WS-Verbundidentitätsanbieter
Aktualisiert: 19. Juni 2015
Gilt für: Azure
WS-Federation Identitätsanbieter sind benutzerdefinierte Identitätsanbieter, die das WS-Federation Protokoll unterstützen und in Microsoft Azure Active Directory Access Control (auch als Access Control Service oder ACS bezeichnet) mit WS-Federation Metadaten konfiguriert werden. Ein WS-Verbundidentitätsanbieter unterstützt ggf. auch andere Verbundprotokolle, z. B. WS-Trust. WS-Federation Identitätsanbieter werden in Website- und Webanwendungsszenarien am häufigsten verwendet, wobei das WS-Federation passive Anforderungsprofil verwendet wird, um die erforderlichen Tokenumleitungen mithilfe eines Webbrowsers zu und von ACS zu erleichtern.
Microsoft Active Directory®-Verbunddienste 2.0 (Active Directory Federation Services, AD FS)
Ein gängiges Beispiel für einen WS-Verbundidentitätsanbieter ist . Sie können es verwenden, um Ihre Enterprise Active Directory-Konten mit ACS zu integrieren. Bevor Sie in ACS als Identitätsanbieter hinzufügen und konfigurieren können, müssen Sie mindestens eine Anspruchsanbietervertrauenswürdige Person installiert und arbeiten, z. B. Active Directory Domain Services (AD DS). Weitere Informationen finden Sie unter Vorgehensweise: Konfigurieren von AD FS 2.0 als Identitätsanbieter.
Konfiguration im ACS-Verwaltungsportal
Wenn Sie das ACS-Verwaltungsportal verwenden, um einen WS-Federation Identitätsanbieter zu konfigurieren, müssen Sie die folgenden Daten eingeben.
Anzeigename – Gibt den Anzeigenamen Ihres Identitätsanbieters an. Dieser Name wird nur im ACS-Verwaltungsportal verwendet.
WS-Verbund-Metadaten – enthält Konfigurationsinformationen (Verbundmetadaten) zu den eingerichteten Verbunddiensten, wie etwa Token und Autorisierung, und die Richtlinien für den Zugriff darauf. Wenn Sie einen WS-Federation Identitätsanbieter in ACS hinzufügen, müssen Sie die URL des Verbundmetadatendokuments eingeben oder eine lokale Kopie des Metadatendokuments für den WS-Federation Identitätsanbieter hochladen.
Warnung
Importieren Sie WS-Verbundmetadaten von einem WS-Verbundidentitätsanbieter, dem Sie vertrauen.
Aus Sicherheitsgründen wird empfohlen, dass der WS-Verbundidentitätsanbieter sein Verbund-Metadatendokument unter einer HTTPS-URL veröffentlicht. Es empfiehlt sich ferner, dass der WS-Verbundidentitätsanbieter nur HTTPS-Endpunkte zur Tokenausstellung verwendet.
Anmeldelinktext – Gibt den Text an, der für diesen Identitätsanbieter auf der Anmeldeseite Ihrer Webanwendung angezeigt wird. Weitere Informationen finden Sie unter Anmeldeseiten und Home Realm Discovery.
Bild-URL (optional) - Ordnet eine URL einer Bilddatei (z. B. einem Logo Ihrer Wahl) zu, die Sie als Anmeldelink für diesen Identitätsanbieter anzeigen können. Dieses Logo wird automatisch auf der Standardanmeldungsseite für Ihre ACS-bewusste Webanwendung sowie im JSON-Feed Ihrer Webanwendung angezeigt, mit dem Sie eine benutzerdefinierte Anmeldeseite rendern können. Wenn Sie keine Bild-URL angeben, wird ein Textanmeldelink für diesen Identitätsanbieter auf der Anmeldeseite Ihrer Webanwendung angezeigt. Wenn Sie eine Bild-URL angeben, wird dringend empfohlen, dass diese auf eine vertrauenswürdige Quelle verweist, z. B. auf Ihre eigene Website oder -anwendung, und dass HTTPS verwendet wird, um Sicherheitswarnungen des Browsers zu verhindern. Die Größe jedes Bilds, das breiter als 240 Pixel und höher als 40 Pixel ist, wird außerdem automatisch auf der Standardseite für die ACS-Startbereicherkennung angepasst. Es wird empfohlen, dass Sie die Berechtigung ihres Partners erhalten, um dieses Bild anzuzeigen.
