WS-Federation-udbyderindstillinger for portaler

En enkelt Active Directory Federation Services-server (eller en anden WS-Federation-kompatibel sikkerhedstokentjenesten) kan tilføjes som identitetsudbyder. Derudover kan et enkelt Azure ACS-navneområde konfigureres som en række individuelle id-udbydere. Indstillingerne for både AD FS og ACS er baseret på egenskaberne for klassen WsFederationAuthenticationOptions.

Oprette en AD FS relying party-tillid

Brug værktøjet AD FS Management, og vælg Tillidsforhold > Relying Party-tillidsforhold.

  1. Klik på Tilføj Relying Party-tillid.
  2. Velkommen: Klik på Start.
  3. Vælg datakilde: Vælg Angiv data om en relying party manuelt, og klik på Næste.
  4. Angiv vist navn: Angiv et navn, og klik på Næste. Eksempel: https://portal.contoso.com/
  5. Vælg profil: Vælg AD FS 2.0-profil, og klik på Næste.
  6. Konfigurer certifikat: Klik på Næste.
  7. Konfigurer URL-adresse: Se Aktivere understøttelse af protokollen WS-Federation Passive.

URL-adresse til Relying party WS-Federation Passive-protokollen: Angiv https://portal.contoso.com/signin-federation

  • Bemærk! AD FS kræver, at portalen kører på HTTPS

    Bemærk

    Det resulterende slutpunkt har følgende indstillinger:
    Slutpunkttype: WS-Federation

  1. Konfigurer identiteter: Angiv https://portal.contoso.com/, klik på Tilføj, klik på Næste Flere identiteter kan føjes til hver enkelt ekstra relying party-portal, hvis relevant. Brugere vil kunne godkende på tværs af en eller alle tilgængelige identiteter.
  2. Vælg regler for godkendelse af udstedelse: Vælg Giv alle brugere adgang til denne Relying Party, og klik på Næste.
  3. Klar til at tilføje tillid: Klik på Næste.
  4. Klik på Luk.

Tilføj kravet Navn-id til den relying party-tillid:

Omdan navn på Windows-firma til Navn-id-krav (Transformér et indgående krav):

Oprette indstillinger for AD FS-websted

Anvend portalwebstedets indstillinger, som refererer til den ovenstående AD FS Relying Party-tillid.

Bemærk

En standardkonfiguration af AD FS (STS) bruger kun følgende indstillinger (med eksempelværdier):

WS-Federation-metadataene kan hentes i PowerShell ved at køre følgende script på AD FS-serveren: Import-Module adfs Get-ADFSEndpoint -AddressPath /FederationMetadata/2007-06/FederationMetadata.xml

