Aplikacje jednostki uzależnionej
Zaktualizowano: 19 czerwca 2015 r.
Dotyczy: Azure
Aplikacja jednostki uzależnionej (znana również jako aplikacja z obsługą oświadczeń lub aplikacja oparta na oświadczeniach) to aplikacja lub usługa, która opiera się na oświadczeniach uwierzytelniania. W Microsoft Azure Active Directory Access Control (znanej również jako usługa Access Control lub ACS) aplikacja jednostki uzależnionej jest witryną sieci Web, aplikacją lub usługą, która używa usługi ACS do implementowania uwierzytelniania federacyjnego.
Aplikacje jednostki uzależnionej można tworzyć i konfigurować ręcznie przy użyciu portalu zarządzania ACS lub programowo przy użyciu usługi ZARZĄDZANIA ACS.
W portalu zarządzania usługą ACS dodaną i skonfigurowaną aplikacją jednostki uzależnionej jest logiczną reprezentacją witryny sieci Web, aplikacji lub usługi, która ufa określonej przestrzeni nazw Access Control. W każdej Access Control przestrzeni nazw można dodawać i konfigurować wiele aplikacji jednostki uzależnionej.
Konfigurowanie w portalu zarządzania ACS
Portal zarządzania ACS umożliwia skonfigurowanie następujących właściwości aplikacji jednostki uzależnionej:
Tryb
Adres URL obszaru i zwrotu
Adres URL błędu (opcjonalnie)
Format tokenu
Zasady szyfrowania tokenów
Czas życia tokenu
Dostawcy tożsamości
Grupy reguł
Podpisywanie tokenu
Szyfrowanie tokenu
Tryb
Właściwość Mode określa, czy skonfigurować ustawienia aplikacji jednostki uzależnionej ręcznie, czy określić dokument metadanych WS-Federation definiujący ustawienia aplikacji.
Dokument metadanych WS-Federation zazwyczaj zawiera obszar aplikacji i zwracany adres URL. Może również zawierać opcjonalny certyfikat szyfrowania, który jest używany do szyfrowania tokenów, które problemy z usługą ACS dla aplikacji. Jeśli określono dokument WS-Federation i metadane zawierają certyfikat szyfrowania, ustawienie zasady szyfrowania tokenu domyślnie ma wartość Wymagaj szyfrowania. Jeśli wartość ustawienia Zasady szyfrowania tokenu ma wartość Wymagaj szyfrowania, ale dokument metadanych WS-Federation nie zawiera certyfikatu szyfrowania, musisz ręcznie przekazać certyfikat szyfrowania.
Jeśli aplikacja jednostki uzależnionej jest zintegrowana z programem Windows Identity Foundation (WIF), program WIF automatycznie tworzy dokument metadanych WS-Federation dla aplikacji.
Adres URL obszaru i zwrotu
Właściwość Obszar definiuje identyfikator URI, w którym tokeny wystawione przez usługę ACS są prawidłowe. Adres URL zwrotu (znany również jako adres ReplyTo) definiuje adres URL, do którego są wysyłane tokeny wystawione przez usługę ACS. Gdy token jest żądany w celu uzyskania dostępu do aplikacji jednostki uzależnionej, usługa ACS wystawia token tylko wtedy, gdy obszar w żądaniu tokenu jest zgodny z obszarem aplikacji jednostki uzależnionej.
Ważne
W usłudze ACS wartości obszaru są uwzględniane wielkości liter.
W portalu zarządzania acS można skonfigurować tylko jeden obszar i jeden zwracany adres URL w każdej Access Control przestrzeni nazw. W najprostszym przypadku obszar i adres URL zwracania są identyczne. Jeśli na przykład główny identyfikator URI aplikacji to https://contoso.com, adres URL obszaru i zwrotu aplikacji jednostki uzależnionej to https://contoso.com.
Aby skonfigurować więcej niż jeden zwracany adres URL (adres ReplyTo) dla aplikacji jednostki uzależnionej, użyj jednostki RelyingPartyAddress w usłudze zarządzania ACS.