E-Mail-Domänennamen (optional) – Wenn Benutzer aufgefordert werden sollen, die Anmeldung mithilfe ihrer E-Mail-Adresse auszuführen, können Sie die E-Mail-Domänensuffixe angeben, die von diesem Identitätsanbieter gehostet werden. Lassen Sie dieses Feld andernfalls leer, um einen direkten Anmeldelink anzuzeigen. Trennen Sie die Einträge in der Liste der Suffixe durch Semikolons voneinander. Weitere Informationen finden Sie unter Anmeldeseiten und Home Realm Discovery.
Anwendungen der vertrauenden Seite – Gibt alle vorhandenen Anwendungen der vertrauenden Seite an, die diesem Identitätsanbieter zugeordnet werden sollen. Weitere Informationen finden Sie unter "Vertrauende Parteianwendungen".
Nachdem ein Identitätsanbieter einer Anwendung der vertrauenden Seite zugeordnet wurde, müssen Regeln für diesen Identitätsanbieter generiert oder manuell der Regelgruppe der Anwendung der vertrauenden Seite hinzugefügt werden, um die Konfiguration abzuschließen. Weitere Informationen zum Erstellen von Regeln finden Sie unter Regelgruppen und Regeln.
Unterstützte Anspruchstypen
Nachdem ein Benutzer die Authentifizierung mit einem Identitätsanbieter ausgeführt hat, empfängt er ein Token, das Identitätsansprüche enthält. Ansprüche sind Teile von Informationen über den Benutzer, z. B. eine E-Mail-Adresse oder eine eindeutige ID. ACS kann diese Ansprüche direkt an die Anwendung der vertrauenden Partei übergeben oder Autorisierungsentscheidungen basierend auf den enthaltenen Werten treffen.
Standardmäßig werden Anspruchstypen in ACS mit einem URI für die Einhaltung der SAML-Tokenspezifikation eindeutig identifiziert. Diese URIs werden auch verwendet, um Ansprüche in anderen Tokenformaten zu identifizieren.
Bei WS-Federation Identitätsanbietern werden die verfügbaren Anspruchstypen durch die WS-Federation Metadaten für den Identitätsanbieter bestimmt, der in ACS importiert wird. Sobald der Import abgeschlossen ist, werden die für den Identitätsanbieter verfügbaren Anspruchstypen auf der Seite "Anspruchsregel bearbeiten " des ACS-Verwaltungsportals angezeigt. Diese Anspruchstypen werden auch über die ClaimType-Entität im ACS-Verwaltungsdienst sichtbar.
Neben den Anspruchstypen, die über WS-Federation Metadaten verfügbar sind, stellt ACS immer die folgenden Ansprüche für jeden WS-Federation Identitätsanbieter aus.
Anspruchstyp | URI | BESCHREIBUNG |
---|---|---|
Namensbezeichner |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
Ein eindeutiger Bezeichner für das Benutzerkonto, der vom Identitätsanbieter bereitgestellt wird. |
Identitätsanbieter |
https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider |
Ein Anspruch von ACS, der die vertrauende Parteianwendung angibt, dass der Benutzer sich mit dem ausgewählten Identitätsanbieter authentifiziert hat. Der Wert dieses Anspruchs ist im ACS-Verwaltungsportal über das Bereichsfeld auf der Seite "Identitätsanbieter bearbeiten " sichtbar. |
Hinweis
WS-Federation Identitätsanbieter können auch Anspruchstypen an ACS ausstellen, die nicht explizit im WS-Federation Metadatendokument des Identitätsanbieters aufgeführt sind. In diesem Fall kann der erwartete Anspruchstyp-URI manuell in eine Regel eingegeben anstatt ausgewählt werden. Weitere Informationen zu Regeln finden Sie unter Regelgruppen und Regeln.
Verwalten von Zertifikaten
Die X.509-Tokensignaturzertifikate für einen WS-Federation Identitätsanbieter werden auf der Seite für den Identitätsanbieter im ACS-Verwaltungsportal aufgeführt. Es ist wichtig, die Zertifikate zu überwachen und sicherzustellen, dass sie in Kraft sind und vor dem Ablaufen ersetzt werden.
So zeigen Sie die Zertifikate für einen WS-Verbundidentitätsanbieter an:
Klicken Sie im ACS-Verwaltungsportal auf Identitätsanbieter.
Klicken Sie auf den WS-Verbundidentitätsanbieter.
Scrollen Sie zum Abschnitt Tokensignaturzertifikate unten auf der Seite.
Weitere Informationen zum Verwalten von Zertifikaten für WS-Federation Identitätsanbieter finden Sie im Zertifikat des WS-Verbundidentitätsanbieters.
Weitere Informationen
Konzepte
Identitätsanbieter
Verwaltungsrichtlinien für Zertifikate und Schlüssel