Konfigurasikan pengaturan penyedia WS-Federation untuk portal

Satu server Active Directory Federation dapat ditambahkan (atau security token service sesuai WS-Federation lainnya) sebagai penyedia identitas. Selain itu, satu namespace Azure ACS dapat dikonfigurasi sebagai seperangkat penyedia identitas individual. Pengaturan untuk AD FS dan ACS didasarkan pada sifat kelas WsFederationAuthenticationOptions.

Membuat kepercayaan pihak pengandal AD FS

Menggunakan alat manajemen AD FS, pilih hubungan kepercayaan > Kepercayaan Pihak Pengandal.

  1. Klik Tambahkan kepercayaan pihak pengandal.
  2. Selamat Datang: Klik Mulai.
  3. Pilih Sumber Data: Pilih secara manual memasukkan data tentang pihak pengandal, klik berikutnya.
  4. Tetapkan nama tampilan: masukkan nama, klik berikutnya. Contoh: https://portal.contoso.com/
  5. Pilih profil: Pilih profil AD FS 2.0, klik berikutnya.
  6. Konfigurasikan sertifikat: klik berikutnya.
  7. Konfigurasikan URL: Periksa Aktifkan dukungan untuk protokol WS-Federation Passive.

URL protokol passive WS-Federation Pihak pengandal: masukkan https://portal.contoso.com/signin-federation

  • Catatan: AD FS memerlukan bahwa portal berjalan pada HTTPS

    Catatan

    Titik akhir yang dihasilkan memiliki pengaturan berikut:
    Jenis titik akhir: WS-Federation

  1. Mengkonfigurasi identitas: Tentukan https://portal.contoso.com/, klik Tambahkan, klik berikutnya Jika berlaku, identitas lainnya dapat ditambahkan untuk setiap tambahan portal pihak pengandal. Pengguna akan bisa mengotentikasi di setiap atau semua identitas yang tersedia.
  2. Pilih aturan otorisasi penerbitan: Pilih memungkinkan semua pengguna untuk mengakses pihak pengandal ini, klik berikutnya.
  3. Siap untuk menambahkan kepercayaan: klik berikutnya.
  4. Klik Tutup.

Tambahkan klaim ID nama pada kepercayaan pihak pengandal:

UbahWindows nama account menjadi klaim ID nama (mengubah klaim masuk):

Buat Pengaturan Situs AD FS

Terapkan pengaturan situs portal yang mereferensi kepercayaan Pihak Pengandal AD FS di atas.

Catatan

Konfigurasi AD FS (STS) standar hanya menggunakan pengaturan berikut (dengan nilai contoh):

Metadata WS-Federation dapat diambil dalam PowerShell dengan menjalankan skrip berikut pada server AD FS: Import-Module adfs Get-ADFSEndpoint -AddressPath /FederationMetadata/2007-06/FederationMetadata.xml

