Program från förlitande part
Uppdaterad: 19 juni 2015
Gäller för: Azure
Ett förlitande partprogram (även kallat ett anspråksmedvetent program eller anspråksbaserat program) är ett program eller en tjänst som förlitar sig på anspråk för autentisering. I Microsoft Azure Active Directory Access Control (även kallat Access Control Service eller ACS) är ett förlitande partprogram en webbplats, ett program eller en tjänst som använder ACS för att implementera federerad autentisering.
Du kan skapa och konfigurera förlitande partprogram manuellt med hjälp av ACS-hanteringsportalen eller programmatiskt med hjälp av ACS-hanteringstjänsten.
I ACS-hanteringsportalen är det förlitande partprogrammet som du lägger till och konfigurerar en logisk representation av webbplatsen, programmet eller tjänsten som litar på en specifik Access Control namnområde. Du kan lägga till och konfigurera många förlitande partprogram i varje Access Control namnområde.
Konfigurera i ACS-hanteringsportalen
Du kan använda ACS-hanteringsportalen för att konfigurera följande egenskaper för ett förlitande partprogram:
Läge
Sfär och retur-URL
Fel-URL (valfritt)
Tokenformat
Princip för tokenkryptering
Tokenlivstid
Identitetsprovidrar
Regelgrupper
Tokensignering
Tokenkryptering
Läge
Egenskapen Mode avgör om du konfigurerar programinställningarna för den förlitande parten manuellt eller anger ett WS-Federation metadatadokument som definierar programinställningarna.
Ett WS-Federation metadatadokument innehåller vanligtvis ett programs sfär och returnerar URL. Det kan också innehålla ett valfritt krypteringscertifikat som används för att kryptera de token som ACS utfärdar för programmet. Om ett WS-Federation dokument anges och metadata innehåller ett krypteringscertifikat är inställningen Tokenkrypteringsprincip standardinställningen Kräv kryptering. Om värdet för inställningen Tokenkrypteringsprincip är Kräv kryptering, men WS-Federation metadatadokumentet inte innehåller något krypteringscertifikat, måste du ladda upp ett krypteringscertifikat manuellt.
Om ditt förlitande partprogram är integrerat med Windows Identity Foundation (WIF) skapar WIF automatiskt ett WS-Federation metadatadokument för ditt program.
Sfär och retur-URL
Egenskapen Realm definierar den URI där token som utfärdats av ACS är giltiga. Retur-URL:en (kallas även ReplyTo-adress) definierar den URL som ACS-utfärdade token skickas till. När en token begärs för åtkomst till det förlitande partprogrammet utfärdar ACS token endast när sfären i tokenbegäran matchar sfären för det förlitande partprogrammet.
Viktigt
I ACS är sfärvärden skiftlägeskänsliga.
I ACS-hanteringsportalen kan du bara konfigurera en sfär och en retur-URL i varje Access Control namnområde. I det enklaste fallet är sfären och retur-URL:en identiska. Om till exempel rot-URI:n för ditt program är https://contoso.comär sfär- och retur-URL:en för det förlitande partprogrammet https://contoso.com.
Om du vill konfigurera mer än en retur-URL (ReplyTo-adress) för ett förlitande partprogram använder du entiteten RelyingPartyAddress i ACS-hanteringstjänsten.
När en token begärs från ACS eller en token publiceras till ACS från en identitetsprovider jämför ACS sfärvärdet i tokenbegäran med sfärvärdena för de förlitande partprogrammen. Om tokenbegäran använder WS-Federation protokoll använder ACS sfärvärdet i parametern wtrealm . Om token använder OAuth WRAP-protokollet använder ACS sfärvärdet i parametern applies_to . Om ACS hittar en matchande sfär i konfigurationsinställningarna för ett förlitande partprogram skapas en token som autentiserar användaren till det förlitande partprogrammet och skickar token till retur-URL:en.