Gdy token jest żądany z usług ACS lub token jest publikowany w usłudze ACS od dostawcy tożsamości, usługa ACS porównuje wartość obszaru w żądaniu tokenu do wartości obszaru dla aplikacji jednostki uzależnionej. Jeśli żądanie tokenu używa protokołu WS-Federation, usługa ACS używa wartości obszaru w parametrze wtrealm . Jeśli token używa protokołu OAuth WRAP, usługa ACS używa wartości obszaru w parametrze applies_to . Jeśli usługa ACS znajdzie pasujący obszar w ustawieniach konfiguracji aplikacji jednostki uzależnionej, tworzy token, który uwierzytelnia użytkownika w aplikacji jednostki uzależnionej i wysyła token do adresu URL zwracanego.
Proces jest podobny, gdy jednostka uzależniona ma więcej niż jeden zwracany adres URL. Usługa ACS pobiera adres URL przekierowania z wreply parametru. Jeśli adres URL przekierowania jest jednym z adresów URL zwracanych dla aplikacji jednostki uzależnionej, usługa ACS wysyła odpowiedź do tego adresu URL.
Wartości obszaru są uwzględniane w wielkości liter. Token jest wystawiany tylko wtedy, gdy wartości obszaru są identyczne lub wartość obszaru dla aplikacji jednostki uzależnionej jest prefiksem obszaru w żądaniu tokenu. Na przykład wartość obszaru aplikacji jednostki uzależnionej http://www.fabrikam.com jest zgodna z wartością obszaru żądania tokenu , http://www.fabrikam.com/billingale nie jest zgodna z obszarem żądania tokenu v .https://fabrikam.com
Adres URL błędu (opcjonalnie)
Adres URL błędu określa adres URL, do którego usługa ACS przekierowuje użytkowników, jeśli podczas procesu logowania wystąpi błąd. Jest to opcjonalna właściwość aplikacji jednostki uzależnionej.
Wartość adresu URL błędu może być niestandardową stroną hostowaną przez aplikację jednostki uzależnionej, taką jak http://www.fabrikam.com/billing/error.aspx. W ramach przekierowania usługa ACS dostarcza szczegółowe informacje o błędzie aplikacji jednostki uzależnionej jako parametr adresu URL HTTP zakodowanego w formacie JSON. Niestandardowa strona błędu może zostać spreparowana w celu zinterpretowania informacji o błędzie zakodowanych w formacie JSON, renderowania rzeczywistego komunikatu o błędzie i/lub wyświetlania statycznego tekstu pomocy.
Aby uzyskać więcej informacji na temat użycia adresu URL błędu, zobacz Przykład kodu: ASP.NET Simple MVC 2.
Format tokenu
Właściwość Format tokenu określa format tokenów, które problemy z usługą ACS dla aplikacji jednostki uzależnionej. Usługa ACS może wystawiać tokeny SAML 2.0, SAML 1.1, SWT lub JWT. Aby uzyskać więcej informacji na temat formatów tokenów, zobacz Formaty tokenów obsługiwane w usłudze ACS.
Usługa ACS używa standardowych protokołów do zwracania tokenów do aplikacji internetowej lub usługi. Jeśli dla formatu tokenu jest obsługiwany więcej niż jeden protokół, usługa ACS używa tego samego protokołu, który był używany do żądania tokenu. Usługa ACS obsługuje następujące kombinacje formatu/protokołu tokenu:
Usługa ACS może zwracać tokeny SAML 2.0 przy użyciu protokołów WS-Trust i WS-Federation.
Usługa ACS może zwracać tokeny SAML 1.1 przy użyciu WS-Federation i powiązanych protokołów WS-Trust.
Usługa ACS może zwracać tokeny SWT przy użyciu protokołów WS-Federation, WS-Trust, OAuth-WRAP i OAuth 2.0.
Usługa ACS może wystawiać i zwracać tokeny JWT przy użyciu protokołów WS-Federation, WS-Trust i OAuth 2.0.
