Compartilhar via

Provedores de identidade do WS-Federation

  • Artigo

Atualizado: 19 de junho de 2015

Aplica-se ao Azure

WS-Federation provedores de identidade são provedores de identidade personalizados que dão suporte ao protocolo WS-Federation e são configurados em Microsoft Azure Active Directory Controle de Acesso (também conhecido como serviço de Controle de Acesso ou ACS) usando metadados WS-Federation. Um provedor de identidade do WS-Federation também pode oferecer suporte a outros protocolos de federação, como WS-Trust. WS-Federation provedores de identidade são usados com mais frequência em cenários de site e aplicativo Web, em que o WS-Federation perfil de solicitante passivo é usado para facilitar os redirecionamentos de token necessários de e para o ACS usando um navegador da Web.

Serviços de Federação do Active Directory 2.0 da Microsoft

Um exemplo comum de um provedor de identidade do WS-Federation é . Você pode usá-lo para integrar suas contas corporativas do Active Directory ao ACS. Antes de adicionar e configurar como um provedor de identidade no ACS, você deve ter instalado e trabalhado com pelo menos uma Confiança do Provedor de Declarações, por exemplo, Active Directory Domain Services (AD DS). Para obter mais informações, consulte Como configurar o AD FS 2.0 como um provedor de identidade.

Configurando no Portal de Gerenciamento do ACS

Ao usar o Portal de Gerenciamento do ACS para configurar um provedor de identidade WS-Federation, insira os dados a seguir.

  • Nome de exibição – especifica o nome de exibição do seu provedor de identidade. Esse nome é usado somente no Portal de Gerenciamento do ACS.

  • Metadados do WS-Federation – contém informações de configuração (metadados de federação) sobre os serviços federados estabelecidos, como tokens e autorização, e as políticas para acessá-los. Ao adicionar um provedor de identidade WS-Federation no ACS, você deve inserir a URL do documento de metadados de federação ou carregar uma cópia local do documento de metadados para o provedor de identidade WS-Federation.

    Aviso

    Importe metadados de WS-Federation apenas de um provedor de identidade do WS-Federation que você confia.

    Por motivos de segurança, é altamente recomendável que o provedor de identidade do WS-Federation publique seu documento de metadados de federação em uma URL HTTPS. Também é recomendável que o provedor de identidade do WS-Federation use apenas pontos de extremidade de emissão de token HTTPS.

  • Texto do link de logon – especifica o texto que é exibido para esse provedor de identidade na página de logon do seu aplicativo da Web. Para obter mais informações, consulte Páginas de Logon e Descoberta de Realm Inicial.

  • URL da imagem (opcional) — Associa uma URL a um arquivo de imagem (por exemplo, um logotipo de sua escolha) que você pode exibir como link de logon desse provedor de identidade. Esse logotipo aparece automaticamente na página de logon padrão do aplicativo Web com reconhecimento acs, bem como no feed JSON do aplicativo Web que você pode usar para renderizar uma página de logon personalizada. Se você não especificar a URL de uma imagem, um link de logon de texto desse provedor de identidade será exibido na página de logon de seu aplicativo Web. Se você especificar a URL de uma imagem, é altamente recomendável que ela aponte para uma fonte confiável. Por exemplo, seu próprio aplicativo ou site da Web, usando HTTPS para evitar avisos de segurança do navegador. Além disso, qualquer imagem com mais de 240 pixels de largura e 40 pixels de altura é automaticamente redimensionada na página Descoberta de realm inicial padrão do ACS. É recomendável que você obtenha permissão de seu parceiro para exibir essa imagem.

  • Nomes de domínio de email (opcional) – para solicitar que os usuários façam logon usando seu endereço de email, você pode especificar os sufixos de domínio de email hospedados por esse provedor de identidade. Caso contrário, deixe esse campo em branco para exibir um link de logon direto. Use ponto e vírgula para separar a lista de sufixos. Para obter mais informações, consulte Páginas de Logon e Descoberta de Realm Inicial.

  • Aplicativos de terceira parte confiável – especifica todos os aplicativos de terceira parte confiável existentes que você queira associar a esse provedor de identidade. Para obter mais informações, consulte Aplicativos de Terceira Parte Confiável.

Após a associação do provedor de identidade a um aplicativo de terceira parte confiável, regras para esse provedor de identidade devem ser geradas ou adicionadas manualmente em um grupo de regras do aplicativo de terceira parte confiável para concluir a configuração. Para obter mais informações sobre como criar regras, consulte Grupos de Regras e Regras.

Tipos de declaração com suporte

Depois da autenticação do usuário com um provedor de identidade, o usuário recebe um token com declarações de identidade. As declarações são informações sobre o usuário, como um endereço de email ou uma ID exclusiva. O ACS pode passar essas declarações diretamente para o aplicativo de terceira parte confiável ou tomar decisões de autorização com base nos valores que elas contêm.

Por padrão, os tipos de declarações no ACS são identificados exclusivamente usando um URI para conformidade com a especificação do token SAML. Esses URIs também são usados para identificar declarações em outros formatos de token.

Para provedores de identidade WS-Federation, os tipos de declaração disponíveis são determinados pelos metadados WS-Federation para o provedor de identidade importados para o ACS. Depois que a importação for concluída, os tipos de declaração disponíveis para o provedor de identidade ficarão visíveis na página Editar Regra de Declaração do Portal de Gerenciamento do ACS. Esses tipos de declaração também são visíveis por meio da entidade ClaimType no Serviço de Gerenciamento do ACS.

Além dos tipos de declaração disponíveis por meio de metadados WS-Federation, o ACS sempre emite as seguintes declarações para cada provedor de identidade WS-Federation.

Tipo de declaração URI Descrição

Identificador do Nome

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Identificador exclusivo da conta de usuário fornecido pelo provedor de identidade.

Provedor de identidade

https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Uma declaração fornecida pelo ACS que informa ao aplicativo de terceira parte confiável que o usuário autenticou usando o provedor de identidade selecionado. O valor dessa declaração é visível no Portal de Gerenciamento do ACS por meio do campo Realm na página Editar Provedor de Identidade .

Observação

WS-Federation provedores de identidade também podem emitir tipos de declaração para ACS que não estão explicitamente listados no documento de metadados WS-Federation do provedor de identidade. Nesse caso, o URI de tipo de declaração esperado pode ser inserido manualmente em uma regra selecionada. Para obter mais informações sobre regras, consulte Grupos de Regras e Regras.

Gerenciando certificados

Os certificados de assinatura de token X.509 para um provedor de identidade WS-Federation estão listados na página do provedor de identidade no Portal de Gerenciamento do ACS. É importante monitorar os certificados e garantir que sejam efetivos e que serão substituídos antes de expirarem.

Para exibir os certificados para um provedor de identidade do WS-Federation:

  1. No Portal de Gerenciamento do ACS, clique em Provedores de identidade.

  2. Clique no provedor de identidade do WS-Federation.

  3. Role até a seção Certificados de assinatura de token na parte inferior da página.

Para obter mais informações sobre como gerenciar certificados para provedores de identidade WS-Federation, consulte o certificado do provedor de identidade WS-Federation.

Consulte Também

Conceitos

Provedores de Identidade
Diretrizes para gerenciamento de chaves e certificados