Delen via

id-providers WS-Federation

  • Artikel

Bijgewerkt: 19 juni 2015

Van toepassing op: Azure

WS-Federation id-providers zijn aangepaste id-providers die het WS-Federation-protocol ondersteunen en zijn geconfigureerd in Microsoft Azure Active Directory Access Control (ook wel Access Control Service of ACS genoemd) met behulp van WS-Federation metagegevens. Een WS-Federation id-provider kan ook andere federatieprotocollen ondersteunen, zoals WS-Trust. WS-Federation id-providers worden het meest gebruikt in website- en webtoepassingsscenario's, waarbij het WS-Federation passieve aanvragerprofiel wordt gebruikt om de benodigde tokenomleidingen naar en van ACS te vergemakkelijken met behulp van een webbrowser.

Microsoft Active Directory Federation Services 2.0

Een veelvoorkomend voorbeeld van een WS-Federation id-provider is. U kunt deze gebruiken om uw Enterprise Active Directory-accounts te integreren met ACS. Voordat u kunt toevoegen en configureren als een id-provider in ACS, moet u ten minste één Claim Provider Trust hebben geïnstalleerd en werken, bijvoorbeeld Active Directory Domain Services (AD DS). Zie Procedures voor meer informatie : AD FS 2.0 configureren als id-provider.

Configureren in de ACS-beheerportal

Wanneer u de ACS-beheerportal gebruikt om een WS-Federation id-provider te configureren, moet u de volgende gegevens invoeren.

  • Weergavenaam: hiermee geeft u de weergavenaam van uw id-provider op. Deze naam wordt alleen gebruikt in de ACS-beheerportal.

  • WS-Federation-metagegevens: bevat configuratie-informatie (federatiemetagegevens) over de gevestigde federatieve services, zoals tokens en autorisatie, en het beleid voor toegang tot deze services. Wanneer u een WS-Federation id-provider toevoegt in ACS, moet u de URL van het document met federatieve metagegevens invoeren of een lokale kopie van het metagegevensdocument uploaden voor de WS-Federation id-provider.

    Waarschuwing

    Importeer WS-Federation metagegevens alleen van een WS-Federation id-provider die u vertrouwt.

    Om veiligheidsredenen wordt het sterk aanbevolen dat de WS-Federation id-provider hun document met federatieve metagegevens publiceert op een HTTPS-URL. Het wordt ook aanbevolen dat de WS-Federation id-provider alleen HTTPS-tokenuitgifte-eindpunten gebruikt.

  • Tekst van aanmeldingskoppeling: hiermee geeft u de tekst op die voor deze id-provider wordt weergegeven op de aanmeldingspagina van uw webtoepassing. Zie Aanmeldingspagina's en Home Realm Discovery voor meer informatie.

  • Afbeeldings-URL (optioneel): koppelt een URL aan een afbeeldingsbestand (bijvoorbeeld een logo van uw keuze) dat u kunt weergeven als de aanmeldingskoppeling voor deze id-provider. Dit logo wordt automatisch weergegeven op de standaardaanmeldingspagina voor uw ACS-compatibele webtoepassing, evenals in de JSON-feed van uw webtoepassing die u kunt gebruiken om een aangepaste aanmeldingspagina weer te geven. Als u geen afbeeldings-URL opgeeft, wordt er een koppeling voor tekstaanmelding voor deze id-provider weergegeven op de aanmeldingspagina van uw webtoepassing. Als u een afbeeldings-URL opgeeft, wordt het sterk aanbevolen om te verwijzen naar een vertrouwde bron, bijvoorbeeld uw eigen website of toepassing, met behulp van HTTPS om beveiligingswaarschuwingen voor browsers te voorkomen. Bovendien wordt elke afbeelding die groter is dan 240 pixels in breedte en 40 pixels in hoogte automatisch gewijzigd op de standaardpagina voor detectie van ACS-thuisdomein. Het wordt aanbevolen om toestemming te krijgen van uw partner om deze afbeelding weer te geven.

