Sdílet prostřednictvím

WS-Federation zprostředkovatelů identity

  • Článek

Aktualizováno: 19. června 2015

Platí pro: Azure

WS-Federation zprostředkovatelé identit jsou vlastní zprostředkovatelé identity, kteří podporují protokol WS-Federation a jsou nakonfigurované v Microsoft Azure Active Directory Access Control (označované také jako služba Access Control nebo služba ACS) pomocí metadat WS-Federation. Poskytovatel identity WS-Federation může také podporovat další federační protokoly, jako je WS-Trust. WS-Federation zprostředkovatelé identit se nejčastěji používají ve scénářích webových a webových aplikací, kde se WS-Federation pasivní profil žadatele používá k usnadnění potřebných přesměrování tokenů do a ze služby ACS pomocí webového prohlížeče.

Microsoft Active Directory Federation Services (AD FS) 2.0

Běžným příkladem zprostředkovatele identity WS-Federation je . Můžete ho použít k integraci účtů podnikové služby Active Directory se službou ACS. Než budete moct přidat a nakonfigurovat jako zprostředkovatele identity v ACS, musíte mít nainstalovaný a pracovat s alespoň jedním vztahem důvěryhodnosti zprostředkovatele deklarací identity, například Active Directory Domain Services (AD DS). Další informace najdete v tématu Postupy: Konfigurace služby AD FS 2.0 jako zprostředkovatele identity.

Konfigurace na portálu pro správu služby ACS

Pokud ke konfiguraci zprostředkovatele identity WS-Federation používáte portál pro správu služby ACS, musíte zadat následující data.

  • Zobrazovaný název – Určuje zobrazovaný název zprostředkovatele identity. Tento název se používá pouze na portálu pro správu služby ACS.

  • Metadata WS-Federation – obsahuje informace o konfiguraci (metadata federace) o zavedených federovaných službách, jako jsou tokeny a autorizace, a zásady pro přístup k nim. Když do služby ACS přidáte zprostředkovatele identity WS-Federation, musíte zadat adresu URL dokumentu federačních metadat nebo nahrát místní kopii dokumentu metadat pro zprostředkovatele identity WS-Federation.

    Upozornění

    Importujte WS-Federation metadata jenom zprostředkovatele identity WS-Federation, kterému důvěřujete.

    Z bezpečnostních důvodů důrazně doporučujeme, aby poskytovatel identity WS-Federation publikoval dokument federačních metadat na adrese URL HTTPS. Doporučuje se také, aby poskytovatel identity WS-Federation používal pouze koncové body vystavování tokenů HTTPS.

  • Text odkazu pro přihlášení – Určuje text zobrazený pro tohoto zprostředkovatele identity na přihlašovací stránce webové aplikace. Další informace najdete v tématu Přihlašovací stránky a Zjišťování domovské sféry.

  • Adresa URL obrázku (volitelné) – Přidruží adresu URL k souboru obrázku (například logo podle vašeho výběru), které můžete zobrazit jako přihlašovací odkaz pro tohoto zprostředkovatele identity. Toto logo se automaticky zobrazí na výchozí přihlašovací stránce webové aplikace s podporou služby ACS a také v informačním kanálu JSON vaší webové aplikace, který můžete použít k vykreslení vlastní přihlašovací stránky. Pokud nezadáte adresu URL obrázku, zobrazí se na přihlašovací stránce vaší webové aplikace textový přihlašovací odkaz pro tohoto zprostředkovatele identity. Pokud zadáte adresu URL obrázku, důrazně se doporučuje odkazovat na důvěryhodný zdroj, například na vlastní web nebo aplikaci, pomocí protokolu HTTPS, aby se zabránilo upozorněním zabezpečení prohlížeče. Na výchozí stránce zjišťování domovské sféry ACS se také automaticky změní velikost libovolného obrázku, který je větší než 240 pixelů a výška 40 pixelů. Doporučujeme, abyste získali oprávnění od partnera k zobrazení tohoto obrázku.

