Aplikasi Pihak yang Mengandalkan
Diperbarui: 19 Juni 2015
Berlaku Untuk: Azure
Aplikasi pihak yang mengandalkan (juga dikenal sebagai aplikasi yang sadar klaim atau aplikasi berbasis klaim) adalah aplikasi atau layanan yang bergantung pada klaim untuk autentikasi. Di Microsoft Azure Active Directory Access Control (juga dikenal sebagai Access Control Service atau ACS), aplikasi pihak yang mengandalkan adalah situs web, aplikasi, atau layanan yang menggunakan ACS untuk menerapkan autentikasi federasi.
Anda dapat membuat dan mengonfigurasi aplikasi pihak yang mengandalkan secara manual, dengan menggunakan Portal Manajemen ACS, atau secara terprogram, dengan menggunakan Layanan Manajemen ACS.
Di Portal Manajemen ACS, aplikasi pihak yang mengandalkan yang Anda tambahkan dan konfigurasikan adalah representasi logis dari situs web, aplikasi, atau layanan Anda yang mempercayai namespace layanan Access Control tertentu. Anda dapat menambahkan dan mengonfigurasi banyak aplikasi pihak yang mengandalkan di setiap namespace Access Control.
Mengonfigurasi di Portal Manajemen ACS
Anda dapat menggunakan Portal Manajemen ACS untuk mengonfigurasi properti berikut dari aplikasi pihak yang mengandalkan:
Mode
Realm dan URL Pengembalian
URL Kesalahan (opsional)
Token Format
Kebijakan Enkripsi Token
Masa Pakai Token
IdP
Grup Aturan
Penandatanganan Token
Enkripsi Token
Mode
Properti Mode menentukan apakah Anda mengonfigurasi pengaturan aplikasi pihak yang mengandalkan secara manual atau menentukan dokumen metadata WS-Federation yang menentukan pengaturan aplikasi.
Dokumen metadata WS-Federation biasanya berisi realm aplikasi dan URL pengembalian. Ini juga dapat mencakup sertifikat enkripsi opsional yang digunakan untuk mengenkripsi token yang menjadi masalah ACS untuk aplikasi. Jika dokumen WS-Federation ditentukan dan metadata berisi sertifikat enkripsi, pengaturan Kebijakan Enkripsi Token default ke Memerlukan Enkripsi. Jika nilai pengaturan Kebijakan Enkripsi TokenMemerlukan Enkripsi, tetapi dokumen metadata WS-Federation tidak menyertakan sertifikat enkripsi, Anda harus mengunggah sertifikat enkripsi secara manual.
Jika aplikasi pihak yang mengandalkan Anda terintegrasi dengan Windows Identity Foundation (WIF), WIF secara otomatis membuat dokumen metadata WS-Federation untuk aplikasi Anda.
Realm dan URL Pengembalian
Properti Realm menentukan URI di mana token yang dikeluarkan oleh ACS valid. URL Pengembalian (juga dikenal sebagai alamat ReplyTo) menentukan URL tempat token yang dikeluarkan ACS dikirim. Ketika token diminta untuk akses ke aplikasi pihak yang mengandalkan, ACS mengeluarkan token hanya ketika realm dalam permintaan token cocok dengan ranah aplikasi pihak yang mengandalkan.
Penting
Di ACS, nilai realm peka huruf besar/kecil.
Di Portal Manajemen ACS, Anda hanya dapat mengonfigurasi satu realm dan satu URL pengembalian di setiap namespace layanan Access Control. Dalam kasus yang paling sederhana, realm dan URL Pengembalian identik. Misalnya, jika URI akar aplikasi Anda adalah https://contoso.com, URL Realm dan Return dari aplikasi pihak yang mengandalkan adalah https://contoso.com.
Untuk mengonfigurasi lebih dari satu URL pengembalian (alamat ReplyTo) untuk aplikasi pihak yang mengandalkan, gunakan entitas RelyingPartyAddress di Layanan Manajemen ACS.
Ketika token diminta dari ACS atau token diposting ke ACS dari penyedia identitas, ACS membandingkan nilai realm dalam permintaan token dengan nilai realm untuk aplikasi pihak yang mengandalkan. Jika permintaan token menggunakan protokol WS-Federation, ACS menggunakan nilai realm ada di parameter wtrealm . Jika token menggunakan protokol OAuth WRAP, ACS menggunakan nilai realm dalam parameter applies_to . Jika ACS menemukan realm yang cocok dalam pengaturan konfigurasi untuk aplikasi pihak yang mengandalkan, ACS membuat token yang mengautentikasi pengguna ke aplikasi pihak yang mengandalkan dan mengirim token ke URL Pengembalian.
