Aplikace předávající strany
Aktualizováno: 19. června 2015
Platí pro: Azure
Aplikace předávající strany (označovaná také jako aplikace pracující s deklaracemi nebo aplikace založená na deklarací identity) je aplikace nebo služba, která spoléhá na deklarace identity pro ověřování. V Microsoft Azure Active Directory Access Control (označované také jako služba Access Control nebo služba ACS) je aplikace předávající strany web, aplikace nebo služba, která používá službu ACS k implementaci federovaného ověřování.
Aplikace předávající strany můžete vytvářet a konfigurovat ručně pomocí portálu pro správu služby ACS nebo programově pomocí služby ACS Management Service.
Na portálu pro správu služby ACS je aplikace předávající strany, kterou přidáte a nakonfigurujete, logickou reprezentací webu, aplikace nebo služby, která důvěřuje konkrétnímu oboru názvů Access Control. Do každého Access Control oboru názvů můžete přidat a nakonfigurovat mnoho aplikací předávající strany.
Konfigurace na portálu pro správu služby ACS
Pomocí portálu pro správu služby ACS můžete nakonfigurovat následující vlastnosti aplikace předávající strany:
Režim
Sféra a zpáteční adresa URL
Adresa URL chyby (volitelné)
Formát tokenu
Zásady šifrování tokenů
Živostnost tokenu
Zprostředkovatelé identit
Skupiny pravidel
Podepisování tokenů
Šifrování tokenů
Režim
Vlastnost Mode určuje, jestli nakonfigurujete nastavení aplikace předávající strany ručně nebo zadáte dokument metadat WS-Federation, který definuje nastavení aplikace.
Dokument metadat WS-Federation obvykle obsahuje sféru aplikace a zpáteční adresu URL. Může také obsahovat volitelný šifrovací certifikát, který se používá k šifrování tokenů, které služba ACS pro aplikaci vydává. Pokud je zadaný dokument WS-Federation a metadata obsahují šifrovací certifikát, nastavení zásad šifrování tokenů ve výchozím nastavení vyžaduje šifrování. Pokud je hodnota nastavení Zásady šifrování tokenuVyžadovat šifrování, ale dokument metadat WS-Federation neobsahuje šifrovací certifikát, musíte šifrovací certifikát nahrát ručně.
Pokud je vaše aplikace předávající strany integrovaná se službou Windows Identity Foundation (WIF), wiF automaticky vytvoří WS-Federation dokument metadat pro vaši aplikaci.
Sféra a zpáteční adresa URL
Vlastnost Sféra definuje identifikátor URI, ve kterém jsou tokeny vydané službou ACS platné. Zpáteční adresa URL (označovaná také jako adresa ReplyTo) definuje adresu URL, do které se odesílají tokeny vydané službou ACS. Pokud se vyžaduje token pro přístup k aplikaci předávající strany, služba ACS vydá token pouze v případě, že sféra v požadavku na token odpovídá sférě aplikace předávající strany.
Důležité
V ACS jsou hodnoty sféry citlivé na malá a velká písmena.
Na portálu pro správu služby ACS můžete nakonfigurovat pouze jednu sféru a jednu návratovou adresu URL v každém Access Control oboru názvů. V nejjednodušším případě jsou sféra a návratová adresa URL identická. Pokud je https://contoso.comnapříklad kořenový identifikátor URI vaší aplikace , jsou https://contoso.comsféry a návratová adresa URL aplikace předávající strany .
Pokud chcete pro aplikaci předávající strany nakonfigurovat více než jednu zpáteční adresu URL (adresa ReplyTo), použijte entitu RelyingPartyAddress ve službě pro správu služby ACS.
Když se token vyžádá ze služby ACS nebo token odešle do služby ACS od zprostředkovatele identity, služba ACS porovná hodnotu sféry v požadavku na token s hodnotami sféry pro aplikace předávající strany. Pokud požadavek na token používá protokol WS-Federation, služba ACS používá hodnotu sféry v parametru wtrealm . Pokud token používá protokol OAuth WRAP, služba ACS používá hodnotu sféry v parametru applies_to . Pokud služba ACS najde odpovídající sféru v nastavení konfigurace pro aplikaci předávající strany, vytvoří token, který ověří uživatele v aplikaci předávající strany a odešle token na zpáteční adresu URL.
