Aplicativos de terceira parte confiável
Atualizado em: 19 de junho de 2015
Aplica-se ao Azure
Um aplicativo de terceira parte (também conhecido como um aplicativo com reconhecimento de declarações ou aplicativo baseado em declarações) é um aplicativo ou serviço que usa declarações para autenticação. Em Microsoft Azure Active Directory Controle de Acesso (também conhecido como serviço de Controle de Acesso ou ACS), um aplicativo de terceira parte confiável é um site, um aplicativo ou um serviço que usa o ACS para implementar a autenticação federada.
Você pode criar e configurar aplicativos de terceira parte confiável manualmente, usando o Portal de Gerenciamento do ACS ou programaticamente, usando o Serviço de Gerenciamento do ACS.
No Portal de Gerenciamento do ACS, o aplicativo de terceira parte confiável que você adiciona e configura é uma representação lógica do seu site, aplicativo ou serviço que confia em um namespace de Controle de Acesso específico. Você pode adicionar e configurar muitos aplicativos de terceira parte confiável em cada namespace Controle de Acesso.
Configurando no Portal de Gerenciamento do ACS
Você pode usar o Portal de Gerenciamento do ACS para configurar as seguintes propriedades de um aplicativo de terceira parte confiável:
Modo
URL de retorno e realm
URL de erro (opcional)
Formato do token
Política de criptografia do token
Tempo de vida do token
Provedores de Identidade
Grupos de regras
Assinatura de token
Criptografia de token
Modo
A propriedade Mode determina se você deve configurar as definições do seu aplicativo de terceira parte confiável manualmente ou especificar um documento de metadados do WS-Federation que define as configurações do aplicativo.
Um documento de metadados do WS-Federation normalmente contém um realm do aplicativo e uma URL de retorno. Ele também pode incluir um certificado de criptografia opcional que é usado para criptografar os tokens que o ACS emite para o aplicativo. Se um documento WS-Federation for especificado e os metadados contiverem um certificado de criptografia, a configuração da Política de Criptografia de Token será o padrão para Exigir Criptografia. Se o valor da configuração Política de Criptografia Token for Exigir Criptografia, mas o documento de metadados do WS-Federation não incluir um certificado de criptografia, você deve carregar um certificado de criptografia manualmente.
Se o seu aplicativo de terceira parte confiável for integrado com o Windows Identity Foundation (WIF), o WIF cria automaticamente um documento de metadados do WS-Federation para seu aplicativo.
URL de retorno e realm
A propriedade Realm define o URI no qual os tokens emitidos pelo ACS são válidos. A URL de Retorno (também conhecida como endereço ReplyTo) define a URL para a qual os tokens emitidos pelo ACS são enviados. Quando um token é solicitado para acesso ao aplicativo de terceira parte confiável, o ACS emite o token somente quando o realm na solicitação de token corresponde ao realm do aplicativo de terceira parte confiável.
Importante
No ACS, os valores realm diferenciam maiúsculas de minúsculas.
No Portal de Gerenciamento do ACS, você pode configurar apenas um realm e uma URL de retorno em cada namespace Controle de Acesso. No caso mais simples, o realm e a URL de retorno são idênticos. Por exemplo, se o URI raiz do seu aplicativo for https://contoso.com, a URL Realm e Return do aplicativo de terceira parte confiável será https://contoso.com.
Para configurar mais de uma URL de retorno (endereço ReplyTo) para um aplicativo de terceira parte confiável, use a entidade RelyingPartyAddress no Serviço de Gerenciamento do ACS.
Quando um token é solicitado do ACS ou um token é postado no ACS de um provedor de identidade, o ACS compara o valor realm na solicitação de token com os valores de realm para os aplicativos de terceira parte confiável. Se a solicitação de token usar WS-Federation protocolo, o ACS usará o valor realm no parâmetro wtrealm . Se o token usar o protocolo OAuth WRAP, o ACS usará o valor realm no parâmetro applies_to . Se o ACS encontrar um realm correspondente nas configurações de um aplicativo de terceira parte confiável, ele criará um token que autentica o usuário para o aplicativo de terceira parte confiável e envia o token para a URL de Retorno.
O processo é semelhante quando a terceira parte confiável tem mais de uma URL de Retorno. O ACS obtém a URL de redirecionamento do parâmetro wreply . Se a URL de redirecionamento for uma das URLs de Retorno para o aplicativo de terceira parte confiável, o ACS envia a resposta para essa URL.
Os valores realm diferenciam maiúsculas de minúsculas. O token é emitido somente se os valores de realm forem idênticos ou o valor de realm para o aplicativo de terceira parte confiável for um prefixo do realm na solicitação de token. Por exemplo, o valor realm do http://www.fabrikam.com aplicativo de terceira parte confiável corresponde a um valor realm de solicitação de token, http://www.fabrikam.com/billingmas não corresponde a um realm de solicitação de token v de https://fabrikam.com.
URL de erro (opcional)
A URL de Erro especifica uma URL para a qual o ACS redireciona os usuários se ocorrer um erro durante o processo de logon. Ela é uma propriedade opcional de aplicativo da terceira parte confiável.
O valor da URL de Erro pode ser uma página personalizada hospedada pelo aplicativo de terceira parte confiável, como http://www.fabrikam.com/billing/error.aspx. Como parte do redirecionamento, o ACS fornece detalhes sobre o erro para o aplicativo de terceira parte confiável como um parâmetro de URL HTTP codificado em JSON. A página de erro personalizada pode ser criada para interpretar as informações de erro codificadas em JSON para renderizar a mensagem real de erro e/ou exibir o texto de ajuda estático.
Para obter mais informações sobre o uso da URL de Erro, consulte Exemplo de Código: ASP.NET MVC Simples 2.
Formato do token
A propriedade de formato token determina o formato dos tokens que o ACS emite para o aplicativo de terceira parte confiável. O ACS pode emitir tokens SAML 2.0, SAML 1.1, SWT ou JWT. Para obter mais informações sobre formatos de token, consulte Formatos de token com suporte no ACS.
O ACS usa protocolos padrão para retornar os tokens a um aplicativo Web ou serviço. Quando há suporte para mais de um protocolo para um formato de token, o ACS usa o mesmo protocolo que foi usado para a solicitação de token. O ACS dá suporte às seguintes combinações de formato de token/protocolo:
O ACS pode retornar tokens SAML 2.0 usando protocolos WS-Trust e WS-Federation.
O ACS pode retornar tokens SAML 1.1 usando WS-Federation e protocolos de WS-Trust relacionados.
O ACS pode retornar tokens SWT usando protocolos WS-Federation, WS-Trust, OAuth-WRAP e OAuth 2.0.
O ACS pode emitir e retornar tokens JWT usando protocolos WS-Federation, WS-Trust e OAuth 2.0.
Para obter mais informações sobre protocolos padrão que o ACS usa, consulte Protocolos com suporte no ACS.
Ao escolher um formato de token, considere como seu namespace Controle de Acesso assina os tokens que ele emite. Todos os tokens emitidos pelo ACS devem ser assinados. Para obter mais informações, consulte Assinatura de Token.
Além disso, considere se você deseja que os tokens sejam criptografados. Para obter mais informações, consulte Política de Criptografia de Token.
Política de criptografia do token
A política de criptografia de token determina se os tokens que o ACS emite para o aplicativo de terceira parte confiável são criptografados. Para exigir criptografia, selecione o valor Exigir Criptografia.
No ACS, você pode configurar uma política de criptografia somente para tokens SAML 2.0 ou SAML 1.1. O ACS não dá suporte à criptografia dos tokens SWT ou JWT.
O ACS criptografa tokens SAML 2.0 e SAML 1.1 usando um certificado X.509 que contém uma chave pública (arquivo.cer). Esses tokens criptografados são, em seguida, descriptografados usando uma chave privada de aplicativo da terceira parte confiável. Para obter mais informações sobre como obter e usar certificados de criptografia, consulte Certificados e Chaves.
Configurar uma política de criptografia em seus tokens emitidos pelo ACS é opcional. No entanto, uma política de criptografia deve ser configurada quando seu aplicativo de terceira parte é um serviço da Web que usa tokens de prova de posse através do protocolo WS-Trust. Neste cenário específico não funcionar corretamente sem tokens criptografados.
