WS 联合身份验证标识提供程序
更新时间:2015 年 6 月 19 日
适用于:Azure
WS-Federation标识提供者是支持WS-Federation协议的自定义标识提供者,在Microsoft Azure Active Directory 访问控制 ((也称为访问控制服务或 ACS) 中使用WS-Federation元数据进行配置)。 WS 联合身份验证标识提供程序也可能支持其他联合身份验证协议(如 WS 信任)。 WS-Federation标识提供者最常用于网站和 Web 应用程序方案,其中WS-Federation被动请求者配置文件用于方便使用 Web 浏览器将所需的令牌重定向到 ACS 和从 ACS 重定向。
Microsoft Active Directory 联合身份验证服务 2.0
WS 联合身份验证标识提供程序的一个常见示例为 。 可以使用它将企业 Active Directory 帐户与 ACS 集成。 在 ACS 中添加和配置为标识提供者之前,必须已安装并处理至少一个声明提供程序信任,例如,Active Directory 域服务 (AD DS) 。 有关详细信息,请参阅 如何:将 AD FS 2.0 配置为标识提供者。
在 ACS 管理门户中进行配置
使用 ACS 管理门户配置WS-Federation标识提供者时,必须输入以下数据。
显示名称 - 指定标识提供程序的显示名称。 此名称仅在 ACS 管理门户中使用。
WS 联合身份验证元数据 - 包含有关已建立联合服务(如令牌和授权)以及用于访问这些服务的策略的配置信息(即联合元数据)。 在 ACS 中添加WS-Federation标识提供者时,必须输入联合元数据文档的 URL 或上传WS-Federation标识提供者的元数据文档的本地副本。
警告
只能从信任的 WS 联合身份验证标识提供程序导入 WS 联合身份验证元数据。
出于安全考虑,强烈建议 WS 联合身份验证标识提供程序在 HTTPS URL 上发布其联合元数据文档。 同时,还建议 WS 联合身份验证标识提供程序仅使用 HTTPS 令牌颁发终结点。
登录链接文本 — 指定在 Web 应用程序的登录页上为此标识提供程序显示的文本。 有关详细信息,请参阅 登录页和主领域发现。
图像 URL (可选) - 将 URL 与可显示为此标识提供程序的登录链接的图像文件(例如,所选的徽标)相关联。 此徽标会自动显示在 ACS 感知 Web 应用程序的默认登录页上,以及可用于呈现自定义登录页的 Web 应用程序的 JSON 源中。 如果你不指定图像 URL,则此标识提供程序的文本登录链接将显示在 Web 应用程序的登录页上。 如果你指定了图像 URL,我们强烈建议使其指向受信任源(例如,你自己的网站或应用程序),并使用 HTTPS 防止出现浏览器安全警告。 此外,任何宽度大于 240 像素、高度大于 40 像素的图像都会在默认的 ACS 主领域发现页上自动调整大小。 建议你从合作伙伴获得显示此图像的权限。
电子邮件域名(可选) - 若要提示用户使用其电子邮件地址登录,你可以指定由此标识提供程序托管的电子邮件域后缀。 否则,将此字段留空以显示直接登录链接。 使用分号分隔后缀列表。 有关详细信息,请参阅 登录页和主领域发现。
信赖方应用程序 - 指定要与此标识提供程序关联的所有现有信赖方应用程序。 有关详细信息,请参阅 信赖方应用程序。
将标识提供程序与信赖方应用程序关联后,必须在信赖方应用程序的规则组中手动生成或添加该标识提供程序的规则才能完成配置。 有关创建规则的详细信息,请参阅 规则组和规则。
支持的声明类型
在用户使用标识提供程序进行身份验证之后,他们将会收到一个填充了标识声明的令牌。 声明是有关用户的信息片段,例如电子邮件地址或唯一 ID。 ACS 可以直接将这些声明传递给信赖方应用程序,也可以根据所包含的值做出授权决策。
默认情况下,ACS 中的声明类型使用 URI 进行唯一标识,以便符合 SAML 令牌规范。 这些 URI 也用于标识其他令牌格式的声明。
对于WS-Federation标识提供者,可用声明类型由导入 ACS 的标识提供者的WS-Federation元数据确定。 导入完成后,标识提供者可用的声明类型将显示在 ACS 管理门户的 “编辑声明规则 ”页中。 这些声明类型也通过 ACS 管理服务中的 ClaimType 实体可见。
除了可通过WS-Federation元数据提供的声明类型外,ACS 还会为每个WS-Federation标识提供者发出以下声明。
| 声明类型 | URI | 说明 |
|---|---|---|
名称标识符 |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
标识提供程序提供的用户帐户的唯一标识符。 |
标识提供者 |
https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider |
ACS 提供的声明,告知信赖方应用程序用户使用所选标识提供者进行身份验证。 此声明的值通过“编辑标识提供者”页中的“领域”字段在 ACS 管理门户中可见。 |
注意
WS-Federation标识提供者还可以向未在标识提供者的WS-Federation元数据文档中显式列出的 ACS 发出声明类型。 在这种情况下,可以将预期声明类型 URI 手动输入到规则中(而不是进行选择)。 有关规则的详细信息,请参阅 规则组和规则。
管理证书
WS-Federation标识提供者的 X.509 令牌签名证书列在 ACS 管理门户中标识提供者的页面上。 必须监视这些证书,确保它们有效,并在过期之前进行替换。
若要查看 WS 联合身份验证标识提供程序的证书,请执行以下操作:
在 ACS 管理门户中,单击 “标识提供者”。
单击该 WS 联合身份验证标识提供程序。
滚动到页底部的“令牌签名证书”部分。
有关管理WS-Federation标识提供者证书的详细信息,请参阅 WS 联合标识提供者证书。