Proces je podobný, když má předávající strana více než jednu zpáteční adresu URL. Služba ACS získá adresu URL přesměrování z parametru wreply . Pokud je adresa URL pro přesměrování jednou z návratových adres URL pro aplikaci předávající strany, služba ACS odešle odpověď na tuto adresu URL.
Hodnoty sféry rozlišují malá a velká písmena. Token se vydává pouze v případě, že jsou hodnoty sféry stejné nebo hodnota sféry pro aplikaci předávající strany je předponou sféry v požadavku tokenu. Například hodnota http://www.fabrikam.com sféry aplikace předávající strany odpovídá hodnotě sféry požadavku tokenu , http://www.fabrikam.com/billingale neodpovídá sférě žádosti o token v .https://fabrikam.com
Adresa URL chyby (volitelné)
Adresa URL chyby určuje adresu URL, na kterou služba ACS přesměruje uživatele, pokud dojde k chybě během procesu přihlášení. Jedná se o volitelnou vlastnost aplikace předávající strany.
Hodnota adresy URL chyby může být vlastní stránka hostovaná aplikací předávající strany, například http://www.fabrikam.com/billing/error.aspx. V rámci přesměrování služba ACS poskytuje podrobnosti o chybě aplikace předávající strany jako parametr adresy URL kódovaný kódem JSON. Vlastní chybovou stránku lze vytvořit tak, aby interpretovala informace o chybách kódování JSON, vykreslila skutečnou chybovou zprávu nebo zobrazila statický text nápovědy.
Další informace o použití adresy URL chyby najdete v části Ukázka kódu: ASP.NET Simple MVC 2.
Formát tokenu
Vlastnost Formátu tokenu určuje formát tokenů, které služba ACS vydává pro aplikaci předávající strany. ACS může vydávat tokeny SAML 2.0, SAML 1.1, SWT nebo JWT. Další informace o formátechtokench
Služba ACS používá standardní protokoly k vrácení tokenů do webové aplikace nebo služby. Pokud je pro formát tokenu podporováno více než jeden protokol, služba ACS používá stejný protokol, který byl použit pro požadavek tokenu. ACS podporuje následující kombinace formátu tokenu nebo protokolu:
ACS může vrátit tokeny SAML 2.0 pomocí protokolů WS-Trust a WS-Federation.
ACS může vrátit tokeny SAML 1.1 pomocí WS-Federation a souvisejících protokolů WS-Trust.
Služba ACS může vracet tokeny SWT pomocí protokolů WS-Federation, WS-Trust, OAuth-WRAP a OAuth 2.0.
Služba ACS může vydávat a vracet tokeny JWT pomocí protokolů WS-Federation, WS-Trust a OAuth 2.0.
Další informace o standardníchprotokolch
Při výběru formátu tokenu zvažte, jak váš Access Control obor názvů podepíše tokeny, které vydává. Všechny tokeny vydané službou ACS musí být podepsané. Další informace najdete v tématu Podepisování tokenů.
Zvažte také, jestli chcete, aby se tokeny zašifrovaly. Další informace najdete v tématu Zásady šifrování tokenů.
Zásady šifrování tokenů
Zásady šifrování tokenu určují, jestli jsou zašifrované tokeny, které služba ACS řeší u aplikace předávající strany. Pokud chcete vyžadovat šifrování, vyberte hodnotu Vyžadovat šifrování .
V ACS můžete nakonfigurovat zásady šifrování pouze pro tokeny SAML 2.0 nebo SAML 1.1. Služba ACS nepodporuje šifrování tokenů SWT ani JWT.
ACS šifruje tokeny SAML 2.0 a SAML 1.1 pomocí certifikátu X.509 obsahujícího veřejný klíč (soubor.cer). Tyto šifrované tokeny se pak dešifrují pomocí privátního klíče, který má aplikace předávající strany. Další informace o získání a používání šifrovacích certifikátů najdete v tématu Certifikáty a klíče.
Konfigurace zásad šifrování u tokenů vydaných službou ACS je volitelná. Zásady šifrování však musí být nakonfigurované, když je aplikace předávající strany webovou službou, která používá tokeny kontroly vlastnictví přes protokol WS-Trust. Tento konkrétní scénář nefunguje správně bez šifrovaných tokenů.