Processen är densamma när den förlitande parten har mer än en retur-URL. ACS hämtar omdirigerings-URL:en från parametern wreply . Om omdirigerings-URL:en är en av retur-URL:erna för det förlitande partprogrammet skickar ACS svaret till url:en.
Sfärvärden är skiftlägeskänsliga. Token utfärdas endast om sfärvärdena är identiska eller om sfärvärdet för det förlitande partprogrammet är ett prefix för sfären i tokenbegäran. Till exempel matchar det förlitande partens programsfärvärde http://www.fabrikam.com ett sfärvärde http://www.fabrikam.com/billingför tokenbegäran på , men det matchar inte en tokenbegärans sfär v av https://fabrikam.com.
Fel-URL (valfritt)
Fel-URL:en anger en URL som ACS omdirigerar användare till om ett fel inträffar under inloggningsprocessen. Det är en valfri egenskap för det förlitande partprogrammet.
Värdet för fel-URL:en kan vara en anpassad sida som värdhanteras av det förlitande partprogrammet, till exempel http://www.fabrikam.com/billing/error.aspx. Som en del av omdirigeringen tillhandahåller ACS information om felet till det förlitande partprogrammet som en JSON-kodad HTTP URL-parameter. Den anpassade felsidan kan skapas för att tolka JSON-kodad felinformation, återge det faktiska felmeddelandet och/eller för att visa statisk hjälptext.
Mer information om fel-URL-användning finns i Kodexempel: ASP.NET Simple MVC 2.
Tokenformat
Egenskapen Tokenformat avgör formatet på de token som ACS har problem med för det förlitande partprogrammet. ACS kan utfärda SAML 2.0-, SAML 1.1-, SWT- eller JWT-token. Mer information om tokenformat finns i Tokenformat som stöds i ACS.
ACS använder standardprotokoll för att returnera token till ett webbprogram eller en webbtjänst. När mer än ett protokoll stöds för ett tokenformat använder ACS samma protokoll som användes för tokenbegäran. ACS stöder följande kombinationer av tokenformat/protokoll:
ACS kan returnera SAML 2.0-token med hjälp av WS-Trust och WS-Federation protokoll.
ACS kan returnera SAML 1.1-token med hjälp av WS-Federation och relaterade WS-Trust protokoll.
ACS kan returnera SWT-token med hjälp av protokollen WS-Federation, WS-Trust, OAuth-WRAP och OAuth 2.0.
ACS kan utfärda och returnera JWT-token med hjälp av protokollen WS-Federation, WS-Trust och OAuth 2.0.
Mer information om standardprotokoll som ACS använder finns i Protokoll som stöds i ACS.
När du väljer ett tokenformat bör du fundera på hur ditt Access Control namnområde signerar de token som det har problem med. Alla ACS-utfärdade token måste signeras. Mer information finns i Tokensignering.
Överväg också om du vill att token ska krypteras.. Mer information finns i Tokenkrypteringsprincip.
Princip för tokenkryptering
Tokenkrypteringsprincipen avgör om de token som ACS-problem har för det förlitande partprogrammet är krypterade. Om du vill kräva kryptering väljer du värdet Kräv kryptering .
I ACS kan du konfigurera en krypteringsprincip för ENDAST SAML 2.0- eller SAML 1.1-token. ACS stöder inte kryptering av SWT- eller JWT-token.
ACS krypterar SAML 2.0- och SAML 1.1-token med ett X.509-certifikat som innehåller en offentlig nyckel (.cer-fil). Dessa krypterade token dekrypteras sedan med hjälp av en privat nyckel som innehas av det förlitande partprogrammet. Mer information om hur du hämtar och använder krypteringscertifikat finns i Certifikat och nycklar.
Det är valfritt att konfigurera en krypteringsprincip för dina ACS-utfärdade token. En krypteringsprincip måste dock konfigureras när ditt förlitande partprogram är en webbtjänst som använder token för bevis på innehav via WS-Trust-protokollet. Det här scenariot fungerar inte korrekt utan krypterade token.
