Konfigurere WS-Federation-udbyderindstillinger for portaler

En enkelt Active Directory Federation Services-server (eller en anden WS-Federation-kompatibel sikkerhedstokentjenesten) kan tilføjes som identitetsudbyder. Derudover kan et enkelt Azure ACS-navneområde konfigureres som en række individuelle id-udbydere. Indstillingerne for både AD FS og ACS er baseret på egenskaberne for klassen WsFederationAuthenticationOptions.

Oprette en AD FS relying party-tillid

Brug værktøjet AD FS Management, gå til Tillidsforhold > Relying Party-tillidsforhold.

  1. Vælg Tilføj Relying Party-tillid.
  2. Velkommen: Vælg Start.
  3. Vælg datakilde: Vælg Angiv data om en relying party manuelt, og vælg derefter Næste.
  4. Angiv vist navn: Angiv et navn, og vælg derefter Næste. Eksempel: https://portal.contoso.com/
  5. Vælg profil: Vælg AD FS 2.0 profil, og vælg derefter Næste.
  6. Konfigurer certifikat: Vælg Næste.
  7. Konfigurer URL-adresse: Marker afkrydsningsfeltet Aktivere understøttelse af protokollen WS-Federation Passive.

URL-adresse til Relying party WS-Federation Passive-protokollen: Angiv https://portal.contoso.com/signin-federation

  • Bemærk! AD FS kræver, at portalen kører på HTTPS.

    Bemærk

    Det resulterende slutpunkt har følgende indstillinger:
    Slutpunkttype: WS-Federation

  1. Konfigurer identiteter: Angiv https://portal.contoso.com/, vælg Tilføj, og vælg derefter Næste. Hvis det er relevant, kan flere identiteter tilføjes for hver ekstra relying party-portal. Brugere vil kunne godkende på tværs af en eller alle tilgængelige identiteter.
  2. Vælg regler for godkendelse af udstedelse: Vælg Giv alle brugere adgang til denne Relying Party, og vælg derefter Næste.
  3. Klar til at tilføje tillid: Vælg Næste.
  4. Vælg Luk.

Tilføj kravet Navn-id til den relying party-tillid:

Omdan navn på Windows-firma til Navn-id-krav (Transformér et indgående krav):

Oprette indstillinger for AD FS-websted

Anvend portalwebstedets indstillinger, som refererer til den ovenstående AD FS Relying Party-tillid.

Bemærk

En standardkonfiguration af AD FS (STS) bruger kun følgende indstillinger (med eksempelværdier):

WS-Federation-metadataene kan hentes i PowerShell ved at køre følgende script på AD FS-serveren: Import-Module adfs Get-ADFSEndpoint -AddressPath /FederationMetadata/2007-06/FederationMetadata.xml