Aby uzyskać więcej informacji na temat standardowych protokołów używanych przez usługę ACS, zobacz Protokoły obsługiwane w usłudze ACS.
Podczas wybierania formatu tokenu należy wziąć pod uwagę sposób, w jaki Access Control przestrzeni nazw podpisuje tokeny, które występują. Wszystkie wystawione przez usługę ACS tokeny muszą być podpisane. Aby uzyskać więcej informacji, zobacz Podpisywanie tokenu.
Należy również rozważyć, czy tokeny mają być szyfrowane. Aby uzyskać więcej informacji, zobacz Zasady szyfrowania tokenów.
Zasady szyfrowania tokenów
Zasady szyfrowania tokenów określają, czy tokeny, które problemy z usługą ACS dla aplikacji jednostki uzależnionej są szyfrowane. Aby wymagać szyfrowania, wybierz wartość Wymagaj szyfrowania .
W usłudze ACS można skonfigurować zasady szyfrowania tylko dla tokenów SAML 2.0 lub SAML 1.1. Usługa ACS nie obsługuje szyfrowania tokenów SWT ani JWT.
Usługa ACS szyfruje tokeny SAML 2.0 i SAML 1.1 przy użyciu certyfikatu X.509 zawierającego klucz publiczny (plik cer). Te zaszyfrowane tokeny są następnie odszyfrowywane przy użyciu klucza prywatnego posiadanego przez aplikację jednostki uzależnionej. Aby uzyskać więcej informacji na temat uzyskiwania i używania certyfikatów szyfrowania, zobacz Certyfikaty i klucze.
Konfigurowanie zasad szyfrowania w tokenach wystawionych przez usługę ACS jest opcjonalne. Jednak zasady szyfrowania należy skonfigurować, gdy aplikacja jednostki uzależnionej jest usługą internetową używającą tokenów dowodowych posiadania za pośrednictwem protokołu WS-Trust. Ten konkretny scenariusz nie działa prawidłowo bez zaszyfrowanych tokenów.
Czas życia tokenu
Właściwość Okres istnienia tokenu określa interwał czasu (w sekundach), podczas którego token zabezpieczający wystawiający usługę ACS aplikacji jednostki uzależnionej jest prawidłowy. Wartość domyślna to 600 (10 minut). W usłudze ACS wartość okresu istnienia tokenu musi należeć do zera (0) do 86400 (24 godziny) włącznie.
Dostawcy tożsamości
Właściwość Dostawcy tożsamości określa dostawców tożsamości, którzy mogą wysyłać oświadczenia do aplikacji jednostki uzależnionej. Ci dostawcy tożsamości są wyświetlani na stronie logowania acS dla aplikacji internetowej lub usługi. Wszyscy dostawcy tożsamości skonfigurowani w sekcji Dostawcy tożsamości portalu ACS są wyświetlani na liście dostawcy tożsamości. Aby dodać dostawcę identyfikacji do listy, kliknij pozycję Dostawcy tożsamości.
Każda aplikacja jednostki uzależnionej może być skojarzona z zero lub większą większa liczba dostawców tożsamości. Aplikacje jednostki uzależnionej w przestrzeni nazw Access Control mogą być skojarzone z tym samym dostawcą tożsamości lub różnymi dostawcami tożsamości. Jeśli nie wybierzesz żadnych dostawców tożsamości dla aplikacji jednostki uzależnionej, musisz skonfigurować bezpośrednie uwierzytelnianie za pomocą usługi ACS dla aplikacji jednostki uzależnionej. Można na przykład użyć tożsamości usługi do skonfigurowania bezpośredniego uwierzytelniania. Aby uzyskać więcej informacji, zobacz Tożsamości usługi.
Grupy reguł
Właściwość Grupy reguł określa reguły używane przez aplikację jednostki uzależnionej podczas przetwarzania oświadczeń.
Każda aplikacja jednostki uzależnionej ACS musi być skojarzona z co najmniej jedną grupą reguł. Jeśli żądanie tokenu jest zgodne z aplikacją jednostki uzależnionej, która nie ma grup reguł, usługa ACS nie wystawia tokenu aplikacji internetowej lub usługi.
