。您可以製作自訂錯誤頁面,來解譯 JSON 編碼的錯誤資訊、轉譯實際錯誤訊息,和/或顯示靜態說明文字。

如需錯誤 URL 使用方式的詳細資訊,請參閱程式碼範例:ASP.NET 簡易 MVC 2

[權杖格式] 屬性可決定 ACS 簽發給信賴憑證者應用程式的權杖格式。ACS 可以簽發 SAML 2.0、SAML 1.1、SWT 或 JWT 權杖。如需權杖格式的詳細資訊,請參閱在 ACS 中支援的權杖格式

ACS 會使用標準通訊協定,將權杖傳回至 Web 應用程式或服務。當權杖格式支援多個通訊協定時,ACS 會使用權杖要求所使用的相同通訊協定。ACS 支援下列權杖格式/通訊協定組合:

  • ACS 可以使用 WS-Trust 和 WS-同盟通訊協定傳回 SAML 2.0 權杖。

  • ACS 可以使用 WS-同盟和相關的 WS-Trust 通訊協定傳回 SAML 1.1 權杖。

  • ACS 可以使用 WS-同盟、WS-Trust、OAuth-WRAP 和 OAuth 2.0 通訊協定傳回 SWT 權杖。

  • ACS 可以使用 WS-同盟、WS-Trust 和 OAuth 2.0 通訊協定簽發和傳回的 JWT 權杖。

如需 ACS 使用的標準通訊協定詳細資訊,請參閱 ACS 中支援的通訊協定

選擇權杖格式時,請考慮 存取控制命名空間 會如何簽署它所簽發的權杖。ACS 簽發的所有權杖都必須經過簽署。如需詳細資訊,請參閱權杖簽署

另外,請考慮是否要加密權杖。如需詳細資訊,請參閱權杖加密原則

[權杖加密原則] 可決定 ACS 簽發給信賴憑證者應用程式的權杖是否要經過加密。若要要求加密,請選取 [需要加密] 值。

在 ACS 中,您只可以設定 SAML 2.0 或 SAML 1.1 權杖的加密原則。ACS 不支援 SWT 或 JWT 權杖的加密。

ACS 會使用包含公開金鑰 (.cer 檔案) 的 X.509 憑證,來加密 SAML 2.0 和 SAML 1.1 權杖。接著,可以使用信賴憑證者應用程式所持有的私密金鑰來將這些加密權杖解密。如需取得及使用加密憑證的詳細資訊,請參閱憑證和金鑰

在 ACS-所簽發的權杖上設定加密原則是選擇性的。不過,當信賴憑證者應用程式是在 WS-Trust 通訊協定上使用持有證明權杖的 Web 服務時,您必須設定加密原則。在沒有加密權杖的情況下,這個特殊案例無法正常運作。

[權杖存留期] 屬性會為 ACS 簽發給信賴憑證者應用程式的安全性權杖,指定有效期的時間間隔 (以秒為單位)。預設值為 600 (10 分鐘)。在 ACS 中,權杖存留期的值必須介於零 (0) 到 86400 (24 小時) (含) 之間。

[身分識別提供者] 屬性會指定可傳送宣告給信賴憑證者應用程式的身分識別提供者。這些身分識別提供者會出現在 Web 應用程式或服務的 ACS 登入頁面。在 ACS入口網站的 [身分識別提供者] 區段中設定的所有身分識別提供者會出現在身分識別提供者清單中。若要將身分識別提供者新增至清單,請按一下 [身分識別提供者]。

每個信賴憑證者應用程式可以與零或多個身分識別提供者建立關聯。存取控制命名空間 中的信賴憑證者應用程式可以與相同的身分識別提供者或不同的身分識別提供者建立關聯。如果您沒有為信賴憑證者應用程式選取任何身分識別提供者,則您必須設定信賴憑證者應用程式在 ACS 中直接驗證。例如,您可以使用服務識別來設定直接驗證。如需詳細資訊,請參閱服務身分識別

[規則群組] 屬性可決定信賴憑證者應用程式在處理宣告時要使用哪些規則。

每個 ACS 信賴憑證者應用程式都必須至少與一個規則群組建立關聯。如果與權杖要求相符的信賴憑證者應用程式沒有規則群組,則 ACS 不會簽發權杖給 Web 應用程式或服務。

在 ACS 入口網站的 [規則群組] 區段中設定的所有規則群組會出現在規則群組清單中。若要將規則群組新增至清單,請按一下 [規則群組]。

當您在 ACS 管理入口網站中新增信賴憑證者應用程式時,依預設已選取 [建立新的規則群組] 選項。強烈建議您為新的信賴憑證者應用程式建立新的規則群組。不過,您可以為信賴憑證者應用程式與現有的規則群組建立關聯。若要這樣做,請清除 [建立新的規則群組] 選項,並選取所需的規則群組。

您可以為一個信賴憑證者應用程式與多個規則群組建立關聯 (並為一個規則群組與多個信賴憑證者應用程式建立關聯)。如果一個信賴憑證者應用程式與多個規則群組建立關聯,則 ACS 會以遞迴方式評估所有規則群組中的規則,就好像它們是單一規則群組中的規則一般。