Navn på indstilling for websted Beskrivelse
Authentication/Registration/ExternalLoginEnabled Aktiverer eller deaktiverer ekstern konto-logon og registrering. Standard: true
Authentication/WsFederation/ADFS/MetadataAddress Krævet. URL-adressen til WS-Federation-metadataene på AD FS (STS)-serveren. Slutter normalt med stien: /FederationMetadata/2007-06/FederationMetadata.xml. Eksempel: https://adfs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. MSDN.
Authentication/WsFederation/ADFS/AuthenticationType Krævet. Middlewaretypen for OWIN-godkendelse. Angiv værdien af entityID-attributten i roden af samlingsmetadataenes XML. Eksempel: http://adfs.contoso.com/adfs/services/trust. MSDN.
Authentication/WsFederation/ADFS/Wtrealm Krævet. AD FS relying party-id. Eksempel: https://portal.contoso.com/. MSDN.
Authentication/WsFederation/ADFS/Wreply Krævet. Det passive slutpunktet for AD FS WS-Federation. Eksempel: https://portal.contoso.com/signin-federation. MSDN.
Authentication/WsFederation/ADFS/Caption Anbefales. Den tekst, brugeren kan få vist i en logonbrugergrænseflade. Standard: ADFS. MSDN.
Authentication/WsFederation/ADFS/CallbackPath En valgfri begrænset sti, hvor godkendelsestilbagekaldet skal behandles. MSDN.
Authentication/WsFederation/ADFS/SignOutWreply 'Wreply'-værdien bruges, når brugeren logger af. MSDN.
Authentication/WsFederation/ADFS/BackchannelTimeout Timeout-værdien for back-kanal-kommunikation. Eksempel: 00:05:00 (5 minutter). MSDN.
Authentication/WsFederation/ADFS/RefreshOnIssuerKeyNotFound Bestemmer, om en metadata-opdatering skal forsøges efter en SecurityTokenSignatureKeyNotFoundException. MSDN.
Authentication/WsFederation/ADFS/UseTokenLifetime Angiver, at godkendelsessessionens levetid (f.eks. cookies) skal stemme overens med godkendelsestokenets. MSDN.
Authentication/WsFederation/ADFS/AuthenticationMode Middlewaretilstanden for OWIN-godkendelse. MSDN.
Authentication/WsFederation/ADFS/SignInAsAuthenticationType Den AuthenticationType, der bruges ved oprettelse af System.Security.Claims.ClaimsIdentity. MSDN.
Authentication/WsFederation/ADFS/ValidAudiences Kommasepareret liste over URL-adresser til publikum. MSDN.
Authentication/WsFederation/ADFS/ValidIssuers Kommasepareret liste over URL-adresser til udsteder. MSDN.
Authentication/WsFederation/ADFS/ClockSkew Clock skew, som skal anvendes, når du anvender valideringstider. MSDN.
Authentication/WsFederation/ADFS/NameClaimType Den kravtype, der bruges af ClaimsIdentity til at gemme navnet på kravet. MSDN.
Authentication/WsFederation/ADFS/RoleClaimType Den kravtype, der bruges af ClaimsIdentity til at gemme navnet på rollen. MSDN.
Authentication/WsFederation/ADFS/RequireExpirationTime En værdi, der angiver, om tokens skal have en værdi for 'udløb'. MSDN.
Authentication/WsFederation/ADFS/RequireSignedTokens En værdi, der angiver, om en System.IdentityModel.Tokens.SecurityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" kan være gyldig, hvis den ikke er signeret. MSDN.
Authentication/WsFederation/ADFS/SaveSigninToken En boolesk værdi, der styrer, om det oprindelige token gemmes, når der oprettes en session. MSDN.
Authentication/WsFederation/ADFS/ValidateActor En værdi, der angiver, om System.IdentityModel.Tokens.JwtSecurityToken.Actor skal valideres. MSDN.
Authentication/WsFederation/ADFS/ValidateAudience En boolesk værdi, der styrer, om publikum skal valideres under validering af token. MSDN.
Authentication/WsFederation/ADFS/ValidateIssuer En boolesk værdi, der styrer, om publikum skal valideres under validering af token. MSDN.
Authentication/WsFederation/ADFS/ValidateLifetime En boolesk værdi, der styrer, om publikum skal valideres under validering af token. MSDN.
Authentication/WsFederation/ADFS/ValidateIssuerSigningKey En boolesk værdi, der styrer, om validering af den System.IdentityModel.Tokens.SecurityKey, der signerede xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" kaldes. MSDN.
Authentication/WsFederation/ADFS/Whr Angiver en "whr"-parameter i omdirigerings-URL-adressen til identitetsudbyderen. MSDN.

WS-Federation-indstillinger for Azure Active Directory

Det forrige afsnit, der beskriver AD FS, kan også anvendes til Azure Active Directory (Azure AD), fordi Azure AD fungerer som en standard WS-Federation-kompatibel sikkerhedstokentjeneste. Du kommer i gang ved at logge på Azure-administrationsportal og oprette eller vælge en eksisterende mappe. Når en mappe er tilgængelig, skal du følge instruktionerne for at tilføje et program til mappen.

  1. I menuen Programmer i mappen skal du klikke på knappen Tilføj
  2. Vælg Tilføj et program, som organisationen udvikler.
  3. Angiv et brugerdefineret navn til programmet, og vælg typen -webprogram og/eller web-API
  4. I felterne URL-adresse til logon og URI for APP-ID skal du angive URL-adressen på portalen https://portal.contoso.com/ Dette svarer til værdien Wtrealm for webstedsindstillingen
  5. På dette tidspunkt oprettes der et nyt program. Gå til sektionen Konfiguerer i menuen Under sektionen enkeltlogon skal du først opdatere URL-adresse til svar med en sti i URL-adressen http://portal.contoso.com/signin-azure-ad
    • Dette svarer til værdien Wreply for webstedsindstillingen
  6. Klik på Gem i sidefoden
  7. Klik i menuen i sidefoden på knappen Vis slutpunkter, og notér feltet Dokument med samlingsmetadata

Dette svarer til værdien MetadataAddress for webstedsindstillingen

  • Indsæt denne URL-adresse i et browservindue for at få vist samlingsmetadataenes XML, og notér entityID attributten til rodelementet

  • Dette svarer til værdien AuthenticationType for webstedsindstillingen

Bemærk

En Azure AD-standardkonfiguration bruger kun følgende indstillinger (med eksempelværdier):

Konfigurere godkendelse af Facebook-app

Anvend den konfiguration, der er beskrevet i emnet Godkendelse via Facebook-app (sidefane) for portaler.

Se også

Konfigurer Dynamics 365-portalgodkendelse
Indstille godkendelsesidentitet for en portal
Indstillinger for OAuth2-udbyder for portaler
OpenID Connect-udbyderindstillinger for portaler
Indstillinger for SAML 2.0-udbyder for portaler
Godkendelse via Facebook-app (sidefane) for portaler