Tempo de vida do token
A propriedade de tempo de vida do Token especifica o intervalo de tempo (em segundos) durante o qual o token de segurança que o ACS emite para o aplicativo de terceira parte confiável é válido. O valor padrão é 600 (10 minutos). No ACS, o valor de tempo de vida do token deve estar entre zero (0) e 86400 (24 horas) inclusive.
Provedores de Identidade
A propriedade Identity providers especifica os provedores de identidade que podem enviar solicitações ao aplicativo de terceira parte confiável. Esses provedores de identidade aparecem na página de logon do ACS para seu aplicativo Web ou serviço. Todos os provedores de identidade configurados na seção Provedores de identidade do portal do ACS aparecem na lista de provedores de identidade. Para adicionar um provedor de identidade à lista, clique em Provedores de identidade.
Cada aplicativo de terceira parte confiável pode ser associado com zero ou mais provedores de identidade. Os aplicativos de terceira parte confiável em um namespace Controle de Acesso podem ser associados ao mesmo provedor de identidade ou provedores de identidade diferentes. Se você não selecionar nenhum provedor de identidade para um aplicativo de terceira parte confiável, deverá configurar uma autenticação direta com ACS para o aplicativo de terceira parte confiável. Por exemplo, você pode usar as identidades de serviço para configurar uma autenticação direta. Para obter mais informações, consulte Identidades de Serviço.
Grupos de regras
A propriedade Rule groups propriedade determina quais regras o aplicativo da terceira parte confiável usa ao processar declarações.
Cada aplicativo de terceira parte confiável do ACS deve ser associado a pelo menos um grupo de regras. Se uma solicitação de token corresponder a um aplicativo de terceira parte confiável que não tem grupos de regras, o ACS não emitirá um token para o aplicativo Web ou serviço.
Todos os grupos de regras configurados na seção Grupos de regras do portal do ACS aparecem na lista de grupos de regras. Para adicionar um grupo de regras à lista, clique em Grupos de regras.
Quando você adiciona um novo aplicativo de terceira parte confiável no Portal de Gerenciamento do ACS, a opção Criar Novo Grupo de Regras é selecionada por padrão. É recomendável que você crie um novo grupo de regras para o seu novo aplicativo de terceira parte confiável. No entanto, você pode associar seu aplicativo de terceira parte confiável com um grupo de regras existente. Para fazer isso, desmarque a opção Criar Novo Grupo de Regras e selecione o grupo de regras desejado.
Você pode associar um aplicativo de terceira parte confiável com mais de um grupo de regras (e associar um grupo de regras a mais de um aplicativo de terceira parte confiável). Se um aplicativo de terceira parte confiável estiver associado a mais de um grupo de regras, o ACS avaliará recursivamente as regras em todos os grupos de regras como se fossem regras em um único grupo de regras.
Para obter mais informações sobre regras e grupos de regras, consulte Grupos de Regras e Regras.
Assinatura de token
A propriedade configurações de assinatura de token especifica como os tokens de segurança que o ACS emite são assinados. Todos os tokens emitidos pelo ACS devem ser assinados.
As opções de assinatura de tokens que estão disponíveis dependem do Formato do Token do aplicativo da terceira parte confiável. (Para obter mais informações sobre formatos de token, consulte Token Format.)
Tokens SAML: use um certificado X.509 para assinar tokens.
Tokens SWT: use uma chave simétrica para assinar tokens.
Tokens JWT: use um certificado X.509 ou uma chave simétrica para assinar tokens.
Opções de Certificado X.509. As seguintes opções estão disponíveis para tokens assinados com um certificado X.509.
Usar o certificado de namespace de serviço (padrão)— Se você selecionar essa opção, o ACS usará o certificado para o namespace Controle de Acesso para assinar tokens SAML 1.1 e SAML 2.0 para o aplicativo de terceira parte confiável. Use essa opção se você planeja automatizar a configuração do seu aplicativo Web ou serviço usando metadados WS-Federation, pois a chave pública do namespace é publicada nos metadados WS-Federation para o namespace Controle de Acesso. A URL do documento de metadados WS-Federation é exibida na página Integração de Aplicativos do Portal de Gerenciamento do ACS.