如需規則與規則群組的詳細資訊,請參閱規則群組和規則

[權杖簽署設定] 屬性可指定如何簽署 ACS 所簽發的安全性權杖。ACS 簽發的所有權杖都必須經過簽署。

可用的權杖選項會視信賴憑證者應用程式的 [權杖格式] 而定。(如需權杖格式的詳細資訊,請參閱權杖格式。)

  • SAML 權杖:使用 X.509 憑證來簽署權杖。

  • SWT 權杖:使用對稱金鑰來簽署權杖。

  • JWT 權杖:使用 X.509 憑證或對稱金鑰來簽署權杖。

X.509 憑證選項。下列選項適用於使用 X.509 憑證簽署的權杖。

  • 使用服務命名空間憑證 (標準) - 如果選取此選項,ACS 會使用 存取控制命名空間 的憑證,來簽署信賴憑證者應用程式的 SAML 1.1 和 SAML 2.0 權杖。因為命名空間公開金鑰已發佈在 存取控制命名空間 的 WS-同盟中繼資料中,如果您打算使用 WS-同盟中繼資料來自動化 Web 應用程式或服務的組態,請使用此選項。WS-同盟中繼資料文件的 URL 會出現在 ACS 管理入口網站的 [應用程式整合] 頁面上。

  • 使用專用憑證 - 如果選取此選項,ACS 會使用應用程式特定的憑證,來簽署信賴憑證者應用程式的 SAML 1.1 和 SAML 2.0 權杖。此憑證無法用於其他信賴憑證者應用程式。選取此選項之後,請瀏覽尋找具有私密金鑰 (.pfx 檔案) 的 X.509 憑證,然後輸入此 .pfx 檔案的密碼。

note附註
JWT 權杖。當您設定信賴憑證者應用程式使用存取控制命名空間的 X.509 憑證來簽署信賴憑證者應用程式的 JWT 權杖時,存取控制命名空間憑證和存取控制命名空間金鑰的連結會出現在 ACS 管理入口網站中的信賴憑證者應用程式頁面上。不過,ACS 只會使用命名空間憑證來簽署信賴憑證者應用程式的權杖。

受管理的命名空間。當您將信賴憑證者應用程式新增至受管理的命名空間 (例如服務匯流排命名空間) 時,請勿輸入應用程式特定的 (專用) 憑證或金鑰。相反的,請選取選項,指示 ACS 使用為受管理的命名空間中所有應用程式所設定的憑證和金鑰。如需詳細資訊,請參閱<受管理的命名空間>。

如需共用與專用憑證和金鑰的詳細資訊,請參閱憑證和金鑰

對稱金鑰選項

使用對稱金鑰時,安全性最佳作法是為每個信賴憑證者應用程式建立專用金鑰,而不是使用 存取控制命名空間 的共用對稱金鑰。如果輸入或產生專用金鑰,只要專用金鑰還是有效狀態,ACS 便會使用專用金鑰來簽署信賴憑證者應用程式的權杖。不過,如果專用金鑰已過期且未被取代,ACS 便會使用共用命名空間金鑰來簽署信賴憑證者應用程式的權杖。

如果您選擇使用共用對稱金鑰,請複製 [憑證和金鑰] 頁面上 [服務命名空間] 金鑰的值,並將這些值貼入 [信賴憑證者應用程式] 頁面上 [權杖簽署] 區段中的欄位。

下列選項適用於使用對稱金鑰簽署的權杖。

  • 權杖簽署金鑰 - 輸入 256 位元的對稱金鑰,或按一下 [產生] 以產生 256 位元的對稱金鑰。

  • 生效日期 - 指定對稱金鑰有效日期範圍的開始日期。從這一天開始,ACS 便會使用對稱金鑰來簽署信賴憑證者應用程式的權杖。ACS 預設值是目前日期。

  • 到期日 - 指定對稱金鑰有效日期範圍的結束日期。這一天過後,ACS 便不會使用對稱金鑰來簽署信賴憑證者應用程式的權杖。沒有預設值。安全性最佳做法是應該每年或每兩年就更換對稱金鑰,視應用程式的需求而定。

權杖加密憑證選項會指定用來加密信賴憑證者應用程式權杖的 X.509 憑證 (.cer 檔案)。在 ACS 中,您只可以加密 SAML 2.0 或 SAML 1.1 權杖。ACS 不支援 SWT 或 JWT 權杖的加密。

您可以在 ACS 入口網站的 [憑證和金鑰] 區段中,指定權杖加密的憑證。當您在 [信賴憑證者應用程式] 頁面的 [權杖加密原則] 區段中按 [按一下這裡] 連結時,憑證和金鑰的 [新增權杖加密憑證] 頁面隨即開啟。使用此頁面來指定憑證檔案。

如需詳細資訊,請參閱權杖加密原則。如需取得及新增加密憑證的詳細資訊,請參閱憑證和金鑰

另請參閱

顯示: