Nastavení zprostředkovatele WS-Federation pro portály

Jeden server Active Directory Federation Services (nebo jinou službu tokenů zabezpečení kompatibilní s WS-Federation) lze přidat jako poskytovatele identity. Kromě toho může být jeden obor názvů Azure ACS nakonfigurován jako sada jednotlivých poskytovatelů identity. Nastavení služeb AD FS a ACS jsou založena na vlastnostech třídy WsFederationAuthenticationOptions.

Vytvoření služby AD FS důvěryhodnosti předávající strany

Pomocí nástroje pro správu AD FS vyberte Vztahy důvěryhodnosti > Vztahy důvěryhodnosti předávající strany.

  1. Klikněte na tlačítko Přidat vztah důvěryhodnosti předávající strany.
  2. Vítejte: Klikněte na tlačítko Start.
  3. Vyberte zdroj dat: Vyberte Zadejte data o předávající straně ručně a klikněte na tlačítko Další.
  4. Zadejte zobrazovaný název: Zadejte název a klikněte na tlačítko Další. Příklad: https://portal.contoso.com/
  5. Zvolte profil: Vyberte Profil AD FS 2.0 a klikněte na tlačítko Další.
  6. Nakonfigurujte certifikát: Klikněte na tlačítko Další.
  7. Nakonfigurujte adresu URL: Zaškrtněte Povolit podporu pasivního protokolu WS-Federation.

Adresa URL protokolu WS-Federation Passive předávající strany: Zadejte https://portal.contoso.com/signin-federation

  • Poznámka: Služba AD FS vyžaduje spuštění portálu na HTTPS

    Poznámka

    Výsledný koncový bod má následující nastavení:
    Typ koncového bodu: WS-Federation

  1. Nakonfigurujte identity: Zadejte https://portal.contoso.com/, klikněte na tlačítko Přidat a klikněte na tlačítko Další. Případně lze přidat více identit pro každý další portál předávající strany. Uživatelé budou moci ověřovat v rámci libovolných nebo všech dostupných identit.
  2. Vyberte pravidla pro povolení vystavování: Vyberte Povolit všem uživatelům přístup k této předávající straně a klikněte na tlačítko Další.
  3. Připraveno k Přidání důvěryhodnosti: Klikněte na tlačítko Další.
  4. Klikněte na tlačítko Zavřít.

Přidejte deklaraci ID názvu k důvěryhodnosti předávající strany:

Transformujte název účtu systému Windows na deklaraci ID názvu (transformace příchozí deklarace):

Vytvoření nastavení webu AD FS

Použít nastavení portálového webu odkazující na výše uvedené AD FS důvěryhodnosti předávající strany.

Poznámka

Standardní konfigurace služby AD FS (služba tokenů zabezpečení) pouze používá následující nastavení (s příklady hodnot):

Metadata WS-Federation mohou být získána v prostředí PowerShell spuštěním následujícího skriptu na serveru služby AD FS: Import-Module adfs Get-ADFSEndpoint -AddressPath /FederationMetadata/2007-06/FederationMetadata.xml