Tokenlivstid
Egenskapen Tokens livslängd anger det tidsintervall (i sekunder) under vilket den säkerhetstoken som ACS utfärdar till det förlitande partprogrammet är giltig. Standardvärdet är 600 (10 minuter). I ACS måste tokens livslängdsvärde vara mellan noll (0) och 86400 (24 timmar) inklusive.
Identitetsprovidrar
Egenskapen Identitetsprovidrar anger de identitetsprovidrar som kan skicka anspråk till det förlitande partprogrammet. Dessa identitetsprovidrar visas på ACS-inloggningssidan för ditt webbprogram eller din webbtjänst. Alla identitetsprovidrar som konfigurerats i avsnittet Identitetsprovidrar i ACS-portalen visas i identitetsproviderlistan. Om du vill lägga till en identifierarprovider i listan klickar du på Identitetsprovidrar.
Varje förlitande part-program kan associeras med noll eller flera identitetsprovidrar. De förlitande partprogrammen i ett Access Control namnområde kan associeras med samma identitetsprovider eller olika identitetsprovidrar. Om du inte väljer några identitetsprovidrar för ett förlitande partprogram måste du konfigurera en direkt autentisering med ACS för det förlitande partprogrammet. Du kan till exempel använda tjänstidentiteter för att konfigurera en direkt autentisering. Mer information finns i Tjänstidentiteter.
Regelgrupper
Egenskapen Regelgrupper avgör vilka regler som det förlitande partprogrammet använder när anspråk bearbetas.
Varje ACS-förlitande partprogram måste vara associerat med minst en regelgrupp. Om en tokenbegäran matchar ett förlitande part-program som inte har några regelgrupper utfärdar ACS inte en token till webbprogrammet eller tjänsten.
Alla regelgrupper som konfigurerats i avsnittet Regelgrupper i ACS-portalen visas i listan över regelgrupper. Om du vill lägga till en regelgrupp i listan klickar du på Regelgrupper.
När du lägger till ett nytt förlitande part-program i ACS-hanteringsportalen väljs alternativet Skapa ny regelgrupp som standard. Vi rekommenderar starkt att du skapar en ny regelgrupp för ditt nya förlitande part-program. Du kan dock associera ditt förlitande part-program med en befintlig regelgrupp. Det gör du genom att avmarkera alternativet Skapa ny regelgrupp och välja önskad regelgrupp.
Du kan associera ett förlitande part-program med mer än en regelgrupp (och associera en regelgrupp med fler än ett förlitande partprogram). Om ett förlitande part-program är associerat med fler än en regelgrupp utvärderar ACS rekursivt reglerna i alla regelgrupper som om de vore regler i en enda regelgrupp.
Mer information om regler och regelgrupper finns i Regelgrupper och Regler.
Tokensignering
Egenskapen Inställningar för tokensignering anger hur säkerhetstoken som ACS-problem signeras. Alla ACS-utfärdade token måste signeras.
Vilka alternativ för tokensignering som är tillgängliga beror på tokenformatet för det förlitande partprogrammet. (Mer information om tokenformat finns i Tokenformat.)
SAML-token: Använd ett X.509-certifikat för att signera token.
SWT-token: Använd en symmetrisk nyckel för att signera token.
JWT-token: Använd antingen ett X.509-certifikat eller en symmetrisk nyckel för att signera token.
Alternativ för X.509-certifikat. Följande alternativ är tillgängliga för token som signerats med ett X.509-certifikat.
Använd tjänstnamnområdescertifikat (standard) – Om du väljer det här alternativet använder ACS certifikatet för Access Control-namnområdet för att signera SAML 1.1- och SAML 2.0-token för det förlitande partprogrammet. Använd det här alternativet om du planerar att automatisera konfigurationen av ditt webbprogram eller din webbtjänst med hjälp av WS-Federation metadata, eftersom den offentliga namnrymdsnyckeln publiceras i WS-Federation metadata för ditt Access Control namnområde. URL:en för dokumentet WS-Federation metadata visas på sidan Programintegrering i ACS-hanteringsportalen.