  • E-mailové názvy domén (volitelné) – Pokud chcete uživatelům vyzvat, aby se přihlásili pomocí jejich e-mailové adresy, můžete zadat přípony e-mailové domény hostované tímto poskytovatelem identity. V opačném případě ponechte toto pole prázdné a zobrazte odkaz pro přímé přihlášení. Pomocí středníků oddělte seznam přípon. Další informace najdete v tématu Přihlašovací stránky a Zjišťování domovské sféry.

  • Aplikace předávající strany – Určuje všechny existující aplikace předávající strany, které chcete přidružit k tomuto zprostředkovateli identity. Další informace najdete v tématu Aplikace předávající strany.

Po přidružení zprostředkovatele identity k aplikaci předávající strany musí být pravidla pro tohoto zprostředkovatele identity generována nebo přidána ručně ve skupině pravidel aplikace předávající strany, aby se dokončila konfigurace. Další informace o vytváření pravidel najdete v tématu Skupiny pravidel a pravidla.

Podporované typy deklarací identity

Jakmile se uživatel ověří pomocí zprostředkovatele identity, obdrží token naplněný deklaracemi identity. Deklarace identity jsou informace o uživateli, například e-mailovou adresu nebo jedinečné ID. Služba ACS může tyto deklarace identity předat přímo do aplikace předávající strany nebo provádět rozhodnutí o autorizaci na základě hodnot, které obsahují.

Ve výchozím nastavení se typy deklarací identity v ACS jednoznačně identifikují pomocí identifikátoru URI pro dodržování specifikace tokenu SAML. Tyto identifikátory URI se také používají k deklarace identity v jiných formátech tokenů.

U WS-Federation zprostředkovatelů identity jsou dostupné typy deklarací identity určeny metadaty WS-Federation pro zprostředkovatele identity importované do služby ACS. Po dokončení importu se typy deklarací identity dostupné pro zprostředkovatele identity zobrazí na stránce Upravit pravidlo deklarace identity na portálu pro správu služby ACS. Tyto typy deklarací identity jsou také viditelné prostřednictvím entity ClaimType ve službě ACS Management Service.

Kromě typů deklarací identity dostupných prostřednictvím metadat WS-Federation služba ACS vždy vydává následující deklarace identity pro každého zprostředkovatele identity WS-Federation.

Typ deklarace identity Identifikátor URI Description

Identifikátor jména

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Jedinečný identifikátor uživatelského účtu, který poskytuje zprostředkovatel identity.

Zprostředkovatel identity

https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Deklarace identity poskytovaná službou ACS, která informuje aplikaci předávající strany, že se uživatel ověřil pomocí vybraného zprostředkovatele identity. Hodnota této deklarace identity je viditelná na portálu pro správu služby ACS prostřednictvím pole Sféra na stránce Upravit zprostředkovatele identity .

Poznámka

WS-Federation zprostředkovatelé identit můžou také vydávat typy deklarací identity službě ACS, které nejsou explicitně uvedeny v dokumentu WS-Federation metadat zprostředkovatele identity. V tomto případě lze identifikátor URI očekávaného typu deklarace identity zadat ručně do pravidla místo vybraného pravidla. Další informace o pravidlech najdete v tématu Skupiny pravidel a pravidla.

Správa certifikátů

Podpisové certifikáty tokenu X.509 pro zprostředkovatele identity WS-Federation jsou uvedené na stránce pro zprostředkovatele identity na portálu pro správu služby ACS. Je důležité monitorovat certifikáty a zajistit jejich účinnost a jejich nahrazení před vypršením jejich platnosti.

Zobrazení certifikátů pro zprostředkovatele identity WS-Federation:

  1. Na portálu pro správu služby ACS klikněte na zprostředkovatele identit.

  2. Klikněte na zprostředkovatele identity WS-Federation.

  3. Posuňte se do části Podpisové certifikáty tokenů v dolní části stránky.

Další informace o správě certifikátů pro zprostředkovatele identity WS-Federation najdete v tématu Certifikát zprostředkovatele identity WS-Federation.

Viz také

Koncepty

Zprostředkovatelé identit
Pokyny ke správě certifikátů a klíčů