Bağlı Olan Taraf Uygulamaları
Güncelleştirme: 19 Haziran 2015
Şunlar için geçerlidir: Azure
Bağlı olan taraf uygulaması (talep kullanan uygulama veya talep tabanlı uygulama olarak da bilinir), kimlik doğrulaması için taleplere dayanan bir uygulama veya hizmettir. Microsoft Azure Active Directory Access Control'da (Access Control Hizmeti veya ACS olarak da bilinir), bağlı olan taraf uygulaması bir web sitesi, uygulama veya federasyon kimlik doğrulaması uygulamak için ACS kullanan bir hizmettir.
AcS Yönetim Portalı'nı veya ACS Yönetim Hizmeti'ni kullanarak program aracılığıyla bağlı olan taraf uygulamalarını el ile oluşturabilir ve yapılandırabilirsiniz.
ACS Yönetim Portalı'nda, ekleyip yapılandırdığınız bağlı taraf uygulaması, web sitenizin, uygulamanızın veya hizmetinizin belirli bir Access Control ad alanına güvenen mantıksal bir gösterimidir. Her Access Control ad alanına birçok bağlı taraf uygulaması ekleyebilir ve yapılandırabilirsiniz.
ACS Yönetim Portalı'nda yapılandırma
Bağlı olan taraf uygulamasının aşağıdaki özelliklerini yapılandırmak için ACS Yönetim Portalı'nı kullanabilirsiniz:
Mod
Bölge ve Dönüş URL'si
Hata URL'si (isteğe bağlı)
Belirteç Biçimi
Belirteç Şifreleme İlkesi
Belirteç Ömrü
Kimlik Sağlayıcıları
Kural Grupları
Belirteç İmzalama
Belirteç Şifrelemesi
Mod
Mode özelliği, bağlı olan taraf uygulama ayarlarınızı el ile yapılandırıp yapılandırmayabileceğinizi veya uygulama ayarlarını tanımlayan bir WS-Federation meta veri belgesi belirleyip belirtmeyeceğinize karar sağlar.
WS-Federation meta veri belgesi genellikle uygulamanın bölgesi ve dönüş URL'sini içerir. Ayrıca ACS'nin uygulama için sorun oluşturabileceği belirteçleri şifrelemek için kullanılan isteğe bağlı bir şifreleme sertifikası da içerebilir. WS-Federation bir belge belirtilirse ve meta veriler bir şifreleme sertifikası içeriyorsa, Belirteç Şifreleme İlkesi ayarı varsayılan olarak Şifreleme gerektir'dir. Belirteç Şifreleme İlkesi ayarının değeri Şifreleme gerektir ise ancak WS-Federation meta veri belgesi şifreleme sertifikası içermiyorsa, şifreleme sertifikasını el ile karşıya yüklemeniz gerekir.
Bağlı olan taraf uygulamanız Windows Identity Foundation (WIF) ile tümleştirilmişse, WIF uygulamanız için otomatik olarak bir WS-Federation meta veri belgesi oluşturur.
Bölge ve Dönüş URL'si
Bölge özelliği, ACS tarafından verilen belirteçlerin geçerli olduğu URI'yi tanımlar. Dönüş URL'si (ReplyTo adresi olarak da bilinir), ACS tarafından verilen belirteçlerin gönderildiği URL'yi tanımlar. Bağlı olan taraf uygulamasına erişim için bir belirteç istendiğinde, ACS belirteci yalnızca belirteç isteğindeki bölge bağlı olan taraf uygulamasının bölgesiyle eşleştiğinde sağlar.
Önemli
ACS'de bölge değerleri büyük/küçük harfe duyarlıdır.
ACS Yönetim Portalı'nda, her Access Control ad alanında yalnızca bir bölge ve bir dönüş URL'si yapılandırabilirsiniz. En basit durumda bölge ve Dönüş URL'si aynıdır. Örneğin, uygulamanızın kök URI'si ise https://contoso.com, bağlı olan taraf uygulamanın Bölge ve Dönüş URL'si olur https://contoso.com.
Bağlı olan taraf uygulaması için birden fazla dönüş URL'si (ReplyTo adresi) yapılandırmak için ACS Yönetim Hizmeti'ndeki RelyingPartyAddress varlığını kullanın.
ACS'den belirteç istendiğinde veya bir kimlik sağlayıcısından ACS'ye belirteç gönderildiğinde, ACS belirteç isteğindeki bölge değerini bağlı olan taraf uygulamalarının bölge değerleriyle karşılaştırır. Belirteç isteği WS-Federation protokol kullanıyorsa ACS, wtrealm parametresindeki bölge değerini kullanır. Belirteç OAuth WRAP protokolü kullanıyorsa ACS, applies_to parametresindeki bölge değerini kullanır. ACS, bağlı olan taraf uygulamasının yapılandırma ayarlarında eşleşen bir bölge bulursa, bağlı olan taraf uygulamasında kullanıcının kimliğini doğrulayan ve belirteci Dönüş URL'sine gönderen bir belirteç oluşturur.
Bağlı olan tarafın birden fazla Dönüş URL'si olduğunda işlem benzerdir. ACS , wreply parametresinden yeniden yönlendirme URL'sini alır. Yeniden yönlendirme URL'si bağlı olan taraf uygulamasının Dönüş URL'lerinden biriyse, ACS yanıtı bu URL'ye gönderir.
Bölge değerleri büyük/küçük harfe duyarlıdır. Belirteç yalnızca bölge değerleri aynıysa veya bağlı olan taraf uygulamasının bölge değeri belirteç isteğindeki bölge ön ekiyse verilir. Örneğin, bağlı olan taraf uygulama bölge değeri, öğesinin http://www.fabrikam.com belirteç isteği bölge değeriyle http://www.fabrikam.com/billingeşleşir, ancak bir belirteç isteği bölgesi v değeriyle https://fabrikam.comeşleşmez.
Hata URL'si (isteğe bağlı)
Hata URL'si, oturum açma işlemi sırasında bir hata oluşması durumunda ACS'nin kullanıcıları yeniden yönlendirdiği bir URL belirtir. Bağlı olan taraf uygulamasının isteğe bağlı bir özelliğidir.
Hata URL'si değeri, http://www.fabrikam.com/billing/error.aspxbağlı olan taraf uygulaması tarafından barındırılan gibi özel bir sayfa olabilir. Yeniden yönlendirmenin bir parçası olarak ACS, JSON ile kodlanmış bir HTTP URL parametresi olarak bağlı olan taraf uygulamasına hatayla ilgili ayrıntıları sağlar. Özel hata sayfası, JSON ile kodlanmış hata bilgilerini yorumlamak, gerçek hata iletisini işlemek ve/veya statik yardım metnini görüntülemek için oluşturulabilir.
Hata URL'si kullanımı hakkında daha fazla bilgi için bkz. Kod Örneği: ASP.NET Basit MVC 2.
Belirteç Biçimi
Belirteç biçimi özelliği, ACS'nin bağlı olan taraf uygulaması için karşılaştığı belirteçlerin biçimini belirler. ACS SAML 2.0, SAML 1.1, SWT veya JWT belirteçleri verebilir. Belirteç biçimleri hakkında daha fazla bilgi için bkz. ACS'de Desteklenen Belirteç Biçimleri.
ACS, belirteçleri bir web uygulamasına veya hizmetine döndürmek için standart protokolleri kullanır. Belirteç biçimi için birden fazla protokol desteklendiğinde ACS, belirteç isteği için kullanılan protokolü kullanır. ACS aşağıdaki belirteç biçimi/protokol birleşimlerini destekler:
ACS, WS-Trust ve WS-Federation protokollerini kullanarak SAML 2.0 belirteçlerini döndürebilir.
ACS, WS-Federation ve ilgili WS-Trust protokollerini kullanarak SAML 1.1 belirteçlerini döndürebilir.
ACS, WS-Federation, WS-Trust, OAuth-WRAP ve OAuth 2.0 protokollerini kullanarak SWT belirteçleri döndürebilir.
ACS, WS-Federation, WS-Trust ve OAuth 2.0 protokollerini kullanarak JWT belirteçleri verebilir ve döndürebilir.