Prosesnya serupa ketika pihak yang mengandalkan memiliki lebih dari satu URL Pengembalian. ACS mendapatkan URL pengalihan dari parameter wreply . Jika URL pengalihan adalah salah satu URL Pengembalian untuk aplikasi pihak yang mengandalkan, ACS mengirimkan respons ke URL tersebut.
Nilai realm peka huruf besar/kecil. Token dikeluarkan hanya jika nilai realm identik atau nilai realm untuk aplikasi pihak yang mengandalkan adalah awalan dari realm dalam permintaan token. Misalnya, nilai http://www.fabrikam.com realm aplikasi pihak yang mengandalkan cocok dengan nilai http://www.fabrikam.com/billingrealm permintaan token , tetapi tidak cocok dengan realm permintaan token v dari https://fabrikam.com.
URL Kesalahan (opsional)
URL Kesalahan menentukan URL tempat ACS mengalihkan pengguna jika terjadi kesalahan selama proses masuk. Ini adalah properti opsional dari aplikasi pihak yang mengandalkan.
Nilai URL Kesalahan dapat menjadi halaman kustom yang dihosting oleh aplikasi pihak yang mengandalkan, seperti http://www.fabrikam.com/billing/error.aspx. Sebagai bagian dari pengalihan, ACS menyediakan detail tentang kesalahan ke aplikasi pihak yang mengandalkan sebagai parameter URL HTTP yang dikodekan JSON. Halaman kesalahan kustom dapat dibuat untuk menginterpretasikan informasi kesalahan yang dikodekan JSON, untuk merender pesan kesalahan aktual, dan/atau untuk menampilkan teks bantuan statis.
Untuk informasi selengkapnya tentang penggunaan URL Kesalahan, lihat Sampel Kode: ASP.NET Simple MVC 2.
Token Format
Properti Format token menentukan format token yang menjadi masalah ACS untuk aplikasi pihak yang mengandalkan. ACS dapat mengeluarkan token SAML 2.0, SAML 1.1, SWT, atau JWT. Untuk informasi selengkapnya tentang format token, lihat Format Token yang Didukung di ACS.
ACS menggunakan protokol standar untuk mengembalikan token ke aplikasi web atau layanan. Ketika lebih dari satu protokol didukung untuk format token, ACS menggunakan protokol yang sama yang digunakan untuk permintaan token. ACS mendukung kombinasi format/protokol token berikut:
ACS dapat mengembalikan token SAML 2.0 menggunakan protokol WS-Trust dan WS-Federation.
ACS dapat mengembalikan token SAML 1.1 menggunakan WS-Federation dan protokol WS-Trust terkait.
ACS dapat mengembalikan token SWT menggunakan protokol WS-Federation, WS-Trust, OAuth-WRAP, dan OAuth 2.0.
ACS dapat mengeluarkan dan mengembalikan token JWT menggunakan protokol WS-Federation, WS-Trust, dan OAuth 2.0.
Untuk informasi selengkapnya tentang protokol standar yang digunakan ACS, lihat Protokol yang Didukung di ACS.
Saat memilih format token, pertimbangkan bagaimana namespace Access Control Anda menandatangani token yang menjadi masalahnya. Semua token yang dikeluarkan ACS harus ditandatangani. Untuk informasi selengkapnya, lihat Penandatanganan Token.
Selain itu, pertimbangkan apakah Anda ingin token dienkripsi.. Untuk informasi selengkapnya, lihat Kebijakan Enkripsi Token.
Kebijakan Enkripsi Token
Kebijakan enkripsi Token menentukan apakah token yang menjadi masalah ACS untuk aplikasi pihak yang mengandalkan dienkripsi. Untuk memerlukan enkripsi, pilih nilai Wajibkan Enkripsi .
Di ACS, Anda hanya dapat mengonfigurasi kebijakan enkripsi untuk token SAML 2.0 atau SAML 1.1. ACS tidak mendukung enkripsi token SWT atau JWT.
ACS mengenkripsi token SAML 2.0 dan SAML 1.1 menggunakan sertifikat X.509 yang berisi kunci umum (file .cer). Token terenkripsi ini kemudian didekripsi dengan menggunakan kunci privat yang dimiliki oleh aplikasi pihak yang mengandalkan. Untuk informasi selengkapnya tentang mendapatkan dan menggunakan sertifikat enkripsi, lihat Sertifikat dan Kunci.
Mengonfigurasi kebijakan enkripsi pada token yang dikeluarkan ACS bersifat opsional. Namun, kebijakan enkripsi harus dikonfigurasi ketika aplikasi pihak yang mengandalkan Anda adalah layanan web yang menggunakan token bukti kepemilikan melalui protokol WS-Trust. Skenario khusus ini tidak berfungsi dengan baik tanpa token terenkripsi.
