信賴憑證者應用程式
更新日期:2015 年 6 月 19 日
適用對象:Azure
信賴憑證者應用程式 (也稱為宣告感知應用程式或宣告式應用程式) 是仰賴宣告進行驗證的應用程式或服務。 在Microsoft Azure Active Directory 存取控制 (也稱為存取控制服務或 ACS) 中,信賴憑證者應用程式是一個網站、應用程式或服務,可使用 ACS 來實作同盟驗證。
您可以使用 ACS 管理入口網站,或使用 ACS 管理服務,以程式設計方式手動建立及設定信賴憑證者應用程式。
在 ACS 管理入口網站中,您新增和設定的信賴憑證者應用程式是信任特定存取控制命名空間的網站、應用程式或服務的邏輯標記法。 您可以在每個存取控制命名空間中新增和設定許多信賴憑證者應用程式。
在 ACS 管理入口網站中進行設定
您可以使用 ACS 管理入口網站來設定信賴憑證者應用程式的下列屬性:
[模式]
領域和傳回 URL
錯誤 URL (選用)
權杖格式
權杖加密原則
權杖存留期
識別提供者
規則群組
權杖簽署
權杖加密
[模式]
[模式] 屬性會判斷您是以手動方式進行信賴憑證者應用程式設定,還是指定定義應用程式設定的 WS-同盟中繼資料文件。
WS-同盟中繼資料文件通常包含應用程式的領域和傳回 URL。 它也可以包含選擇性的加密憑證,可用來加密 ACS 簽發給應用程式的權杖。 如果指定了WS-Federation檔,且中繼資料包含加密憑證,權杖加密原則設定會預設為 [需要加密]。 如果 [權杖加密原則] 設定的值是 [需要加密],但 WS-同盟中繼資料文件不包含加密憑證,則您必須手動上傳加密憑證。
如果信賴憑證者應用程式已與 Windows Identity Foundation (WIF) 整合,則 WIF 會自動建立應用程式的 WS-同盟中繼資料文件。
領域和傳回 URL
Realm屬性會定義 ACS 所發行權杖有效的 URI。 傳 回 URL (也稱為 ReplyTo 位址) 定義 ACS 核發令牌的傳送目的地 URL。 當要求權杖存取信賴憑證者應用程式時,ACS 只有在權杖要求中的領域符合信賴憑證者應用程式的領域時,才會發出權杖。
重要
在 ACS 中,領域值會區分大小寫。
在 ACS 管理入口網站中,您只能在每個存取控制命名空間中設定一個領域和一個傳回 URL。 在最簡單的情況下,領域和傳回 URL 會完全相同。 例如,如果應用程式的根 URI 是 https://contoso.com ,則信賴憑證者應用程式的領域和傳回 URL 為 https://contoso.com 。
若要為信賴憑證者應用程式設定多個傳回 URL (ReplyTo 位址) ,請使用 ACS 管理服務中的 RelyingPartyAddress 實體。
從 ACS 要求權杖,或從識別提供者將權杖張貼至 ACS 時,ACS 會將權杖要求中的領域值與信賴憑證者應用程式的領域值進行比較。 如果權杖要求使用WS-Federation通訊協定,ACS 會使用領域值位於 wtrealm 參數中。 如果權杖使用 OAuth WRAP 通訊協定,ACS 會使用 applies_to 參數中的領域值。 如果 ACS 在信賴憑證者應用程式的組態設定中找到相符的領域,它會建立權杖,向信賴憑證者應用程式驗證使用者,並將權杖傳送至傳回 URL。
當信賴憑證者有多個傳回 URL 時,此程式會很類似。 ACS 會從 wreply 參數取得重新導向 URL。 如果重新導向 URL 是信賴憑證者應用程式的其中一個傳回 URL,則 ACS 會將回應傳送至該 URL。
領域值會區分大小寫。 只有當領域值完全相同,或信賴憑證者應用程式的領域值是權杖要求中領域的前置詞時,才會簽發權杖。 例如,的信賴憑證者應用程式領域值 http://www.fabrikam.com 符合 的權杖要求領域值 http://www.fabrikam.com/billing ,但不符合 的 https://fabrikam.com 權杖要求領域 v。
錯誤 URL (選用)
如果登入程式期間發生錯誤, 錯誤 URL 會指定 ACS 重新導向使用者的 URL。 它是信賴憑證者應用程式的選擇性屬性。
[錯誤 URL]值可以是信賴憑證者應用程式所裝載的自訂頁面,例如 http://www.fabrikam.com/billing/error.aspx 。 在重新導向過程中,ACS 會將錯誤的詳細資料提供給信賴憑證者應用程式作為 JSON 編碼 HTTP URL 參數。 您可以製作自訂錯誤頁面,來解譯 JSON 編碼的錯誤資訊、轉譯實際錯誤訊息,和/或顯示靜態說明文字。
如需錯誤 URL 使用方式的詳細資訊,請參閱程式碼範例:ASP.NET 簡單 MVC 2。