Wszystkie grupy reguł skonfigurowane w sekcji Grupy reguł portalu ACS są wyświetlane na liście grup reguł. Aby dodać grupę reguł do listy, kliknij pozycję Grupy reguł.
Po dodaniu nowej aplikacji jednostki uzależnionej w portalu zarządzania USŁUGAMI ACS opcja Utwórz nową grupę reguł jest domyślnie zaznaczona. Zdecydowanie zaleca się utworzenie nowej grupy reguł dla nowej aplikacji jednostki uzależnionej. Można jednak skojarzyć aplikację jednostki uzależnionej z istniejącą grupą reguł. Aby to zrobić, wyczyść opcję Utwórz nową grupę reguł i wybierz odpowiednią grupę reguł.
Aplikację jednostki uzależnionej można skojarzyć z więcej niż jedną grupą reguł (i skojarzyć grupę reguł z więcej niż jedną aplikacją jednostki uzależnionej). Jeśli aplikacja jednostki uzależnionej jest skojarzona z więcej niż jedną grupą reguł, usługa ACS cyklicznie ocenia reguły we wszystkich grupach reguł tak, jakby były regułami w jednej grupie reguł.
Aby uzyskać więcej informacji na temat reguł i grup reguł, zobacz Reguły i grupy reguł.
Podpisywanie tokenu
Właściwość Ustawienia podpisywania tokenu określa sposób podpisywania tokenów zabezpieczających, które są podpisane przez usługę ACS. Wszystkie tokeny wystawione przez usługę ACS muszą być podpisane.
Dostępne opcje podpisywania tokenu zależą od formatu tokenu aplikacji jednostki uzależnionej. (Aby uzyskać więcej informacji na temat formatów tokenów, zobacz Format tokenu).
Tokeny SAML: użyj certyfikatu X.509 do podpisywania tokenów.
Tokeny SWT: użyj klucza symetrycznego do podpisywania tokenów.
Tokeny JWT: użyj certyfikatu X.509 lub klucza symetrycznego do podpisywania tokenów.
Opcje certyfikatu X.509. Następujące opcje są dostępne dla tokenów podpisanych przy użyciu certyfikatu X.509.
Użyj certyfikatu przestrzeni nazw usługi (standard) — w przypadku wybrania tej opcji usługa ACS używa certyfikatu dla przestrzeni nazw Access Control do podpisywania tokenów SAML 1.1 i SAML 2.0 dla aplikacji jednostki uzależnionej. Użyj tej opcji, jeśli planujesz zautomatyzować konfigurację aplikacji internetowej lub usługi przy użyciu metadanych WS-Federation, ponieważ klucz publiczny przestrzeni nazw jest publikowany w metadanych WS-Federation dla przestrzeni nazw Access Control. Adres URL dokumentu WS-Federation Metadata (Metadane) jest wyświetlany na stronie Integracja aplikacji w portalu zarządzania usługą ACS.
Użyj dedykowanego certyfikatu — w przypadku wybrania tej opcji usługa ACS używa certyfikatu specyficznego dla aplikacji do podpisywania tokenów SAML 1.1 i SAML 2.0 dla aplikacji jednostki uzależnionej. Certyfikat nie jest używany dla innych aplikacji jednostki uzależnionej. Po wybraniu tej opcji przejdź do certyfikatu X.509 z kluczem prywatnym (plik pfx), a następnie wprowadź hasło do pliku pfx.
Uwaga
Tokeny JWT. Podczas konfigurowania aplikacji jednostki uzależnionej do używania certyfikatu X.509 dla przestrzeni nazw Access Control do podpisywania tokenów JWT dla aplikacji jednostki uzależnionej linki do certyfikatu przestrzeni nazw Access Control i klucza przestrzeni nazw Access Control są wyświetlane na stronie aplikacji jednostki uzależnionej w portalu zarządzania ACS. Jednak usługa ACS używa tylko certyfikatu przestrzeni nazw do podpisywania tokenów dla aplikacji jednostki uzależnionej.