Masa Pakai Token
Properti Masa pakai Token menentukan interval waktu (dalam detik) di mana token keamanan yang mengeluarkan ACS ke aplikasi pihak yang mengandalkan valid. Nilai defaultnya adalah 600 (10 menit). Dalam ACS, nilai masa pakai token harus antara nol (0) dan 86400 (24 jam) inklusif.
IdP
Properti Penyedia identitas menentukan penyedia identitas yang dapat mengirim klaim ke aplikasi pihak yang mengandalkan. IdP ini muncul di halaman masuk ACS untuk aplikasi web atau layanan Anda. Semua penyedia identitas yang dikonfigurasi di bagian Penyedia identitas portal ACS muncul di daftar Penyedia Identitas. Untuk menambahkan penyedia identifikasi ke daftar, klik Penyedia identitas.
Setiap aplikasi pihak yang mengandalkan dapat dikaitkan dengan nol atau lebih penyedia identitas. Aplikasi pihak yang mengandalkan dalam namespace layanan Access Control dapat dikaitkan dengan penyedia identitas yang sama atau penyedia identitas yang berbeda. Jika Anda tidak memilih penyedia identitas apa pun untuk aplikasi pihak yang mengandalkan, Anda harus mengonfigurasi autentikasi langsung dengan ACS untuk aplikasi pihak yang mengandalkan. Misalnya, Anda dapat menggunakan identitas layanan untuk mengonfigurasi autentikasi langsung. Untuk informasi selengkapnya, lihat Identitas Layanan.
Grup Aturan
Properti Grup aturan menentukan aturan mana yang digunakan aplikasi pihak yang mengandalkan saat memproses klaim.
Setiap aplikasi pihak yang mengandalkan ACS harus dikaitkan dengan setidaknya satu grup aturan. Jika permintaan token cocok dengan aplikasi pihak yang mengandalkan yang tidak memiliki grup aturan, ACS tidak mengeluarkan token ke aplikasi web atau layanan.
Semua grup aturan yang dikonfigurasi di bagian Grup aturan portal ACS muncul di daftar grup aturan. Untuk menambahkan grup aturan ke daftar, klik Grup aturan.
Saat Anda menambahkan aplikasi pihak yang mengandalkan baru di Portal Manajemen ACS, opsi Buat Grup Aturan Baru dipilih secara default. Sangat disarankan agar Anda membuat grup aturan baru untuk aplikasi pihak yang mengandalkan baru Anda. Namun, Anda dapat mengaitkan aplikasi pihak yang mengandalkan dengan grup aturan yang ada. Untuk melakukannya, kosongkan opsi Buat Grup Aturan Baru dan pilih grup aturan yang diinginkan.
Anda dapat mengaitkan aplikasi pihak yang mengandalkan dengan lebih dari satu grup aturan (dan mengaitkan grup aturan dengan lebih dari satu aplikasi pihak yang mengandalkan). Jika aplikasi pihak yang mengandalkan dikaitkan dengan lebih dari satu grup aturan, ACS secara rekursif mengevaluasi aturan di semua grup aturan seolah-olah mereka adalah aturan dalam satu grup aturan.
Untuk informasi selengkapnya tentang aturan dan grup aturan, lihat Grup Aturan dan Aturan.
Penandatanganan Token
Properti Pengaturan penandatanganan token menentukan bagaimana token keamanan yang masalah ACS ditandatangani. Semua token yang dikeluarkan ACS harus ditandatangani.
Opsi penandatanganan token yang tersedia bergantung pada Format Token aplikasi pihak yang mengandalkan. (Untuk informasi selengkapnya tentang format token, lihat Format Token.)
Token SAML: Gunakan sertifikat X.509 untuk menandatangani token.
Token SWT: Gunakan kunci konten untuk menandatangani token.
Token JWT: Gunakan sertifikat X.509 atau kunci konten untuk menandatangani token.
Opsi Sertifikat X.509. Opsi berikut tersedia untuk token yang ditandatangani dengan sertifikat X.509.
Gunakan sertifikat namespace layanan (standar)—Jika Anda memilih opsi ini, ACS menggunakan sertifikat untuk namespace layanan Access Control untuk menandatangani token SAML 1.1 dan SAML 2.0 untuk aplikasi pihak yang mengandalkan. Gunakan opsi ini jika Anda berencana untuk mengotomatiskan konfigurasi aplikasi web atau layanan Anda menggunakan metadata WS-Federation, karena kunci publik namespace diterbitkan dalam metadata WS-Federation untuk namespace Access Control Anda. URL dokumen Metadata WS-Federation muncul di halaman Integrasi Aplikasi portal manajemen ACS.