Använd dedikerat certifikat – Om du väljer det här alternativet använder ACS ett programspecifikt certifikat för att signera SAML 1.1- och SAML 2.0-token för det förlitande partprogrammet. Certifikatet används inte för andra förlitande part-program. När du har valt det här alternativet bläddrar du efter ett X.509-certifikat med en privat nyckel (.pfx-fil) och anger sedan lösenordet för .pfx-filen.
Anteckning
JWT-token. När du konfigurerar ett förlitande part-program att använda X.509-certifikatet för Access Control-namnområdet för att signera JWT-token för ett förlitande partprogram, visas länkar till Access Control-namnområdescertifikatet och Access Control namnområdesnyckeln på sidan för det förlitande partprogrammet i ACS-hanteringsportalen. ACS använder dock endast namnområdescertifikatet för att signera token för det förlitande partprogrammet.
Hanterade namnområden. När du lägger till ett förlitande part-program i ett hanterat namnområde, till exempel ett Service Bus namnområde, ska du inte ange programspecifika (dedikerade) certifikat eller nycklar. Välj i stället de alternativ som uppmanar ACS att använda de certifikat och nycklar som har konfigurerats för alla program i det hanterade namnområdet. Mer information finns i Hanterade namnområdenMer information om delade och dedikerade certifikat och nycklar finns i Certifikat och nycklar.
Alternativ för symmetrisk nyckel
Vi rekommenderar att du skapar en dedikerad nyckel för varje förlitande parts program när du använder symmetriska nycklar i stället för att använda den delade symmetriska nyckeln för Access Control namnrymd. Om du anger eller genererar en dedikerad nyckel använder ACS dedikerad nyckel för att signera token för det förlitande partprogrammet så länge den dedikerade nyckeln är giltig. Men om den dedikerade nyckeln upphör att gälla och inte ersätts använder ACS den delade namnområdesnyckeln för att signera token för det förlitande partprogrammet.
Om du väljer att använda den delade symmetriska nyckeln kopierar du värdena för tjänstens namnområdesnyckel från sidan Certifikat och nycklar och klistrar in dem i fälten i avsnittet Tokensignering på programsidan för förlitande part .
Följande alternativ är tillgängliga för token som signerats med symmetriska nycklar.
Tokensigneringsnyckel – Ange en 256-bitars symmetrisk nyckel eller klicka på Generera för att generera en 256-bitars symmetrisk nyckel.
Effektivt datum – Anger startdatumet för datumintervallet då den symmetriska nyckeln är giltig. Från och med det här datumet använder ACS den symmetriska nyckeln för att signera token för det förlitande partprogrammet. ACS-standardvärdet är det aktuella datumet.
Förfallodatum – Anger slutdatumet för datumintervallet då den symmetriska nyckeln är giltig. Från och med det här datumet använder ACS inte den symmetriska nyckeln för att signera token för det förlitande partprogrammet. Det finns inget standardvärde. Som en säkerhetsmetod bör symmetriska nycklar ersättas varje år eller vartannat år, beroende på programmets krav.
Tokenkryptering
Alternativet för tokenkrypteringscertifikat anger X.509-certifikatet (.cer-filen) som används för att kryptera token för det förlitande partprogrammet. I ACS kan du endast kryptera SAML 2.0- eller SAML 1.1-token. ACS stöder inte kryptering av SWT- eller JWT-token.
Du anger certifikat för tokenkryptering i avsnittet Certifikat och nycklar i ACS-portalen. När du klickar på länken Klicka här i avsnittet Princip för tokenkryptering på programsidan för förlitande part öppnas sidan Lägg till tokenkrypteringscertifikat i Certifikat och nycklar. Använd den här sidan om du vill ange en certifikatfil.
Mer information finns i Policy för tokenkryptering. Mer information om hur du hämtar och lägger till krypteringscertifikat finns i Certifikat och nycklar.