Nama Pengaturan Situs KETERANGAN
Authentication/Registration/ExternalLoginEnabled Mengaktifkan atau menonaktifkan masuk dan pendaftaran akun eksternal. Default: true.
Authentication/WsFederation/ADFS/MetadataAddress Harus diisi. URL metadata WS-Federation dari server AD FS (STS). Sering berakhir dengan jalur:/FederationMetadata/2007-06/FederationMetadata.xml. Contoh: https://adfs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. MSDN.
Authentication/WsFederation/ADFS/AuthenticationType Harus diisi. Jenis middleware otentikasi OWIN. Tentukan nilai dari atribut entityID pada akar metadata Federasi XML. Contoh: http://adfs.contoso.com/adfs/services/trust. MSDN.
Authentication/WsFederation/ADFS/Wtrealm Harus diisi. Pengidentifikasi pihak pengandal AD FS. Contoh: https://portal.contoso.com/. MSDN.
Authentication/WsFederation/ADFS/Wreply Harus diisi. Titik akhir pasif WS-Federation AD FS. Contoh: https://portal.contoso.com/signin-federation. MSDN.
Authentication/WsFederation/ADFS/Caption Disarankan. Teks yang pengguna dapat tampilkan di antarmuka pengguna masuk. Default: ADFS. MSDN.
Authentication/WsFederation/ADFS/CallbackPath Jalur dibatasi opsional untuk panggilan balik otentikasi proses. MSDN.
Authentication/WsFederation/ADFS/SignOutWreply Nilai 'Wreply' digunakan selama keluar. MSDN.
Authentication/WsFederation/ADFS/BackchannelTimeout Nilai waktu habis untuk komunikasi saluran kembali. Contoh: 00:05:00 (5 menit). MSDN.
Authentication/WsFederation/ADFS/RefreshOnIssuerKeyNotFound Menentukan jika metadata refresh harus dicoba setelah SecurityTokenSignatureKeyNotFoundException. MSDN.
Authentication/WsFederation/ADFS/UseTokenLifetime Menunjukkan bahwa otentikasi sesi seumur hidup (misalnya cookie) harus sesuai yang token otentikasi. MSDN.
Authentication/WsFederation/ADFS/AuthenticationMode Mode middleware otentikasi OWIN. MSDN.
Authentication/WsFederation/ADFS/SignInAsAuthenticationType AuthenticationType yang digunakan ketika membuat System.Security.Claims.ClaimsIdentity. MSDN.
Authentication/WsFederation/ADFS/ValidAudiences Daftar dipisahkan koma URL audiens. MSDN.
Authentication/WsFederation/ADFS/ValidIssuers Daftar dipisahkan koma URL penerbit. MSDN.
Authentication/WsFederation/ADFS/ClockSkew Jam condong untuk menerapkan ketika memvalidasi waktu. MSDN.
Authentication/WsFederation/ADFS/NameClaimType Jenis klaim yang digunakan oleh ClaimsIdentity untuk menyimpan klaim nama. MSDN.
Authentication/WsFederation/ADFS/RoleClaimType Jenis klaim yang digunakan oleh ClaimsIdentity untuk menyimpan klaim peran. MSDN.
Authentication/WsFederation/ADFS/RequireExpirationTime Nilai yang menunjukan apakah token harus memiliki nilai 'kadaluarsa'. MSDN.
Authentication/WsFederation/ADFS/RequireSignedTokens Nilai yang menunjukkan apakah System.IdentityModel.Tokens.SecurityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" dapat berlaku jika tidak ditandatangani. MSDN.
Authentication/WsFederation/ADFS/SaveSigninToken Boolean untuk mengontrol jika token asli disimpan ketika sesi dibuat. MSDN.
Authentication/WsFederation/ADFS/ValidateActor Nilai yang menunjukan Apakah System.IdentityModel.Tokens.JwtSecurityToken.Actor harus divalidasi. MSDN.
Authentication/WsFederation/ADFS/ValidateAudience Boolean untuk mengontrol jika audiens akan divalidasi selama validasi token. MSDN.
Authentication/WsFederation/ADFS/ValidateIssuer Boolean untuk mengontrol jika penerbit akan divalidasi selama validasi token. MSDN.
Authentication/WsFederation/ADFS/ValidateLifetime Boolean untuk mengontrol jika masa pakai akan divalidasi selama validasi token. MSDN.
Authentication/WsFederation/ADFS/ValidateIssuerSigningKey Boolean yang mengontrol apakah validasi System.IdentityModel.Tokens.SecurityKey yang menandatangani securityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" dipanggil. MSDN.
Authentication/WsFederation/ADFS/Whr Menentukan parameter "whr" dalam URL pengalihan penyedia identitas. MSDN.

Pengaturan WS-Federation untuk Azure Active Directory

Bagian sebelumnya menjelaskan AD FS juga dapat diterapkan ke Azure Active Directory (Azure AD), karena Azure AD berperilaku seperti layanan token keamanan sesuai WS-Federation. Untuk memulai masuk ke Azure Portal Manajemen Azure dan membuat atau memilih direktori yang sudah ada. Ketika sebuah direktori tersedia ikuti petunjuk untuk menambahkan aplikasi ke direktori.

  1. Di bawah menu aplikasi direktori, klik tombol Tambahkan
  2. Pilih Tambahkan aplikasi yang dikembangkan organisasi saya
  3. Tentukan nama custom untuk aplikasi dan memilih tipe aplikasi web dan/atau web API
  4. Untuk URL terusan dan URI ID App, tentukan portal URL untuk kedua bidang https://portal.contoso.com/ Ini berkaitan dengan nilai pengaturan situs Wtrealm
  5. Pada titik ini, aplikasi baru dibuat. Telusuri ke bagian Konfigurasi di menu Di bawah bagian akses terusan, update entri URL Balasan pertama untuk mencakup jalur dalam URL http://portal.contoso.com/signin-azure-ad.
    • Hal ini terkait dengan nilai pengaturan situs Wreply
  6. Klik Simpan di footer
  7. Di menu footer klik tombol lihat titik akhir dan catat bidang Metadata Federasi

Hal ini terkait dengan pengaturan nilai situs MetadataAddress

  • Rekatkan URL ini di jendela browser untuk melihat metadata Federasi XML dan catat atribut entityID dari elemen akar

  • Hal ini terkait dengan pengaturan nilai situs AuthenticationType

Catatan

Konfigurasi Azure AD standar hanya menggunakan pengaturan berikut (dengan nilai contoh):

Mengkonfigurasi otentikasi app Facebook

Terapkan konfigurasi yang dijelaskan dalam topik otentikasi Facebook App (Page Tab) untuk portal.

Lihat juga

Konfigurasikan otentikasi Portal Dynamics 365
Mengatur identitas otentikasi untuk portal
Pengaturan penyedia OAuth2 untuk portal
Pengaturan Open ID Connect untuk portal
Pengaturan penyedia SAML 2.0 untuk portal
Otentikasi Facebook App (Tab Halaman) untuk portal