Gunakan sertifikat khusus—Jika Anda memilih opsi ini, ACS menggunakan sertifikat khusus aplikasi untuk menandatangani token SAML 1.1 dan SAML 2.0 untuk aplikasi pihak yang mengandalkan. Sertifikat tidak digunakan untuk aplikasi pihak yang mengandalkan lainnya. Setelah Anda memilih opsi ini, telusuri sertifikat X.509 dengan kunci privat (file.pfx) lalu masukkan kata sandi untuk file .pfx.
Catatan
Token JWT. Saat Anda mengonfigurasi aplikasi pihak yang mengandalkan untuk menggunakan sertifikat X.509 untuk namespace Access Control untuk menandatangani token JWT untuk aplikasi pihak yang mengandalkan, tautan ke sertifikat namespace Access Control dan kunci namespace Access Control muncul di halaman untuk aplikasi pihak yang mengandalkan di Portal Manajemen ACS. Namun, ACS hanya menggunakan sertifikat namespace layanan untuk menandatangani token untuk aplikasi pihak yang mengandalkan.
Namespace Terkelola. Saat Anda menambahkan aplikasi pihak yang mengandalkan ke namespace layanan terkelola, seperti namespace Bus Layanan, jangan masukkan sertifikat atau kunci khusus aplikasi (khusus). Sebagai gantinya, pilih opsi yang mengarahkan ACS untuk menggunakan sertifikat dan kunci yang dikonfigurasi untuk semua aplikasi di namespace layanan terkelola. Untuk informasi selengkapnya, lihat Namespace TerkelolaUntuk informasi selengkapnya tentang sertifikat dan kunci bersama dan khusus, lihat Sertifikat dan Kunci.
Opsi kunci konten
Sebagai praktik terbaik keamanan, saat menggunakan kunci konten, buat kunci khusus untuk setiap aplikasi pihak yang mengandalkan, alih-alih menggunakan kunci konten bersama untuk namespace Access Control. Jika Anda memasukkan atau membuat kunci khusus, ACS menggunakan kunci khusus untuk menandatangani token untuk aplikasi pihak yang mengandalkan selama kunci khusus valid. Namun, jika kunci khusus kedaluwarsa dan tidak diganti, ACS menggunakan kunci namespace bersama untuk menandatangani token untuk aplikasi pihak yang mengandalkan.
Jika Anda memilih untuk menggunakan kunci konten bersama, salin nilai untuk kunci Namespace Layanan dari halaman Sertifikat dan kunci dan tempelkan ke bidang di bagian Penandatanganan Token di halaman Aplikasi pihak yang Mengandalkan .
Opsi berikut tersedia untuk token yang ditandatangani dengan kunci konten.
Kunci penandatanganan token—Masukkan kunci konten 256-bit atau klik Buat untuk menghasilkan kunci konten 256-bit.
Tanggal berlaku—Menentukan tanggal mulai rentang tanggal di mana kunci konten valid. Dimulai pada tanggal ini, ACS menggunakan kunci konten untuk menandatangani token untuk aplikasi pihak yang mengandalkan. Nilai default ACS adalah tanggal saat ini.
Tanggal kedaluwarsa— Menentukan tanggal berakhir rentang tanggal di mana kunci konten valid. Mulai tanggal ini, ACS tidak menggunakan kunci konten untuk menandatangani token untuk aplikasi pihak yang mengandalkan. Tidak ada nilai default. Sebagai praktik terbaik keamanan, kunci konten harus diganti setiap tahun atau setiap dua tahun, tergantung pada persyaratan aplikasi.
Enkripsi Token
Opsi sertifikat enkripsi token menentukan sertifikat X.509 (file.cer) yang digunakan untuk mengenkripsi token untuk aplikasi pihak yang mengandalkan. Di ACS, Anda hanya dapat mengenkripsi token SAML 2.0 atau SAML 1.1. ACS tidak mendukung enkripsi token SWT atau JWT.
Anda menentukan sertifikat untuk enkripsi token di bagian Sertifikat dan Kunci portal ACS. Saat Anda mengklik tautan Klik di sini di bagian Kebijakan Enkripsi Token di halaman Aplikasi pihak yang Mengandalkan, halaman Tambahkan Sertifikat Enkripsi Token sertifikat dan Kunci terbuka. Gunakan halaman ini untuk menentukan file sertifikat.
Untuk informasi selengkapnya, lihat Kebijakan Enkripsi Token. Untuk informasi selengkapnya tentang mendapatkan dan menambahkan sertifikat enkripsi, lihat Sertifikat dan Kunci.