權杖格式
Token 格式屬性會決定 ACS 針對信賴憑證者應用程式發出之權杖的格式。 ACS 可以發出 SAML 2.0、SAML 1.1、SWT 或 JWT 權杖。 如需權杖格式的詳細資訊,請參閱 ACS 中支援的權杖格式。
ACS 會使用標準通訊協定將權杖傳回至 Web 應用程式或服務。 當令牌格式支援多個通訊協定時,ACS 會使用用於權杖要求的相同通訊協定。 ACS 支援下列權杖格式/通訊協定組合:
ACS 可以使用WS-Trust和WS-Federation通訊協定來傳回 SAML 2.0 權杖。
ACS 可以使用WS-Federation和相關WS-Trust通訊協定來傳回 SAML 1.1 權杖。
ACS 可以使用 WS-Federation、WS-Trust、OAuth-WRAP 和 OAuth 2.0 通訊協定來傳回 SWT 權杖。
ACS 可以使用 WS-Federation、WS-Trust 和 OAuth 2.0 通訊協定來發行和傳回 JWT 權杖。
如需 ACS 使用之標準通訊協定的詳細資訊,請參閱 ACS 中支援的通訊協定。
選擇權杖格式時,請考慮您的存取控制命名空間如何簽署它所發行的權杖。 所有 ACS 發行的權杖都必須經過簽署。 如需詳細資訊,請參閱權杖簽署。
另外,請考慮是否要加密權杖。 如需詳細資訊,請參閱權杖加密原則。
權杖加密原則
權杖加密原則會決定 ACS 針對信賴憑證者應用程式所簽發的權杖是否已加密。 若要要求加密,請選取 [需要加密] 值。
在 ACS 中,您只能設定 SAML 2.0 或 SAML 1.1 權杖的加密原則。 ACS 不支援 SWT 或 JWT 權杖的加密。
ACS 會使用包含公開金鑰的 X.509 憑證來加密 SAML 2.0 和 SAML 1.1 權杖, (.cer 檔案) 。 接著,可以使用信賴憑證者應用程式所持有的私密金鑰來將這些加密權杖解密。 如需取得和使用加密憑證的詳細資訊,請參閱 憑證和金鑰。
在 ACS 發行的權杖上設定加密原則是選擇性的。 不過,當信賴憑證者應用程式是在 WS-Trust 通訊協定上使用持有證明權杖的 Web 服務時,您必須設定加密原則。 在沒有加密權杖的情況下,這個特殊案例無法正常運作。
權杖存留期
Token 存留期屬性會指定時間間隔 (以秒為單位,) 期間 ACS 發行給信賴憑證者應用程式的安全性權杖有效。 預設值為 600 (10 分鐘)。 在 ACS 中,權杖存留期值必須介於零 (0) 和 86400 (24 小時之間,) 包含。
識別提供者
[身分識別提供者] 屬性會指定可傳送宣告給信賴憑證者應用程式的身分識別提供者。 這些識別提供者會出現在 Web 應用程式或服務的 ACS 登入頁面上。 ACS 入口網站的 [ 識別提供者 ] 區段中設定的所有識別提供者都會出現在識別提供者清單中。 若要將身分識別提供者新增至清單,請按一下 [身分識別提供者]。
每個信賴憑證者應用程式可以與零或多個身分識別提供者建立關聯。 存取控制命名空間中的信賴憑證者應用程式可以與相同的識別提供者或不同的識別提供者相關聯。 如果您未為信賴憑證者應用程式選取任何識別提供者,您必須為信賴憑證者應用程式設定與 ACS 的直接驗證。 例如,您可以使用服務識別來設定直接驗證。 如需詳細資訊,請參閱 服務識別。
規則群組
[規則群組] 屬性可決定信賴憑證者應用程式在處理宣告時要使用哪些規則。
每個 ACS 信賴憑證者應用程式都必須與至少一個規則群組相關聯。 如果權杖要求符合沒有規則群組的信賴憑證者應用程式,ACS 就不會對 Web 應用程式或服務發出權杖。
ACS 入口網站的 [ 規則群組 ] 區段中設定的所有規則群組都會出現在規則群組清單中。 若要將規則群組新增至清單,請按一下 [規則群組]。
當您在 ACS 管理入口網站中新增信賴憑證者應用程式時,預設會選取 [ 建立新的規則群組 ] 選項。 強烈建議您為新的信賴憑證者應用程式建立新的規則群組。 不過,您可以為信賴憑證者應用程式與現有的規則群組建立關聯。 若要這樣做,請清除 [建立新的規則群組] 選項,並選取所需的規則群組。
您可以為一個信賴憑證者應用程式與多個規則群組建立關聯 (並為一個規則群組與多個信賴憑證者應用程式建立關聯)。 如果信賴憑證者應用程式與多個規則群組相關聯,ACS 會以遞迴方式評估所有規則群組中的規則,就像是單一規則群組中的規則一樣。
如需規則和規則群組的詳細資訊,請參閱 規則群組和規則。
權杖簽署
權杖簽署設定屬性會指定 ACS 簽發的安全性權杖簽署方式。 所有 ACS 發行的權杖都必須經過簽署。
可用的權杖選項會視信賴憑證者應用程式的 [權杖格式] 而定。 (如需權杖格式的詳細資訊,請參閱權杖格式.)