Živostnost tokenu
Vlastnost životnosti tokenu určuje časový interval (v sekundách), během kterého je token zabezpečení, který služba ACS vydává aplikaci předávající strany, platná. Výchozí hodnota je 600 (10 minut). V ACS musí být hodnota životnosti tokenu mezi nulou (0) a 86400 (24 hodin) včetně.
Zprostředkovatelé identit
Vlastnost zprostředkovatele identity určuje zprostředkovatele identity, které mohou odesílat deklarace identity do aplikace předávající strany. Tito zprostředkovatelé identit se zobrazí na přihlašovací stránce služby ACS pro vaši webovou aplikaci nebo službu. Všichni zprostředkovatelé identit nakonfigurovaní v části Zprostředkovatele identit na portálu ACS se zobrazí v seznamu zprostředkovatelů identity. Pokud chcete do seznamu přidat zprostředkovatele identifikace, klikněte na zprostředkovatele identity.
Každá aplikace předávající strany může být přidružená k nule nebo více zprostředkovateli identit. Aplikace předávající strany v oboru názvů Access Control je možné přidružit ke stejnému zprostředkovateli identity nebo různým zprostředkovateli identit. Pokud pro aplikaci předávající strany nevyberete žádné zprostředkovatele identit, musíte nakonfigurovat přímé ověřování pomocí služby ACS pro aplikaci předávající strany. Můžete například použít identity služeb ke konfiguraci přímého ověřování. Další informace najdete v tématu Identity služeb.
Skupiny pravidel
Vlastnost Skupiny pravidel určuje pravidla, která aplikace předávající strany používá při zpracování deklarací identity.
Každá aplikace předávající strany ACS musí být přidružená alespoň k jedné skupině pravidel. Pokud požadavek na token odpovídá aplikaci předávající strany, která nemá žádné skupiny pravidel, služba ACS nevydá token webové aplikaci nebo službě.
V seznamu skupin pravidel se zobrazí všechny skupiny pravidel nakonfigurované v části Skupiny pravidel na portálu ACS. Pokud chcete do seznamu přidat skupinu pravidel, klikněte na skupiny pravidel.
Když na portálu pro správu služby ACS přidáte novou aplikaci předávající strany, ve výchozím nastavení je vybraná možnost Vytvořit novou skupinu pravidel . Důrazně doporučujeme vytvořit novou skupinu pravidel pro novou aplikaci předávající strany. Aplikaci předávající strany ale můžete přidružit k existující skupině pravidel. Uděláte to tak, že vymažete možnost Vytvořit novou skupinu pravidel a vyberete požadovanou skupinu pravidel.
Aplikaci předávající strany můžete přidružit k více než jedné skupině pravidel (a přidružit skupinu pravidel k více aplikacím předávající strany). Pokud je aplikace předávající strany přidružená k více než jedné skupině pravidel, služba ACS rekurzivně vyhodnotí pravidla ve všech skupinách pravidel, jako by byla pravidla v jedné skupině pravidel.
Další informace o pravidlech a skupinách pravidel najdete v tématu Skupiny pravidel a pravidla.
Podepisování tokenů
Vlastnost nastavení podepisování tokenů určuje, jak jsou podepsány tokeny zabezpečení, které jsou podepsány službou ACS. Všechny tokeny vydané službou ACS musí být podepsané.
Možnosti podepisování tokenů, které jsou k dispozici, závisí na formátu tokenu aplikace předávající strany. (Další informace o formátech tokenů najdete v tématu Formát tokenu.)
Tokeny SAML: K podepsání tokenů použijte certifikát X.509.
Tokeny SWT: K podepsání tokenů použijte symetrický klíč.
Tokeny JWT: K podepisování tokenů použijte certifikát X.509 nebo symetrický klíč.
Možnosti certifikátu X.509 Pro tokeny podepsané certifikátem X.509 jsou k dispozici následující možnosti.
Použijte certifikát oboru názvů služby (standard) – Pokud vyberete tuto možnost, služba ACS použije certifikát pro obor názvů Access Control k podepsání tokenů SAML 1.1 a SAML 2.0 pro aplikaci předávající strany. Tuto možnost použijte, pokud plánujete automatizovat konfiguraci webové aplikace nebo služby pomocí metadat WS-Federation, protože veřejný klíč oboru názvů se publikuje v metadatech WS-Federation pro váš obor názvů Access Control. Adresa URL dokumentu WS-Federation Metadata se zobrazí na stránce Integrace aplikace na portálu pro správu služby ACS.