Usar certificado dedicado — se você selecionar essa opção, o ACS usará um certificado específico do aplicativo para assinar tokens SAML 1.1 e SAML 2.0 para o aplicativo de terceira parte confiável. O certificado não é usado para outros aplicativos de terceira parte confiável. Depois de selecionar essa opção, procure um certificado X.509 com uma chave privada (arquivo .pfx) e digite a senha para o arquivo .pfx.
Observação
Tokens JWT. Quando você configura um aplicativo de terceira parte confiável para usar o certificado X.509 para o namespace Controle de Acesso para assinar tokens JWT para um aplicativo de terceira parte confiável, links para o certificado do namespace Controle de Acesso e a chave de namespace Controle de Acesso aparecem na página do aplicativo de terceira parte confiável no Portal de Gerenciamento do ACS. No entanto, o ACS usa apenas o certificado de namespace para assinar tokens para o aplicativo de terceira parte confiável.
Namespaces gerenciados. Ao adicionar um aplicativo de terceira parte confiável a um namespace gerenciado, como um namespace do Barramento de Serviço, não insira chaves ou certificados (dedicados) específicos de aplicativo. Selecione as opções que direcionam o ACS a usar os certificados e as chaves que foram configurados para todos os aplicativos no namespace gerenciado. Para obter mais informações, consulte Namespaces GerenciadosPara obter mais informações sobre certificados e chaves compartilhados e dedicados, consulte Certificados e Chaves.
Opções de chave simétrica
Como prática recomendada de segurança, ao usar chaves simétricas, crie uma chave dedicada para cada aplicativo de terceira parte confiável, em vez de usar a chave simétrica compartilhada para o namespace Controle de Acesso. Se você inserir ou gerar uma chave dedicada, o ACS usará a chave dedicada para assinar tokens para o aplicativo de terceira parte confiável, desde que a chave dedicada seja válida. No entanto, se a chave dedicada expirar e não for substituída, o ACS usará a chave de namespace compartilhada para assinar tokens para o aplicativo de terceira parte confiável.
Se você optar por usar a chave simétrica compartilhada, copie os valores para a chave Namespace de Serviço da página Certificados e chaves e cole-os nos campos da seção Assinatura de Token da página Aplicativos de terceira parte confiável.
As seguintes opções estão disponíveis para tokens assinados com chaves simétricas.
Chave de assinatura de token– Insira uma chave simétrica de 256 bits ou clique em Gerar para gerar uma chave simétrica de 256 bits.
Data de efetivação— Especifica a data de início do intervalo de datas durante o qual a chave simétrica é válida. A partir desta data, o ACS usa a chave simétrica para assinar tokens para o aplicativo de terceira parte confiável. O valor padrão do ACS é a data atual.
Data de vencimento— Especifica a data de término do intervalo de datas durante o qual a chave simétrica é válida. A partir dessa data em diante, o ACS não usa a chave simétrica para assinar tokens para o aplicativo de terceira parte confiável. Nenhum valor padrão. Como prática recomendada de segurança, as chaves simétricas devem ser substituídas todo ano ou a cada dois anos, dependendo dos requisitos do aplicativo.
Criptografia de token
A opção de certificado de criptografia de token especifica o certificado X.509 (arquivo .cer) que é usado para criptografar tokens para o aplicativo de terceira parte confiável. No ACS, você pode criptografar apenas tokens SAML 2.0 ou SAML 1.1. O ACS não dá suporte à criptografia de tokens SWT ou JWT.
Especifique certificados para criptografia de token na seção Certificados e Chaves do portal do ACS. Quando você clica no link Clique aqui na seção Política de Criptografia de Token seção da página de aplicativo da terceira parte confiável, a página Adicionar Certificado de Criptografia de Token de Certificados e Chaves é aberta. Use esta página para especificar um arquivo de certificado.
Para obter mais informações, consulte Política de Criptografia de Token. Para obter mais informações sobre como obter e adicionar certificados de criptografia, consulte Certificados e Chaves.