Dela via

WS-Federation identitetsprovidrar

  • Artikel

Uppdaterad: 19 juni 2015

Gäller för: Azure

WS-Federation identitetsprovidrar är anpassade identitetsprovidrar som stöder WS-Federation-protokollet och som konfigureras i Microsoft Azure Active Directory Access Control (kallas även Access Control Service eller ACS) med hjälp av WS-Federation metadata. En WS-Federation identitetsprovider kan också ha stöd för andra federationsprotokoll, till exempel WS-Trust. WS-Federation identitetsprovidrar används oftast i webbplats- och webbprogramscenarier, där den WS-Federation passiva beställareprofilen används för att underlätta nödvändiga tokenomdirigeringar till och från ACS med hjälp av en webbläsare.

Microsoft Active Directory Federation Services (AD FS) 2.0

Ett vanligt exempel på en WS-Federation identitetsprovider är . Du kan använda den för att integrera ditt företags Active Directory-konton med ACS. Innan du kan lägga till och konfigurera som en identitetsprovider i ACS måste du ha installerat och arbeta med minst ett anspråksproviderförtroende, till exempel Active Directory Domain Services (AD DS). Mer information finns i Så här konfigurerar du AD FS 2.0 som en identitetsprovider.

Konfigurera i ACS-hanteringsportalen

När du använder ACS-hanteringsportalen för att konfigurera en WS-Federation identitetsprovider måste du ange följande data.

  • Visningsnamn – Anger identitetsproviderns visningsnamn. Det här namnet används endast i ACS-hanteringsportalen.

  • WS-Federationsmetadata – Innehåller konfigurationsinformation (federationsmetadata) om etablerade federerade tjänster, till exempel token och auktorisering, och principer för åtkomst till dem. När du lägger till en WS-Federation identitetsprovider i ACS måste du ange URL:en för federationsmetadatadokumentet eller ladda upp en lokal kopia av metadatadokumentet för WS-Federation identitetsprovider.

    Varning

    Importera endast WS-Federation metadata från en WS-Federation identitetsprovider som du litar på.

    Av säkerhetsskäl rekommenderar vi starkt att WS-Federation identitetsprovider publicerar sina federationsmetadatadokument på en HTTPS-URL. Vi rekommenderar också att WS-Federation identitetsprovider endast använder HTTPS-slutpunkter för tokenutfärdande.

  • Text för inloggningslänk – Anger den text som visas för den här identitetsprovidern på inloggningssidan för webbappen. Mer information finns i Inloggningssidor och Identifiering av hemsfär.

  • Bild-URL (valfritt)– Associerar en URL med en bildfil (till exempel en valfri logotyp) som du kan visa som inloggningslänk för den här identitetsprovidern. Den här logotypen visas automatiskt på standardinloggningssidan för ditt ACS-medvetna webbprogram, samt i webbprogrammets JSON-feed som du kan använda för att rendera en anpassad inloggningssida. Om du inte anger en bild-URL visas en textinloggningslänk för den här identitetsprovidern på inloggningssidan för webbappen. Om du anger en bild-URL rekommenderar vi starkt att den pekar på en betrodd källa, till exempel din egen webbplats eller ditt program, med https för att förhindra säkerhetsvarningar i webbläsaren. Dessutom ändras alla bilder som är större än 240 bildpunkter i bredd och 40 bildpunkter i höjd automatiskt på standardsidan för IDENTIFIERING av ACS-startsfär. Vi rekommenderar att du får behörighet från din partner att visa den här bilden.

  • E-postdomännamn (valfritt)– Om du vill uppmana användarna att logga in med sin e-postadress kan du ange de e-postdomänsuffix som den här identitetsprovidern är värd för. Annars lämnar du fältet tomt om du vill visa en direkt inloggningslänk. Använd semikolon för att avgränsa listan över suffix. Mer information finns i Inloggningssidor och Identifiering av hemsfär.

  • Program från förlitande part – Anger alla befintliga förlitande part-program som du vill associera med den här identitetsprovidern. Mer information finns i Program för förlitande part.

När en identitetsprovider är associerad med ett förlitande partprogram måste regler för den identitetsprovidern genereras eller läggas till manuellt i ett förlitande partsprograms regelgrupp för att slutföra konfigurationen. Mer information om hur du skapar regler finns i Regelgrupper och Regler.

Anspråkstyper med stöd

När en användare autentiseras med en identitetsprovider får de en token som fylls med identitetsanspråk. Anspråk är information om användaren, till exempel en e-postadress eller ett unikt ID. ACS kan skicka dessa anspråk direkt till det förlitande partprogrammet eller fatta auktoriseringsbeslut baserat på de värden som de innehåller.

Som standard identifieras anspråkstyper i ACS unikt med hjälp av en URI för kompatibilitet med SAML-tokenspecifikationen. Dessa URI:er används också för att identifiera anspråk i andra tokenformat.

För WS-Federation identitetsprovidrar bestäms de tillgängliga anspråkstyperna av WS-Federation metadata för identitetsprovidern som importeras till ACS. När importen är klar visas de anspråkstyper som är tillgängliga för identitetsprovidern på sidan Redigera anspråksregel i ACS-hanteringsportalen. Dessa anspråkstyper visas också via Entiteten ClaimType i ACS-hanteringstjänsten.

Förutom de anspråkstyper som är tillgängliga via WS-Federation metadata utfärdar ACS alltid följande anspråk för varje WS-Federation identitetsprovider.

Anspråkstyp URI Description

Namn-ID

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

En unik identifierare för användarkontot som tillhandahålls av identitetsprovidern.

Identitetsprovider

https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Ett anspråk som tillhandahålls av ACS och som talar om för det förlitande partprogrammet att användaren autentiserades med hjälp av den valda identitetsprovidern. Värdet för det här anspråket visas i ACS-hanteringsportalen via fältet Sfär på sidan Redigera identitetsprovider .

Anteckning

WS-Federation identitetsprovidrar kan också utfärda anspråkstyper till ACS som inte uttryckligen anges i identitetsproviderns WS-Federation metadatadokument. I det här fallet kan den förväntade anspråkstypens URI anges manuellt i en regel i stället för att väljas. Mer information om regler finns i Regelgrupper och Regler.

Hantera certifikat

X.509-tokensigneringscertifikat för en WS-Federation identitetsprovider visas på sidan för identitetsprovidern i ACS-hanteringsportalen. Det är viktigt att övervaka certifikaten och se till att de är effektiva och att de ersätts innan de upphör att gälla.

Så här visar du certifikaten för en WS-Federation identitetsprovider:

  1. I ACS-hanteringsportalen klickar du på Identitetsprovidrar.

  2. Klicka på WS-Federation identitetsprovider.

  3. Rulla till avsnittet Tokensigneringscertifikat längst ned på sidan.

Mer information om hur du hanterar certifikat för WS-Federation identitetsprovidrar finns i Certifikat för WS-federationsidentitetsprovider.

Se även

Begrepp

Identitetsprovidrar
Riktlinjer för hantering av certifikat och nycklar