Použijte vyhrazený certifikát – Pokud vyberete tuto možnost, služba ACS použije certifikát specifický pro aplikaci k podepsání tokenů SAML 1.1 a SAML 2.0 pro aplikaci předávající strany. Certifikát se nepoužívá pro jiné aplikace předávající strany. Po výběru této možnosti vyhledejte certifikát X.509 s privátním klíčem (soubor .pfx) a zadejte heslo pro soubor .pfx.
Poznámka
Tokeny JWT. Když nakonfigurujete aplikaci předávající strany tak, aby používala certifikát X.509 pro Access Control obor názvů pro podepsání tokenů JWT pro aplikaci předávající strany, odkazy na certifikát oboru názvů Access Control a klíč oboru názvů Access Control se zobrazí na stránce aplikace předávající strany na portálu pro správu služby ACS. Služba ACS však používá k podepisování tokenů pro aplikaci předávající strany pouze certifikát oboru názvů.
Spravované obory názvů. Při přidávání aplikace předávající strany do spravovaného oboru názvů, jako je například obor názvů Service Bus, nezadávejte certifikáty nebo klíče specifické pro aplikaci (vyhrazené). Místo toho vyberte možnosti, které směrují službu ACS, aby používala certifikáty a klíče nakonfigurované pro všechny aplikace ve spravovaném oboru názvů. Další informace najdete v tématu Spravované obory názvů.Další informace o sdílených a vyhrazených certifikátech a klíčích najdete v tématu Certifikáty a klíče.
Možnosti symetrického klíče
Osvědčeným postupem zabezpečení je, že při použití symetrických klíčů vytvořte vyhrazený klíč pro každou aplikaci předávající strany místo použití sdíleného symetrického klíče pro obor názvů Access Control. Pokud zadáte nebo vygenerujete vyhrazený klíč, služba ACS použije vyhrazený klíč k podepisování tokenů pro aplikaci předávající strany, pokud je vyhrazený klíč platný. Pokud ale platnost vyhrazeného klíče vyprší a nenahradí se, služba ACS použije sdílený klíč oboru názvů k podepisování tokenů pro aplikaci předávající strany.
Pokud se rozhodnete použít sdílený symetrický klíč, zkopírujte hodnoty klíče oboru názvů služby ze stránky Certifikáty a klíče a vložte je do polí v části Podepisování tokenů na stránce aplikace předávající strany .
Pro tokeny podepsané symetrickými klíči jsou k dispozici následující možnosti.
Podpisový klíč tokenu – Zadejte 256bitový symetrický klíč nebo klikněte na Generovat a vygenerujte 256bitový symetrický klíč.
Platné datum – Určuje počáteční datum rozsahu dat, během kterého je symetrický klíč platný. Počínaje tímto datem služba ACS používá symetrický klíč k podepisování tokenů pro aplikaci předávající strany. Výchozí hodnota služby ACS je aktuální datum.
Datum vypršení platnosti – Určuje koncové datum rozsahu dat, během kterého je symetrický klíč platný. Od tohoto data služba ACS nepoužívá symetrický klíč k podepisování tokenů pro aplikaci předávající strany. Není k dispozici žádná výchozí hodnota. Osvědčeným postupem zabezpečení je, že symetrické klíče by měly být v závislosti na požadavcích aplikace nahrazeny každý rok nebo každé dva roky.
Šifrování tokenů
Možnost šifrovacího certifikátu tokenu určuje certifikát X.509 (soubor .cer), který se používá k šifrování tokenů pro aplikaci předávající strany. V ACS můžete šifrovat pouze tokeny SAML 2.0 nebo SAML 1.1. Služba ACS nepodporuje šifrování tokenů SWT ani JWT.
Certifikáty pro šifrování tokenů zadáte v části Certifikáty a klíče na portálu ACS. Když kliknete na odkaz Kliknout sem v části Zásady šifrování tokenů na stránce aplikace předávající strany, otevře se stránka Přidat certifikát šifrování tokenů certifikátů a klíčů. Na této stránce můžete zadat soubor certifikátu.
Další informace najdete v tématu Zásady šifrování tokenů. Další informace o získávání a přidávání šifrovacích certifikátů najdete v tématu Certifikáty a klíče.