Název nastavení webu Popis
Authentication/Registration/ExternalLoginEnabled Povolí nebo zakáže přihlášení a registraci k externímu účtu. Výchozí: true
Authentication/WsFederation/ADFS/MetadataAddress Povinné: Adresa URL metadat WS-Federationserveru služby AD FS (služba tokenů zabezpečení). Obvykle končí cestou: /FederationMetadata/2007-06/FederationMetadata.xml. Příklad: https://adfs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. MSDN.
Authentication/WsFederation/ADFS/AuthenticationType Povinné: Typ ověřování middleware OWIN. Zadejte hodnotu atributu entityID v kořenovém adresáři XML federačních metadat. Příklad: http://adfs.contoso.com/adfs/services/trust. MSDN.
Authentication/WsFederation/ADFS/Wtrealm Povinné: Identifikátor služby AD FS předávající strany. Příklad: https://portal.contoso.com/. MSDN.
Authentication/WsFederation/ADFS/Wreply Povinné: Pasivní koncový bod AD FS WS-Federation. Příklad: https://portal.contoso.com/signin-federation. MSDN.
Authentication/WsFederation/ADFS/Caption Doporučený způsob: Text, který můžete zobrazit uživatel při přihlášení do uživatelského rozhraní. Výchozí hodnota: ADFS. MSDN.
Authentication/WsFederation/ADFS/CallbackPath Volitelně omezená cesta, kdy proběhne ověření zpětného volání. MSDN.
Authentication/WsFederation/ADFS/SignOutWreply Hodnota „wreply“ použitá při odhlašování. MSDN.
Authentication/WsFederation/ADFS/BackchannelTimeout Hodnota časového limitu pro komunikaci zpětného kanálu. Příklad: 00:05:00 (5 minut). MSDN.
Authentication/WsFederation/ADFS/RefreshOnIssuerKeyNotFound Určuje, zda by se metadata měla pokusit aktualizovat po SecurityTokenSignatureKeyNotFoundException. MSDN.
Authentication/WsFederation/ADFS/UseTokenLifetime Určuje, že ověřování životnosti relace (např. soubory cookie) by mělo odpovídat ověřovacímu tokenu. MSDN.
Authentication/WsFederation/ADFS/AuthenticationMode Režim ověřování middleware OWIN. MSDN.
Authentication/WsFederation/ADFS/SignInAsAuthenticationType Ověřování AuthenticationType, používané při vytváření System.Security.Claims.ClaimsIdentity. MSDN.
Authentication/WsFederation/ADFS/ValidAudiences Čárkami oddělený seznam adres URL cílové skupiny. MSDN.
Authentication/WsFederation/ADFS/ValidIssuers Čárkami oddělený seznam adres URL vydavatele. MSDN.
Authentication/WsFederation/ADFS/ClockSkew Chcete-li použít při ověřování časy zkosení hodin. MSDN.
Authentication/WsFederation/ADFS/NameClaimType Typ deklarace identity, který se používá k uchování názvu deklarace ClaimsIdentity. MSDN.
Authentication/WsFederation/ADFS/RoleClaimType Typ deklarace identity, který se používá k uchování role deklarace ClaimsIdentity. MSDN.
Authentication/WsFederation/ADFS/RequireExpirationTime Hodnota označující, zda tokeny musí mít hodnotu „vypršení platnosti“. MSDN.
Authentication/WsFederation/ADFS/RequireSignedTokens Hodnota označující, zda System.IdentityModel.Tokens.SecurityToken xmlns = "http://ddue.schemas.microsoft.com/authoring/2003/5" může být platný, pokud není podepsán. MSDN.
Authentication/WsFederation/ADFS/SaveSigninToken Logická hodnota, která určuje, zda bude původní token uložen při vytvoření relace. MSDN.
Authentication/WsFederation/ADFS/ValidateActor Hodnota označující, zda může být token System.IdentityModel.Tokens.SecurityToken ověřen . MSDN.
Authentication/WsFederation/ADFS/ValidateAudience Logická hodnota, která určuje, zda bude cílová skupina ověřena při ověřování tokenu. MSDN.
Authentication/WsFederation/ADFS/ValidateIssuer Logická hodnota, která určuje, zda bude vydavatel ověřen při ověřování tokenu. MSDN.
Authentication/WsFederation/ADFS/ValidateLifetime Logická hodnota, která určuje, zda bude životnost ověřena při ověřování tokenu. MSDN.
Authentication/WsFederation/ADFS/ValidateIssuerSigningKey Logická hodnota, která určuje, zda je voláno ověření klíče System.IdentityModel.Tokens.SecurityKey, který podepsal securityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5". MSDN.
Authentication/WsFederation/ADFS/Whr Určuje parametr „whr“ na straně poskytovatele identity přesměrování adresy URL. MSDN.

Nastavení WS-Federation pro Azure Active Directory

Předchozí sekci popisující službu AD FS lze použít také pro Azure Active Directory (Azure AD), neboť Azure AD se chová jako standardní služba tokenů zabezpečení kompatibilní s WS-Federation. Nejprve se přihlaste do Portálu pro správu Azure a vytvořte nebo vyberte existující adresář. V případě, že adresář je k dispozici, postupujte podle pokynů a přidejte aplikaci do adresáře.

  1. V nabídce Aplikace adresáře klepněte na tlačítko Přidat
  2. Zvolte Přidat aplikaci, kterou vyvíjí moje organizace
  3. Určete vlastní název pro aplikaci a zvolte typ webové aplikace nebo webového rozhraní API
  4. Pro položky Přihlašovací adresa URL a Identifikátor URI ID aplikace zadejte adresu URL portálu pro obě pole https://portal.contoso.com/. To odpovídá hodnotě nastavení webu Wtrealm
  5. V tomto okamžiku je vytvořena nová aplikace. Přejděte do sekce Konfigurovat v nabídce. V sekci jednotného přihlašování aktualizujte první záznam Adresa URL odpovědi a zahrňte cestu v adrese URL http://portal.contoso.com/signin-azure-ad
    • To odpovídá hodnotě nastavení webu Wreply
  6. Klepněte na tlačítko Uložit v zápatí
  7. V nabídce zápatí klepněte na tlačítko Zobrazit koncové body a všimněte si pole Federace metadat dokumentu

To odpovídá hodnotě nastavení webu MetadataAddress

  • Vložte tuto adresu URL do okna prohlížeče a zobrazte kód XML metadat federace a poznamenejte si atribut entityID kořenového elementu

  • To odpovídá hodnotě nastavení webu AuthenticationType

Poznámka

Standardní konfigurace služby Azure AD používá pouze následující nastavení (s příklady hodnot):

Konfigurace ověřování aplikace Facebook

Použijte konfiguraci popsanou v tématu Ověření aplikace Facebooku (karta stránky) pro portály.

Viz také

Konfigurace ověřování portálu Dynamics 365
Nastavení identity ověřování pro portál
Nastavení poskytovatele OAuth2 pro portály
Nastavení poskytovatele Open ID Connect pro portály
Nastavení poskytovatele SAML 2.0 pro portály
Ověření aplikace Facebooku (karta stránky) pro portály