Konfigurace nastavení zprostředkovatele WS-Federation pro portály

Jeden server Active Directory Federation Services (nebo jinou službu tokenů zabezpečení kompatibilní s WS-Federation) lze přidat jako poskytovatele identity. Kromě toho může být jeden obor názvů Azure ACS nakonfigurován jako sada jednotlivých poskytovatelů identity. Nastavení služeb AD FS a ACS jsou založena na vlastnostech třídy WsFederationAuthenticationOptions.

Vytvoření služby AD FS důvěryhodnosti předávající strany

Pomocí nástroje pro správu AD FS vyberte Vztahy důvěryhodnosti > Vztahy důvěryhodnosti předávající strany.

  1. Vyberte tlačítko Přidat vztah důvěryhodnosti předávající strany.
  2. Vítejte: Vyberte položku Spustit.
  3. Vyberte zdroj dat: Vyberte Zadejte data o předávající straně ručně a poté zvolte Další.
  4. Zadejte zobrazovaný název: Zadejte název a poté zvolte Další. Příklad: https://portal.contoso.com/
  5. Zvolte profil: Vyberte profil AD FS 2.0 a potom vyberte Další.
  6. Nakonfigurujte certifikát: Zvolte Další.
  7. Nakonfigurujte adresu URL: Zaškrtněte políčko Povolit podporu pasivního protokolu WS-Federation.

Adresa URL protokolu WS-Federation Passive předávající strany: Zadejte https://portal.contoso.com/signin-federation

  • Poznámka: Služba AD FS vyžaduje spuštění portálu na HTTPS.

    Poznámka

    Výsledný koncový bod má následující nastavení:
    Typ koncového bodu: WS-Federation

  1. Konfigurace identit: Zadejte https://portal.contoso.com/, vyberte Přidat a potom vyberte Další. Případně lze přidat více identit pro každý další portál předávající stranou. Uživatelé budou moci ověřovat v rámci libovolných nebo všech dostupných identit.
  2. Vyberte pravidla pro povolení vystavování: Vyberte Povolit všem uživatelům přístup k této předávající straně a poté vyberte Další.
  3. Připraveno k Přidání důvěryhodnosti: Zvolte možnost Další.
  4. Vyberte Zavřít.

Přidejte deklaraci ID názvu k důvěryhodnosti předávající strany:

Transformujte název účtu systému Windows na deklaraci ID názvu (transformace příchozí deklarace):

Vytvoření nastavení webu AD FS

Použít nastavení portálového webu odkazující na výše uvedené AD FS důvěryhodnosti předávající strany.

Poznámka

Standardní konfigurace služby AD FS (služba tokenů zabezpečení) pouze používá následující nastavení (s příklady hodnot):

Metadata WS-Federation mohou být získána v prostředí PowerShell spuštěním následujícího skriptu na serveru služby AD FS: Import-Module adfs Get-ADFSEndpoint -AddressPath /FederationMetadata/2007-06/FederationMetadata.xml

Název nastavení webu Popis
Authentication/Registration/ExternalLoginEnabled Povolí nebo zakáže přihlášení a registraci k externímu účtu. Výchozí: true
Authentication/WsFederation/ADFS/MetadataAddress Povinné: Adresa URL metadat WS-Federationserveru služby AD FS (služba tokenů zabezpečení). Obvykle končí cestou: /FederationMetadata/2007-06/FederationMetadata.xml. Příklad: https://adfs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. Další informace: WsFederationAuthenticationOptions.MetadataAddress.
Authentication/WsFederation/ADFS/AuthenticationType Povinné: Typ ověřování middleware OWIN. Zadejte hodnotu atributu entityID v kořenovém adresáři XML federačních metadat. Příklad: http://adfs.contoso.com/adfs/services/trust. Další informace: AuthenticationOptions.AuthenticationType.
Authentication/WsFederation/ADFS/Wtrealm Povinné: Identifikátor služby AD FS předávající strany. Příklad: https://portal.contoso.com/. Další informace: WsFederationAuthenticationOptions.Wtrealm.
Authentication/WsFederation/ADFS/Wreply Povinné: Pasivní koncový bod AD FS WS-Federation. Příklad: https://portal.contoso.com/signin-federation. Další informace: WsFederationAuthenticationOptions.Wreply.
Authentication/WsFederation/ADFS/Caption Doporučený způsob: Text, který můžete zobrazit uživatel při přihlášení do uživatelského rozhraní. Výchozí hodnota: ADFS. Další informace: WsFederationAuthenticationOptions.Caption.
Authentication/WsFederation/ADFS/CallbackPath Volitelně omezená cesta, kdy proběhne ověření zpětného volání. Další informace: WsFederationAuthenticationOptions.CallbackPath.
Authentication/WsFederation/ADFS/SignOutWreply Hodnota „wreply“ použitá při odhlašování. Další informace: WsFederationAuthenticationOptions.SignOutWreply.
Authentication/WsFederation/ADFS/BackchannelTimeout Hodnota časového limitu pro komunikaci zpětného kanálu. Příklad: 00:05:00 (5 minut). Další informace: WsFederationAuthenticationOptions.BackchannelTimeout.
Authentication/WsFederation/ADFS/RefreshOnIssuerKeyNotFound Určuje, zda by se metadata měla pokusit aktualizovat po SecurityTokenSignatureKeyNotFoundException. Další informace: WsFederationAuthenticationOptions.RefreshOnIssuerKeyNotFound.
Authentication/WsFederation/ADFS/UseTokenLifetime Určuje, že ověřování životnosti relace (např. soubory cookie) by mělo odpovídat ověřovacímu tokenu. WsFederationAuthenticationOptions.UseTokenLifetime.
Authentication/WsFederation/ADFS/AuthenticationMode Režim ověřování middleware OWIN. Další informace: AuthenticationOptions.AuthenticationMode.
Authentication/WsFederation/ADFS/SignInAsAuthenticationType Ověřování AuthenticationType, používané při vytváření System.Security.Claims.ClaimsIdentity. Další informace: WsFederationAuthenticationOptions.SignInAsAuthenticationType.
Authentication/WsFederation/ADFS/ValidAudiences Čárkami oddělený seznam adres URL cílové skupiny. Další informace: TokenValidationParameters.AllowedAudiences.
Authentication/WsFederation/ADFS/ValidIssuers Čárkami oddělený seznam adres URL vydavatele. Další informace: TokenValidationParameters.ValidIssuers.
Authentication/WsFederation/ADFS/ClockSkew Chcete-li použít při ověřování časy zkosení hodin.
Authentication/WsFederation/ADFS/NameClaimType Typ deklarace identity, který se používá k uchování názvu deklarace ClaimsIdentity.
Authentication/WsFederation/ADFS/RoleClaimType Typ deklarace identity, který se používá k uchování role deklarace ClaimsIdentity.
Authentication/WsFederation/ADFS/RequireExpirationTime Hodnota označující, zda tokeny musí mít hodnotu „vypršení platnosti“.
Authentication/WsFederation/ADFS/RequireSignedTokens Hodnota označující, zda System.IdentityModel.Tokens.SecurityToken xmlns = "http://ddue.schemas.microsoft.com/authoring/2003/5" může být platný, pokud není podepsán.
Authentication/WsFederation/ADFS/SaveSigninToken Logická hodnota, která určuje, zda bude původní token uložen při vytvoření relace.
Authentication/WsFederation/ADFS/ValidateActor Hodnota označující, zda může být token System.IdentityModel.Tokens.SecurityToken ověřen .
Authentication/WsFederation/ADFS/ValidateAudience Logická hodnota, která určuje, zda bude cílová skupina ověřena při ověřování tokenu.
Authentication/WsFederation/ADFS/ValidateIssuer Logická hodnota, která určuje, zda bude vydavatel ověřen při ověřování tokenu.
Authentication/WsFederation/ADFS/ValidateLifetime Logická hodnota, která určuje, zda bude životnost ověřena při ověřování tokenu.
Authentication/WsFederation/ADFS/ValidateIssuerSigningKey Logická hodnota, která určuje, zda je voláno ověření klíče System.IdentityModel.Tokens.SecurityKey, který podepsal securityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5".
Authentication/WsFederation/ADFS/Whr Určuje parametr „whr“ na straně poskytovatele identity přesměrování adresy URL. Další informace: wsFederation.

Nastavení WS-Federation pro Azure Active Directory

Předchozí sekci popisující službu AD FS lze použít také pro Azure Active Directory (Azure AD), neboť Azure AD se chová jako standardní služba tokenů zabezpečení kompatibilní s WS-Federation. Nejprve se přihlaste do Portálu pro správu Azure a vytvořte nebo vyberte existující adresář. V případě, že adresář je k dispozici, postupujte podle pokynů a přidejte aplikaci do adresáře.

  1. V nabídce Aplikace adresáře zvolte možnost Přidat.
  2. Zvolte Přidat aplikaci, kterou vyvíjí moje organizace.
  3. Určete vlastní název pro aplikaci a poté zvolte typ webové aplikace nebo webového rozhraní API.
  4. Pro položky Přihlašovací adresa URL a Identifikátor URI ID aplikace zadejte adresu URL portálu pro obě pole https://portal.contoso.com/. To odpovídá hodnotě nastavení webu Wtrealm.
  5. V tomto okamžiku je vytvořena nová aplikace. Přejděte do sekce Konfigurovat v nabídce. V sekci jednotného přihlašování aktualizujte první záznam Adresa URL odpovědi a zahrňte cestu v adrese URL: http://portal.contoso.com/signin-azure-ad.
    • To odpovídá hodnotě nastavení webu Wreply.
  6. V zápatí vyberte Uložit.
  7. V nabídce zápatí klepněte na tlačítko Zobrazit koncové body a všimněte si pole Federace metadat dokumentu.

To odpovídá hodnotě nastavení webu MetadataAddress.

  • Vložte tuto adresu URL do okna prohlížeče a zobrazte kód XML metadat federace a poznamenejte si atribut entityID kořenového elementu

  • To odpovídá hodnotě nastavení webu AuthenticationType.

Poznámka

Standardní konfigurace služby Azure AD používá pouze následující nastavení (s příklady hodnot):

Konfigurace ověřování aplikace Facebook

Použijte konfiguraci popsanou v tématu Ověření aplikace Facebooku (karta stránky) pro portály.

Viz také

Konfigurace ověřování portálu Dynamics 365
Nastavení identity ověřování pro portál
Nastavení poskytovatele OAuth2 pro portály
Nastavení poskytovatele Open ID Connect pro portály
Nastavení poskytovatele SAML 2.0 pro portály
Ověření aplikace Facebooku (karta stránky) pro portály