Zarządzane przestrzenie nazw. W przypadku dodawania aplikacji jednostki uzależnionej do zarządzanej przestrzeni nazw, takiej jak Service Bus przestrzeni nazw, nie należy wprowadzać certyfikatów ani kluczy specyficznych dla aplikacji. Zamiast tego wybierz opcje, które umożliwiają usługom ACS używanie certyfikatów i kluczy skonfigurowanych dla wszystkich aplikacji w zarządzanej przestrzeni nazw. Aby uzyskać więcej informacji, zobacz Zarządzane przestrzenie nazwAby uzyskać więcej informacji na temat udostępnionych i dedykowanych certyfikatów i kluczy, zobacz Certyfikaty i klucze.
Opcje klucza symetrycznego
Najlepszym rozwiązaniem w zakresie zabezpieczeń w przypadku używania kluczy symetrycznych jest utworzenie dedykowanego klucza dla każdej aplikacji jednostki uzależnionej zamiast używania klucza współużytkowanego symetrycznego dla przestrzeni nazw Access Control. Jeśli wprowadzisz lub wygenerujesz dedykowany klucz, usługa ACS używa dedykowanego klucza do podpisywania tokenów dla aplikacji jednostki uzależnionej, o ile dedykowany klucz jest prawidłowy. Jeśli jednak dedykowany klucz wygaśnie i nie zostanie zastąpiony, usługa ACS używa klucza współużytkowanej przestrzeni nazw do podpisywania tokenów dla aplikacji jednostki uzależnionej.
Jeśli zdecydujesz się na użycie klucza współużytkowanego symetrycznego, skopiuj wartości klucza przestrzeni nazw usługi ze strony Certyfikaty i klucze i wklej je w polach w sekcji Podpisywanie tokenu na stronie Aplikacje jednostki uzależnionej .
Następujące opcje są dostępne dla tokenów podpisanych przy użyciu kluczy symetrycznych.
Klucz podpisywania tokenu — wprowadź 256-bitowy klucz symetryczny lub kliknij przycisk Generuj , aby wygenerować 256-bitowy klucz symetryczny.
Data rozpoczęcia — określa datę początkową zakresu dat, w którym klucz symetryczny jest prawidłowy. Począwszy od tej daty usługa ACS używa klucza symetrycznego do podpisywania tokenów dla aplikacji jednostki uzależnionej. Wartość domyślna ACS to bieżąca data.
Data wygaśnięcia — określa datę końcową zakresu dat, w którym klucz symetryczny jest prawidłowy. Od tej daty usługa ACS nie używa klucza symetrycznego do podpisywania tokenów dla aplikacji jednostki uzależnionej. Nie ma żadnej wartości domyślnej. Najlepszym rozwiązaniem w zakresie zabezpieczeń klucze symetryczne powinny być zastępowane co roku lub co dwa lata, w zależności od wymagań aplikacji.
Szyfrowanie tokenu
Opcja certyfikatu szyfrowania tokenu określa certyfikat X.509 (plik cer), który jest używany do szyfrowania tokenów dla aplikacji jednostki uzależnionej. W usłudze ACS można szyfrować tylko tokeny SAML 2.0 lub SAML 1.1. Usługa ACS nie obsługuje szyfrowania tokenów SWT ani JWT.
Certyfikaty na potrzeby szyfrowania tokenów można określić w sekcji Certyfikaty i klucze w portalu USŁUGI ACS. Po kliknięciu linku Kliknij tutaj w sekcji Zasady szyfrowania tokenu na stronie aplikacji jednostki uzależnionej zostanie otwarta strona Dodawanie certyfikatu szyfrowania tokenu certyfikatów i kluczy. Użyj tej strony, aby określić plik certyfikatu.
Aby uzyskać więcej informacji, zobacz Zasady szyfrowania tokenów. Aby uzyskać więcej informacji na temat pobierania i dodawania certyfikatów szyfrowania, zobacz Certyfikaty i klucze.