本文件已封存並已停止維護。

WS 同盟身分識別提供者

發佈時間: 2011年4月

更新日期: 2015年6月

適用於: Azure

WS 同盟身分識別提供者是支援 WS 同盟通訊協定,且使用 WS 同盟中繼資料在 Microsoft Azure Active Directory 存取控制服務 (也稱為「存取控制服務」或 ACS) 中設定的自訂身分識別提供者。WS 同盟身分識別提供者也可支援其他同盟通訊協定,例如 Ws-Trust。WS 同盟身分識別提供者最常用於網站和 Web 應用程式的案例;此時會利用 WS 同盟被動式要求者設定檔來加速執行透過網頁瀏覽器對 ACS 所做的進出重新導向。

是 WS 同盟身分識別提供者的常見範例。您可以使用它來整合您企業的 Active Directory 帳戶與 ACS。您必須已安裝 並使用至少一個「宣告提供者信任」(例如 Active Directory 網域服務 (AD DS)),才能加入 並將其設定為 ACS 中的身分識別提供者。如需詳細資訊,請參閱作法:將 AD FS 2.0 設定為身分識別提供者

當您使用 ACS 管理入口網站設定 WS 同盟身分識別提供者時,您必須輸入下列資料。

  • 顯示名稱 - 指定身分識別提供者的顯示名稱。這個名稱僅用於 ACS 管理入口網站。

  • WS 同盟中繼資料 — 包含與已建立的同盟服務有關的組態資訊 (同盟中繼資料,例如權杖和授權),以及用來存取這些服務的原則。當您在 ACS 中加入 WS 同盟身分識別提供者時,您必須輸入同盟中繼資料文件的 URL 或,或上傳 WS 同盟身分識別提供者之中繼資料文件的本機複本。

    Caution注意
    您僅應從信任的 WS 同盟身分識別提供者匯入 WS 同盟中繼資料。

    基於安全考量,強烈建議 WS 同盟身分識別提供者應在 HTTPS URL 上發行其同盟中繼資料文件。同時也建議使用 WS 同盟身分識別提供者僅應使用 HTTPS 權杖發行端點。

  • 登入連結文字 - 指定在 Web 應用程式的登入頁面上,針對此身分識別提供者顯示的文字。如需詳細資訊,請參閱登入頁面和主領域探索

  • 影像 URL (選擇性) - 建立 URL 與影像檔案 (例如,您選擇的標誌) 之間的關聯,您可以將之顯示為此身分識別提供者的登入連結。這個標誌會自動出現在您的 ACS 感知 Web 應用程式的預設登入頁面上,也會顯示在您 Web 應用程式的 JSON 摘要中 (您可以用它來提供自訂的登入頁面)。如果您沒有指定影像 URL,則此身分識別提供者的文字登入連結會顯示在您的 Web 應用程式登入頁面上。如果您有指定影像 URL,則強烈建議必須將它指向信任的來源 (例如您自己的網站或應用程式),並使用 HTTPS 來防止瀏覽器安全性警告發生。此外,在預設 ACS 主領域搜索頁面上,會自動調整寬度大於 240 像素、高度大於 40 像素的任何影像。建議您向 合作夥伴取得顯示此影像的權限。

  • 電子郵件網域名稱 (選擇性) — 若要提示使用者使用其電子郵件地址登入,您可以指定此身分識別提供者所主控的電子郵件網域尾碼。否則,請將此欄位保留為空白,以顯示直接登入連結。請使用分號分隔尾碼清單。如需詳細資訊,請參閱登入頁面和主領域探索

  • 信賴憑證者應用程式 - 指定要與此身分識別提供者建立關聯的所有現有信賴憑證者應用程式。如需詳細資訊,請參閱信賴憑證者應用程式

當身分識別提供者與信賴憑證者應用程式產生關聯後,必須產生該身分識別提供者的規則,並手動將規則新增到信賴憑證者應用程式的規則群組,才能完成設定。如需有關建立規則的詳細資訊,請參閱<規則群組和規則>。

當使用者通過身分識別提供者驗證之後,他們會收到已填入身分識別宣告的權杖。宣告是關於使用者的任何資訊,例如電子郵件位址或唯一 ID。ACS 可以將這些宣告直接傳遞到信賴憑證者應用程式或根據它們包含的值做出授權決定。

預設會使用符合 SAML 權杖規格的 URI 來唯一識別 ACS 中的宣告類型。這些 URI 也可以用來識別使用其他權杖格式的宣告。

WS 同盟身分識別提供者的可用宣告類型,取決於匯入 ACS 中的身分識別提供者 WS 同盟中繼資料。匯入完成之後,身分識別提供者的可用宣告類型即會顯示在 ACS 管理入口網站的 [編輯宣告規則] 頁面中。這些宣告類型也可透過 ACS 管理服務中的 ClaimType 實體來顯示。

除了可透過 WS 同盟中繼資料使用的宣告類型以外,ACS 一律會為每個 WS 同盟身分識別提供者發出下列宣告。

 

宣告類型 URI 說明

名稱識別碼

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

使用者帳戶的唯一識別碼,由身分識別提供者所提供。

身分識別提供者

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

ACS 提供的宣告,會告知信賴憑證者應用程式使用者是使用選取的身分識別提供者進行驗證。在 ACS 管理入口網站中,透過 [編輯身分識別提供者] 頁面的 [領域] 欄位可以看見此宣告的值。

note附註
WS 同盟身分識別提供者也可以向 ACS 發出身分識別提供者的 WS 同盟中繼資料文件中未明確列出的宣告型別。在此情況下,可用手動方式將預期的宣告類型 URI 輸入規則中,而不選取。如需規則的詳細資訊,請參閱規則群組和規則

WS 同盟身分識別提供者的 X.509 權杖簽署憑證會列在 ACS 管理入口網站中的身分識別提供者頁面上。請務必監視憑證,並確定它們是有效的,且在到期前加以更換。

若要檢視 WS 同盟身分識別提供者的憑證:

  1. 在 ACS 管理入口網站中,按一下 [身分識別提供者]。

  2. 按一下 WS 同盟身分識別提供者。

  3. 捲動至位於頁面底部的 [權杖簽署憑證] 區段。

如需為 WS 同盟身分識別提供者管理憑證的詳細資訊,請參閱 WS-Federation identity provider certificate

另請參閱

顯示: