Aracılığıyla paylaş

WS-Federation Kimlik Sağlayıcıları

  • Makale

Güncelleştirme: 19 Haziran 2015

Şunlar için geçerlidir: Azure

WS-Federation kimlik sağlayıcıları, WS-Federation protokollerini destekleyen özel kimlik sağlayıcılarıdır ve WS-Federation meta verileri kullanılarak Microsoft Azure Active Directory Access Control (Access Control Hizmeti veya ACS olarak da bilinir) içinde yapılandırılır. WS-Federation kimlik sağlayıcısı WS-Trust gibi diğer federasyon protokollerini de destekleyemeyebilir. WS-Federation kimlik sağlayıcıları en sık web sitesi ve web uygulaması senaryolarında kullanılır. Burada, web tarayıcısı kullanarak ACS'ye ve ACS'den gerekli belirteç yeniden yönlendirmelerini kolaylaştırmak için WS-Federation pasif istekte bulunan profili kullanılır.

Microsoft Active Directory Federasyon Hizmetleri (AD FS) 2.0

WS-Federation kimlik sağlayıcısının yaygın bir örneğidir. Kurumsal Active Directory hesaplarınızı ACS ile tümleştirmek için bunu kullanabilirsiniz. ACS'de kimlik sağlayıcısı olarak ekleyebilmeniz ve yapılandırabilmeniz için önce en az bir Talep Sağlayıcısı Güveni (örneğin, Active Directory Domain Services (AD DS) yüklemiş ve bu güvenle çalışmış olmanız gerekir. Daha fazla bilgi için bkz . Nasıl yapılır: AD FS 2.0'ı Kimlik Sağlayıcısı olarak yapılandırma.

ACS Yönetim Portalı'nda yapılandırma

bir WS-Federation kimlik sağlayıcısı yapılandırmak için ACS Yönetim Portalı'nı kullanırken aşağıdaki verileri girmeniz gerekir.

  • Görünen ad—Kimlik sağlayıcınızın görünen adını belirtir. Bu ad yalnızca ACS Yönetim Portalı'nda kullanılır.

  • WS-Federasyon meta verileri—Belirteçler ve yetkilendirme gibi yerleşik federasyon hizmetleri ve bunlara erişim ilkeleri hakkında yapılandırma bilgilerini (federasyon meta verileri) içerir. ACS'ye bir WS-Federation kimlik sağlayıcısı eklediğinizde, federasyon meta veri belgesinin URL'sini girmeniz veya WS-Federation kimlik sağlayıcısı için meta veri belgesinin yerel bir kopyasını karşıya yüklemeniz gerekir.

    Uyarı

    WS-Federation meta verilerini yalnızca güvendiğiniz bir WS-Federation kimlik sağlayıcısından içeri aktarabilirsiniz.

    Güvenlik nedeniyle, WS-Federation kimlik sağlayıcısının federasyon meta verileri belgesini BIR HTTPS URL'sinde yayımlaması önemle önerilir. WS-Federation kimlik sağlayıcısının yalnızca HTTPS belirteç verme uç noktalarını kullanması da önerilir.

  • Oturum açma bağlantısı metni—Web uygulamanızın oturum açma sayfasında bu kimlik sağlayıcısı için görüntülenen metni belirtir. Daha fazla bilgi için bkz . Oturum Açma Sayfaları ve Giriş Bölgesi Bulma.

  • Görüntü URL'si (isteğe bağlı)—Bir URL'yi, bu kimlik sağlayıcısı için oturum açma bağlantısı olarak görüntüleyebileceğiniz bir görüntü dosyası (örneğin, seçtiğiniz bir logo) ile ilişkilendirir. Bu logo, ACS kullanan web uygulamanızın varsayılan oturum açma sayfasında ve özel oturum açma sayfasını işlemek için kullanabileceğiniz web uygulamanızın JSON akışında otomatik olarak görünür. Bir görüntü URL'si belirtmezseniz, web uygulamanızın oturum açma sayfasında bu kimlik sağlayıcısı için bir metin oturum açma bağlantısı görüntülenir. Bir görüntü URL'si belirtirseniz, tarayıcı güvenlik uyarılarını önlemek için HTTPS kullanarak güvenilir bir kaynağa, örneğin kendi web sitenize veya uygulamanıza işaret edilmesi kesinlikle önerilir. Ayrıca, genişliği 240 pikselden ve yüksekliği 40 pikselden büyük olan tüm görüntüler varsayılan ACS giriş bölgesi bulma sayfasında otomatik olarak yeniden boyutlandırılır. Bu görüntüyü görüntülemek için iş ortağınızdan izin almanız önerilir.

  • E-posta etki alanı adları (isteğe bağlı)—Kullanıcılardan e-posta adreslerini kullanarak oturum açmalarını istemde bulunabilmek için, bu kimlik sağlayıcısı tarafından barındırılan e-posta etki alanı soneklerini belirtebilirsiniz. Aksi takdirde, doğrudan oturum açma bağlantısını görüntülemek için bu alanı boş bırakın. Sonek listesini ayırmak için noktalı virgül kullanın. Daha fazla bilgi için bkz . Oturum Açma Sayfaları ve Giriş Bölgesi Bulma.

  • Bağlı taraf uygulamaları—Bu kimlik sağlayıcısıyla ilişkilendirmek istediğiniz tüm mevcut bağlı olan taraf uygulamalarını belirtir. Daha fazla bilgi için bkz . Bağlı Taraf Uygulamaları.

Bir kimlik sağlayıcısı bağlı olan taraf uygulamasıyla ilişkilendirildikten sonra, yapılandırmayı tamamlamak için söz konusu kimlik sağlayıcısının kuralları bağlı olan taraf uygulamasının kural grubuna el ile oluşturulmalıdır veya eklenmelidir. Kural oluşturma hakkında daha fazla bilgi için bkz. Kural Grupları ve Kurallar.

Desteklenen talep türleri

Bir kullanıcı bir kimlik sağlayıcısıyla kimlik doğrulaması yaptıktan sonra kimlik talepleri ile doldurulmuş bir belirteç alır. Talepler, kullanıcı hakkında e-posta adresi veya benzersiz kimlik gibi bilgi parçalarıdır. ACS, bu talepleri doğrudan bağlı olan taraf uygulamasına geçirebilir veya içerdikleri değerlere göre yetkilendirme kararları alabilir.

Varsayılan olarak, ACS'deki talep türleri SAML belirteci belirtimi ile uyumluluk için bir URI kullanılarak benzersiz olarak tanımlanır. Bu URI'ler, diğer belirteç biçimlerindeki talepleri tanımlamak için de kullanılır.

WS-Federation kimlik sağlayıcıları için kullanılabilir talep türleri, ACS'ye aktarılan kimlik sağlayıcısının WS-Federation meta verileri tarafından belirlenir. İçeri aktarma işlemi tamamlandıktan sonra, kimlik sağlayıcısı için kullanılabilir talep türleri ACS Yönetim Portalı'nın Talep Kuralını Düzenle sayfasında görünür. Bu talep türleri ACS Yönetim Hizmeti'ndeki ClaimType varlığı aracılığıyla da görünür.

ACS, WS-Federation meta verileri aracılığıyla kullanılabilen talep türlerine ek olarak her WS-Federation kimlik sağlayıcısı için her zaman aşağıdaki talepleri gönderir.

Talep Türü URI Description

Ad Tanımlayıcısı

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Kimlik sağlayıcısı tarafından sağlanan, kullanıcı hesabı için benzersiz bir tanımlayıcı.

Kimlik Sağlayıcı

https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Bağlı olan taraf uygulamasına kullanıcının seçilen kimlik sağlayıcısını kullanarak kimlik doğrulamasından geçirildiğini bildiren ACS tarafından sağlanan bir talep. Bu talebin değeri, Kimlik Sağlayıcısını Düzenle sayfasındaki Bölge alanı aracılığıyla ACS Yönetim Portalı'nda görünür.

Not

WS-Federation kimlik sağlayıcıları, ACS'ye kimlik sağlayıcısının WS-Federation meta veri belgesinde açıkça listelenmeyen talep türleri de verebilir. Bu durumda, beklenen talep türü URI'sı bir kurala seçilmek yerine el ile girilebilir. Kurallar hakkında daha fazla bilgi için bkz. Kural Grupları ve Kurallar.

Sertifikaları Yönetme

bir WS-Federation kimlik sağlayıcısı için X.509 belirteç imzalama sertifikaları ACS Yönetim Portalı'ndaki kimlik sağlayıcısının sayfasında listelenir. Sertifikaları izlemek ve etkili olduklarından ve süreleri dolmadan önce değiştirildiklerinden emin olmak önemlidir.

WS-Federation kimlik sağlayıcısının sertifikalarını görüntülemek için:

  1. ACS Yönetim Portalı'nda Kimlik sağlayıcıları'na tıklayın.

  2. WS-Federation kimlik sağlayıcısına tıklayın.

  3. Sayfanın en altındaki Belirteç İmzalama Sertifikaları bölümüne gidin.

WS-Federation kimlik sağlayıcılarının sertifikalarını yönetme hakkında daha fazla bilgi için bkz. WS-Federasyon kimlik sağlayıcısı sertifikası.

Ayrıca Bkz.

Kavramlar

Kimlik Sağlayıcıları
Sertifikalar ve AnahtarLar Yönetim Yönergeleri