  • E-maildomeinnamen (optioneel):als u gebruikers wilt vragen zich aan te melden met hun e-mailadres, kunt u de e-maildomeinachtervoegsels opgeven die worden gehost door deze id-provider. Laat dit veld anders leeg om een directe aanmeldingskoppeling weer te geven. Gebruik puntkomma's om de lijst met achtervoegsels te scheiden. Zie Aanmeldingspagina's en Home Realm Discovery voor meer informatie.

  • Relying party-toepassingen: hiermee geeft u alle bestaande relying party-toepassingen op die u wilt koppelen aan deze id-provider. Zie Relying Party-toepassingen voor meer informatie.

Nadat een id-provider is gekoppeld aan een relying party-toepassing, moeten regels voor die id-provider worden gegenereerd of handmatig worden toegevoegd in de regelgroep van een relying party-toepassing om de configuratie te voltooien. Zie Regelgroepen en regels voor meer informatie over het maken van regels.

Ondersteunde claimtypen

Nadat een gebruiker is geverifieerd bij een id-provider, ontvangen ze een token dat is gevuld met identiteitsclaims. Claims zijn stukjes informatie over de gebruiker, zoals een e-mailadres of een unieke id. ACS kan deze claims rechtstreeks doorgeven aan de relying party-toepassing of autorisatiebeslissingen nemen op basis van de waarden die ze bevatten.

Claimstypen in ACS worden standaard uniek geïdentificeerd met behulp van een URI voor naleving van de SAML-tokenspecificatie. Deze URI's worden ook gebruikt voor identiteitsclaims in andere tokenindelingen.

Voor WS-Federation id-providers worden de beschikbare claimtypen bepaald door de WS-Federation metagegevens voor de id-provider die in ACS wordt geïmporteerd. Zodra het importeren is voltooid, zijn de claimtypen die beschikbaar zijn voor de id-provider zichtbaar op de pagina Claimregel bewerken van de ACS-beheerportal. Deze claimtypen zijn ook zichtbaar via de claimtype-entiteit in de ACS-beheerservice.

Naast de claimtypen die beschikbaar zijn via WS-Federation metagegevens, geeft ACS altijd de volgende claims uit voor elke WS-Federation id-provider.

Claimtype URI Description

Naam-id

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Een unieke id voor het gebruikersaccount, geleverd door de id-provider.

Identiteitsprovider

https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Een claim van ACS die de relying party-toepassing vertelt dat de gebruiker is geverifieerd met behulp van de geselecteerde id-provider. De waarde van deze claim is zichtbaar in de ACS-beheerportal via het veld Realm op de pagina Id-provider bewerken .

Notitie

WS-Federation id-providers kunnen ook claimtypen uitgeven aan ACS die niet expliciet worden vermeld in het WS-Federation metagegevensdocument van de id-provider. In dit geval kan de verwachte claimtype-URI handmatig worden ingevoerd in een regel in plaats van geselecteerd. Zie Regelgroepen en regels voor meer informatie over regels.

Certificaten beheren

De X.509-tokenondertekeningscertificaten voor een WS-Federation id-provider worden weergegeven op de pagina voor de id-provider in de ACS-beheerportal. Het is belangrijk om de certificaten te controleren en ervoor te zorgen dat ze effectief zijn en dat ze worden vervangen voordat ze verlopen.

De certificaten voor een WS-Federation id-provider weergeven:

  1. Klik in de ACS-beheerportal op Id-providers.

  2. Klik op de WS-Federation id-provider.

  3. Schuif naar de sectie Certificaten voor tokenonder aan de pagina.

Zie het certificaat van WS-Federation-id-provider voor meer informatie over het beheren van certificaten voor WS-Federation id-providers.

Zie ook

Concepten

Id-providers
Richtlijnen voor het beheer van certificaten en sleutels