Navn på indstilling for websted Beskrivelse
Authentication/Registration/ExternalLoginEnabled Aktiverer eller deaktiverer ekstern konto-logon og registrering. Standard: true
Authentication/WsFederation/ADFS/MetadataAddress Krævet. URL-adressen til WS-Federation-metadataene på AD FS (STS)-serveren. Slutter normalt med stien: /FederationMetadata/2007-06/FederationMetadata.xml. Eksempel: https://adfs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. Du kan finde flere oplysninger under WsFederationAuthenticationOptions.MetadataAddress.
Authentication/WsFederation/ADFS/AuthenticationType Krævet. Middlewaretypen for OWIN-godkendelse. Angiv værdien af entityID-attributten i roden af samlingsmetadataenes XML. Eksempel: http://adfs.contoso.com/adfs/services/trust. Du kan finde flere oplysninger under AuthenticationOptions.AuthenticationType.
Authentication/WsFederation/ADFS/Wtrealm Krævet. AD FS relying party-id. Eksempel: https://portal.contoso.com/. Du kan finde flere oplysninger under WsFederationAuthenticationOptions.Wtrealm.
Authentication/WsFederation/ADFS/Wreply Krævet. Det passive slutpunktet for AD FS WS-Federation. Eksempel: https://portal.contoso.com/signin-federation. Du kan finde flere oplysninger under WsFederationAuthenticationOptions.Wreply.
Authentication/WsFederation/ADFS/Caption Anbefales. Den tekst, brugeren kan få vist i en logonbrugergrænseflade. Standard: ADFS. Du kan finde flere oplysninger under WsFederationAuthenticationOptions.Caption.
Authentication/WsFederation/ADFS/CallbackPath En valgfri begrænset sti, hvor godkendelsestilbagekaldet skal behandles. Du kan finde flere oplysninger under WsFederationAuthenticationOptions.CallbackPath.
Authentication/WsFederation/ADFS/SignOutWreply Værdien 'wreply' bruges, når der logges af. Du kan finde flere oplysninger under WsFederationAuthenticationOptions.SignOutWreply.
Authentication/WsFederation/ADFS/BackchannelTimeout Timeout-værdien for back-kanal-kommunikation. Eksempel: 00:05:00 (5 minutter). Du kan finde flere oplysninger under WsFederationAuthenticationOptions.BackchannelTimeout.
Authentication/WsFederation/ADFS/RefreshOnIssuerKeyNotFound Bestemmer, om en metadata-opdatering skal forsøges efter en SecurityTokenSignatureKeyNotFoundException. Du kan finde flere oplysninger under WsFederationAuthenticationOptions.RefreshOnIssuerKeyNotFound.
Authentication/WsFederation/ADFS/UseTokenLifetime Angiver, at godkendelsessessionens levetid (f.eks. cookies) skal stemme overens med godkendelsestokenets. WsFederationAuthenticationOptions.UseTokenLifetime.
Authentication/WsFederation/ADFS/AuthenticationMode Middlewaretilstanden for OWIN-godkendelse. Du kan finde flere oplysninger under AuthenticationOptions.AuthenticationMode.
Authentication/WsFederation/ADFS/SignInAsAuthenticationType Den AuthenticationType, der bruges ved oprettelse af System.Security.Claims.ClaimsIdentity. Du kan finde flere oplysninger under WsFederationAuthenticationOptions.SignInAsAuthenticationType.
Authentication/WsFederation/ADFS/ValidAudiences Kommasepareret liste over URL-adresser til publikum. Du kan finde flere oplysninger under TokenValidationParameters.AllowedAudiences.
Authentication/WsFederation/ADFS/ValidIssuers Kommasepareret liste over URL-adresser til udsteder. Du kan finde flere oplysninger under TokenValidationParameters.ValidIssuers.
Authentication/WsFederation/ADFS/ClockSkew Clock skew, som skal anvendes, når du anvender valideringstider.
Authentication/WsFederation/ADFS/NameClaimType Den kravtype, der bruges af ClaimsIdentity til at gemme navnet på kravet.
Authentication/WsFederation/ADFS/RoleClaimType Den kravtype, der bruges af ClaimsIdentity til at gemme navnet på rollen.
Authentication/WsFederation/ADFS/RequireExpirationTime En værdi, der angiver, om tokens skal have en værdi for 'udløb'.
Authentication/WsFederation/ADFS/RequireSignedTokens En værdi, der angiver, om en System.IdentityModel.Tokens.SecurityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" kan være gyldig, hvis den ikke er signeret.
Authentication/WsFederation/ADFS/SaveSigninToken En boolesk værdi, der styrer, om det oprindelige token gemmes, når der oprettes en session.
Authentication/WsFederation/ADFS/ValidateActor En værdi, der angiver, om System.IdentityModel.Tokens.JwtSecurityToken.Actor skal valideres.
Authentication/WsFederation/ADFS/ValidateAudience En boolesk værdi, der styrer, om publikum skal valideres under validering af token.
Authentication/WsFederation/ADFS/ValidateIssuer En boolesk værdi, der styrer, om publikum skal valideres under validering af token.
Authentication/WsFederation/ADFS/ValidateLifetime En boolesk værdi, der styrer, om publikum skal valideres under validering af token.
Authentication/WsFederation/ADFS/ValidateIssuerSigningKey En boolesk værdi, der styrer, om validering af den System.IdentityModel.Tokens.SecurityKey, der signerede xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" kaldes.
Authentication/WsFederation/ADFS/Whr Angiver en "whr"-parameter i omdirigerings-URL-adressen til identitetsudbyderen. Du kan finde flere oplysninger under wsFederation.

WS-Federation-indstillinger for Azure Active Directory

Det forrige afsnit, der beskriver AD FS, kan også anvendes til Azure Active Directory (Azure AD), fordi Azure AD fungerer som en standard WS-Federation-kompatibel sikkerhedstokentjeneste. Du kommer i gang ved at logge på Azure-administrationsportal og oprette eller vælge en eksisterende mappe. Når en mappe er tilgængelig, skal du følge instruktionerne for at tilføje et program til mappen.

  1. I menuen Programmer i mappen skal du vælge Tilføj.
  2. Vælg Tilføj et program, som organisationen udvikler.
  3. Angiv et brugerdefineret navn til programmet, og vælg derefter typen webprogram og/eller web-API.
  4. I felterne URL-adresse til logon og URI for APP-ID skal du angive URL-adressen på portalen https://portal.contoso.com/. Dette svarer til værdien Wtrealm for webstedsindstillingen.
  5. På dette tidspunkt oprettes der et nyt program. Gå til sektionen Konfigurer i menuen. I sektionen enkeltlogon skal du først opdatere URL-adresse til svar med en sti i URL-adressen http://portal.contoso.com/signin-azure-ad.
    • Dette svarer til værdien Wreply for webstedsindstillingen.
  6. Vælg Gem i sidefoden.
  7. Vælg Vis slutpunkter i menuen i sidefoden, og notér feltet Dokument med samlingsmetadata.

Dette svarer til værdien MetadataAddress for webstedsindstillingen.

  • Indsæt denne URL-adresse i et browservindue for at få vist samlingsmetadataenes XML, og notér entityID attributten til rodelementet.

  • Dette svarer til værdien AuthenticationType for webstedsindstillingen.

Bemærk

En Azure AD-standardkonfiguration bruger kun følgende indstillinger (med eksempelværdier):

Konfigurere godkendelse af Facebook-app

Anvend den konfiguration, der er beskrevet i emnet Godkendelse via Facebook-app (sidefane) for portaler.

Se også

Konfigurere Dynamics 365-portalgodkendelse
Indstille godkendelsesidentitet for en portal
Indstillinger for OAuth2-udbyder for portaler
OpenID Connect-udbyderindstillinger for portaler
Indstillinger for SAML 2.0-udbyder for portaler
Godkendelse via Facebook-app (sidefane) for portaler