SAML 權杖:使用 X.509 憑證來簽署權杖。
SWT 權杖:使用對稱金鑰簽署權杖。
JWT 權杖:使用 X.509 憑證或對稱金鑰來簽署權杖。
X.509 憑證選項。 下列選項適用於使用 X.509 憑證簽署的權杖。
使用服務命名空間憑證 (標準) —如果您選取此選項,ACS 會針對存取控制命名空間使用憑證來簽署 SAML 1.1 和 SAML 2.0 權杖給信賴憑證者應用程式。 如果您打算使用WS-Federation中繼資料將 Web 應用程式或服務的設定自動化,請使用此選項,因為命名空間公開金鑰會發佈在存取控制命名空間的WS-Federation中繼資料中。 WS-Federation元資料檔案的 URL 會出現在 ACS 管理入口網站的 [ 應用程式整合 ] 頁面上。
使用專用憑證— 如果您選取此選項,ACS 會使用應用程式特定的憑證來簽署 SAML 1.1 和 SAML 2.0 權杖給信賴憑證者應用程式。 此憑證無法用於其他信賴憑證者應用程式。 選取此選項之後,請瀏覽尋找具有私密金鑰 (.pfx 檔案) 的 X.509 憑證,然後輸入此 .pfx 檔案的密碼。
注意
JWT 權杖。 當您將信賴憑證者應用程式設定為使用存取控制命名空間的 X.509 憑證來簽署信賴憑證者應用程式的 JWT 權杖時,連結至存取控制命名空間憑證,而存取控制命名空間金鑰會出現在 ACS 管理入口網站中信賴憑證者應用程式的頁面上。 不過,ACS 只會使用命名空間憑證來簽署信賴憑證者應用程式的權杖。
受管理的命名空間。 當您將信賴憑證者應用程式新增至受管理的命名空間 (例如服務匯流排命名空間) 時,請勿輸入應用程式特定的 (專用) 憑證或金鑰。 反之請選取選項,指示 ACS 使用為受管理命名空間的所有應用程式所設定的憑證和金鑰。 如需詳細資訊,請參閱 受控命名空間如需共用和專用憑證和金鑰的詳細資訊,請參閱 憑證和金鑰。
對稱金鑰選項
作為安全性最佳做法,使用對稱金鑰時,請為每個信賴憑證者應用程式建立專用金鑰,而不是針對存取控制命名空間使用共用對稱金鑰。 如果您輸入或產生專用金鑰,只要專用金鑰有效,ACS 就會使用專用金鑰來簽署信賴憑證者應用程式的權杖。 不過,如果專用金鑰過期且未取代,ACS 會使用共用命名空間金鑰來簽署信賴憑證者應用程式的權杖。
如果您選擇使用共用對稱金鑰,請複製 [憑證和金鑰] 頁面上 [服務命名空間] 金鑰的值,並將這些值貼入 [信賴憑證者應用程式] 頁面上 [權杖簽署] 區段中的欄位。
下列選項適用於使用對稱金鑰簽署的權杖。
權杖簽署金鑰 - 輸入 256 位元的對稱金鑰,或按一下 [產生] 以產生 256 位元的對稱金鑰。
生效日期 - 指定對稱金鑰有效日期範圍的開始日期。 從這個日期開始,ACS 會使用對稱金鑰來簽署信賴憑證者應用程式的權杖。 ACS 預設值是目前的日期。
到期日 - 指定對稱金鑰有效日期範圍的結束日期。 從這個日期起,ACS 不會使用對稱金鑰來簽署信賴憑證者應用程式的權杖。 沒有任何預設值。 安全性最佳做法是應該每年或每兩年就更換對稱金鑰,視應用程式的需求而定。
權杖加密
權杖加密憑證選項會指定用來加密信賴憑證者應用程式權杖的 X.509 憑證 (.cer 檔案)。 在 ACS 中,您只能加密 SAML 2.0 或 SAML 1.1 權杖。 ACS 不支援 SWT 或 JWT 權杖的加密。
您可以在 ACS 入口網站的 [ 憑證和金鑰 ] 區段中指定權杖加密的憑證。 當您在 [信賴憑證者應用程式] 頁面的 [權杖加密原則] 區段中按 [按一下這裡] 連結時,憑證和金鑰的 [新增權杖加密憑證] 頁面隨即開啟。 使用此頁面來指定憑證檔案。
如需詳細資訊,請參閱權杖加密原則。 如需取得和新增加密憑證的詳細資訊,請參閱 憑證和金鑰。