ACS'nin kullandığı standart protokoller hakkında daha fazla bilgi için bkz. ACS'de Desteklenen Protokoller.
Belirteç biçimi seçerken, Access Control ad alanınızın bu belirteçleri nasıl imzaladığını göz önünde bulundurun. Tüm ACS tarafından verilen belirteçler imzalanmalıdır. Daha fazla bilgi için bkz. Belirteç İmzalama.
Ayrıca belirteçlerin şifrelenmesini isteyip istemediğinizi de göz önünde bulundurun.. Daha fazla bilgi için bkz. Belirteç Şifreleme İlkesi.
Belirteç Şifreleme İlkesi
Belirteç şifreleme ilkesi, bağlı olan taraf uygulaması için ACS'nin karşılaştığı belirteçlerin şifrelenip şifrelenmediğini belirler. Şifrelemeyi gerektirmek için Şifreleme gerektir değerini seçin.
ACS'de, yalnızca SAML 2.0 veya SAML 1.1 belirteçleri için bir şifreleme ilkesi yapılandırabilirsiniz. ACS, SWT veya JWT belirteçlerinin şifrelenmesini desteklemez.
ACS, ortak anahtar (.cer dosyası) içeren bir X.509 sertifikası kullanarak SAML 2.0 ve SAML 1.1 belirteçlerini şifreler. Bu şifrelenmiş belirteçlerin şifresi, bağlı olan taraf uygulaması tarafından sahip olunan özel anahtar kullanılarak çözülür. Şifreleme sertifikalarını alma ve kullanma hakkında daha fazla bilgi için bkz. Sertifikalar ve Anahtarlar.
ACS tarafından verilen belirteçlerinizde şifreleme ilkesi yapılandırma isteğe bağlıdır. Ancak, bağlı olan taraf uygulamanız WS-Trust protokolü üzerinden sahip olma kanıtı belirteçleri kullanan bir web hizmeti olduğunda bir şifreleme ilkesi yapılandırılmalıdır. Bu özel senaryo şifrelenmiş belirteçler olmadan düzgün çalışmaz.
Belirteç Ömrü
Belirteç yaşam süresi özelliği, ACS'nin bağlı olan taraf uygulamasına yaptığı güvenlik belirtecinin geçerli olduğu zaman aralığını (saniye cinsinden) belirtir. Varsayılan değer 600'dür (10 dakika). ACS'de belirteç yaşam süresi değeri sıfır (0) ile 86400 (24 saat) arasında olmalıdır.
Kimlik Sağlayıcıları
Kimlik sağlayıcıları özelliği, bağlı olan taraf uygulamasına talep gönderebilen kimlik sağlayıcılarını belirtir. Bu kimlik sağlayıcıları web uygulamanızın veya hizmetinizin ACS oturum açma sayfasında görünür. ACS portalının Kimlik sağlayıcıları bölümünde yapılandırılan tüm kimlik sağlayıcıları, kimlik sağlayıcısı listesinde görünür. Listeye bir tanımlayıcı sağlayıcı eklemek için Kimlik sağlayıcıları'na tıklayın.
Her bağlı olan taraf uygulaması sıfır veya daha fazla kimlik sağlayıcısıyla ilişkilendirilebilir. Access Control ad alanında bağlı olan taraf uygulamaları aynı kimlik sağlayıcısı veya farklı kimlik sağlayıcılarıyla ilişkilendirilebilir. Bağlı olan taraf uygulaması için hiçbir kimlik sağlayıcısı seçmezseniz, bağlı olan taraf uygulaması için ACS ile doğrudan kimlik doğrulaması yapılandırmanız gerekir. Örneğin, doğrudan kimlik doğrulaması yapılandırmak için hizmet kimliklerini kullanabilirsiniz. Daha fazla bilgi için bkz . Hizmet Kimlikleri.
Kural Grupları
Rule groups özelliği, bağlı olan taraf uygulamasının talepleri işlerken hangi kuralları kullandığını belirler.
Her ACS bağlı olan taraf uygulaması en az bir kural grubuyla ilişkilendirilmelidir. Belirteç isteği, kural grubu olmayan bağlı olan bir taraf uygulamasıyla eşleşiyorsa, ACS web uygulamasına veya hizmetine belirteç vermez.
ACS portalının Kural grupları bölümünde yapılandırılan tüm kural grupları, kural grubu listesinde görünür. Listeye bir kural grubu eklemek için Kural grupları'na tıklayın.
ACS Yönetim Portalı'na yeni bir bağlı olan taraf uygulaması eklediğinizde, varsayılan olarak Yeni Kural Grubu Oluştur seçeneği seçilidir. Yeni bağlı olan taraf uygulamanız için yeni bir kural grubu oluşturmanız kesinlikle önerilir. Ancak, bağlı olan taraf uygulamanızı mevcut bir kural grubuyla ilişkilendirebilirsiniz. Bunu yapmak için Yeni Kural Grubu Oluştur seçeneğini temizleyin ve istediğiniz kural grubunu seçin.
Bağlı olan bir taraf uygulamasını birden fazla kural grubuyla ilişkilendirebilirsiniz (ve bir kural grubunu birden fazla bağlı olan taraf uygulamasıyla ilişkilendirebilirsiniz). Bağlı olan bir taraf uygulaması birden fazla kural grubuyla ilişkiliyse, ACS tüm kural gruplarındaki kuralları tek bir kural grubundaki kurallarmış gibi yinelemeli olarak değerlendirir.
Kurallar ve kural grupları hakkında daha fazla bilgi için bkz. Kural Grupları ve Kurallar.
Belirteç İmzalama
Belirteç imzalama ayarları özelliği, ACS sorunlarının güvenlik belirteçlerinin nasıl imzalandığını belirtir. Tüm ACS tarafından verilen belirteçler imzalanmalıdır.
Kullanılabilir belirteç imzalama seçenekleri, bağlı olan taraf uygulamasının Belirteç Biçimine bağlıdır. (Belirteç biçimleri hakkında daha fazla bilgi için bkz. Belirteç Biçimi.)
SAML belirteçleri: Belirteçleri imzalamak için X.509 sertifikası kullanın.
SWT belirteçleri: Belirteçleri imzalamak için simetrik anahtar kullanın.
JWT belirteçleri: Belirteçleri imzalamak için X.509 sertifikası veya simetrik anahtar kullanın.
X.509 Sertifika seçenekleri. X.509 sertifikasıyla imzalanan belirteçler için aşağıdaki seçenekler kullanılabilir.
Hizmet ad alanı sertifikasını kullan (standart)—Bu seçeneği belirlerseniz ACS, bağlı olan taraf uygulaması için SAML 1.1 ve SAML 2.0 belirteçlerini imzalamak üzere Access Control ad alanının sertifikasını kullanır. Ad alanı ortak anahtarı Access Control ad alanınızın WS-Federation meta verilerinde yayımlandığından, web uygulamanızın veya hizmetinizin yapılandırmasını WS-Federation meta verileri kullanarak otomatikleştirmeyi planlıyorsanız bu seçeneği kullanın. WS-Federation Meta Verileri belgesinin URL'si ACS Yönetim Portalı'nın Uygulama Tümleştirme sayfasında görünür.
Ayrılmış sertifika kullan—Bu seçeneği belirlerseniz ACS, bağlı olan taraf uygulaması için SAML 1.1 ve SAML 2.0 belirteçlerini imzalamak için uygulamaya özgü bir sertifika kullanır. Sertifika, diğer bağlı olan taraf uygulamaları için kullanılmaz. Bu seçeneği belirledikten sonra, özel anahtarı (.pfx dosyası) olan bir X.509 sertifikasına göz atın ve .pfx dosyasının parolasını girin.
Not
JWT Belirteçleri. Bağlı olan bir taraf uygulamasını, bağlı olan taraf bir uygulama için JWT belirteçlerini imzalamak üzere Access Control ad alanı için X.509 sertifikasını kullanacak şekilde yapılandırdığınızda, ACS Yönetim Portalı'ndaki bağlı olan taraf uygulamasının sayfasında Access Control ad alanı sertifikasına ve Access Control ad alanı anahtarına bağlantılar görünür. Ancak ACS, bağlı olan taraf uygulaması için belirteçleri imzalamak için yalnızca ad alanı sertifikasını kullanır.
Yönetilen Ad Alanları. Service Bus ad alanı gibi yönetilen bir ad alanına bağlı olan taraf uygulaması eklerken, uygulamaya özgü (ayrılmış) sertifikalar veya anahtarlar girmeyin. Bunun yerine, ACS'yi yönetilen ad alanında tüm uygulamalar için yapılandırılan sertifikaları ve anahtarları kullanmaya yönlendiren seçenekleri belirleyin. Daha fazla bilgi için bkz. Yönetilen Ad AlanlarıPaylaşılan ve ayrılmış sertifikalar ve anahtarlar hakkında daha fazla bilgi için bkz. Sertifikalar ve Anahtarlar.
Simetrik anahtar seçenekleri
En iyi güvenlik uygulaması olarak, simetrik anahtarları kullanırken, Access Control ad alanı için paylaşılan simetrik anahtarı kullanmak yerine bağlı olan her taraf uygulaması için ayrılmış bir anahtar oluşturun. Ayrılmış anahtar girer veya oluşturursanız ACS, ayrılmış anahtar geçerli olduğu sürece bağlı olan taraf uygulaması için belirteçleri imzalamak için ayrılmış anahtar kullanır. Ancak, ayrılmış anahtarın süresi dolarsa ve değiştirilmezse ACS, bağlı olan taraf uygulaması için belirteçleri imzalamak için paylaşılan ad alanı anahtarını kullanır.
Paylaşılan simetrik anahtarı kullanmayı seçerseniz, Sertifikalar ve anahtarlar sayfasından Hizmet Ad Alanı anahtarı değerlerini kopyalayın ve bağlı olan taraf uygulamalar sayfasının Belirteç İmzalama bölümündeki alanlara yapıştırın.
Simetrik anahtarlarla imzalanan belirteçler için aşağıdaki seçenekler kullanılabilir.
Belirteç imzalama anahtarı—256 bit simetrik anahtar girin veya 256 bit simetrik anahtar oluşturmak için Oluştur'a tıklayın.
Geçerlilik tarihi—Simetrik anahtarın geçerli olduğu tarih aralığının başlangıç tarihini belirtir. Bu tarihten itibaren ACS, bağlı olan taraf uygulaması için belirteçleri imzalamak için simetrik anahtarı kullanır. ACS varsayılan değeri geçerli tarihtir.
Son kullanma tarihi— Simetrik anahtarın geçerli olduğu tarih aralığının bitiş tarihini belirtir. Bu tarihten itibaren ACS, bağlı olan taraf uygulaması için belirteçleri imzalamak için simetrik anahtarı kullanmaz. Varsayılan değer yoktur. En iyi güvenlik uygulaması olarak simetrik anahtarlar, uygulamanın gereksinimlerine bağlı olarak her yıl veya iki yılda bir değiştirilmelidir.
Belirteç Şifrelemesi
Belirteç şifreleme sertifikası seçeneği, bağlı olan taraf uygulaması için belirteçleri şifrelemek için kullanılan X.509 sertifikasını (.cer dosyası) belirtir. ACS'de yalnızca SAML 2.0 veya SAML 1.1 belirteçlerini şifreleyebilirsiniz. ACS, SWT veya JWT belirteçlerinin şifrelenmesini desteklemez.
ACS portalının Sertifikalar ve Anahtarlar bölümünde belirteç şifrelemesi için sertifikalar belirtirsiniz. Bağlı olan taraf uygulaması sayfasının Belirteç Şifreleme İlkesi bölümünde Buraya tıklayın bağlantısına tıkladığınızda, Sertifikalar ve Anahtarlar'ın Belirteç Şifreleme Sertifikası Ekle sayfası açılır. Sertifika dosyası belirtmek için bu sayfayı kullanın.
Daha fazla bilgi için bkz. Belirteç Şifreleme İlkesi. Şifreleme sertifikalarını alma ve ekleme hakkında daha fazla bilgi için bkz. Sertifikalar ve Anahtarlar.