Konfigurasikan pengaturan penyedia WS-Federation untuk portal

Satu server Active Directory Federation dapat ditambahkan (atau security token service sesuai WS-Federation lainnya) sebagai penyedia identitas. Selain itu, satu namespace Azure ACS dapat dikonfigurasi sebagai seperangkat penyedia identitas individual. Pengaturan untuk AD FS dan ACS didasarkan pada sifat kelas WsFederationAuthenticationOptions.

Membuat kepercayaan pihak pengandal AD FS

Menggunakan alat manajemen AD FS, buka hubungan kepercayaan > Kepercayaan Pihak Pengandal.

  1. Pilih Tambahkan kepercayaan pihak pengandal.
  2. Selamat Datang: pilih Mulai.
  3. Pilih Sumber Data: Pilih secara manual memasukkan data tentang pihak pengandal, lalu pilih berikutnya.
  4. Tetapkan nama tampilan: masukkan nama, lalu pilih berikutnya. Contoh: https://portal.contoso.com/
  5. Pilih Profil: Pilih profil AD FS 2.0, lalu pilih berikutnya.
  6. Konfigurasikan sertifikat: pilih berikutnya.
  7. Konfigurasikan URL: pilih kotak centang Aktifkan dukungan untuk protokol WS-Federation Passive.

URL protokol passive WS-Federation Pihak pengandal: masukkan https://portal.contoso.com/signin-federation

  • Catatan: AD FS memerlukan bahwa portal berjalan pada HTTPS.

    Catatan

    Titik akhir yang dihasilkan memiliki pengaturan berikut:
    Jenis titik akhir: WS-Federation

  1. Konfigurasikan identitas: Tentukan https://portal.contoso.com/, pilih Tambah, lalu pilih berikutnya. Jika berlaku, identitas lainnya ditambahkan untuk setiap tambahan portal pihak pengandal. Pengguna akan bisa mengotentikasi di setiap atau semua identitas yang tersedia.
  2. Pilih aturan otorisasi penerbitan: Pilih memungkinkan semua pengguna untuk mengakses pihak pengandal ini, lalu pilih berikutnya.
  3. Siap untuk menambahkan kepercayaan: pilih berikutnya.
  4. Pilih tutup.

Tambahkan klaim ID nama pada kepercayaan pihak pengandal:

UbahWindows nama account menjadi klaim ID nama (mengubah klaim masuk):

Buat Pengaturan Situs AD FS

Terapkan pengaturan situs portal yang mereferensi kepercayaan Pihak Pengandal AD FS di atas.

Catatan

Konfigurasi AD FS (STS) standar hanya menggunakan pengaturan berikut (dengan nilai contoh):

Metadata WS-Federation dapat diambil dalam PowerShell dengan menjalankan skrip berikut pada server AD FS: Import-Module adfs Get-ADFSEndpoint -AddressPath /FederationMetadata/2007-06/FederationMetadata.xml

Nama Pengaturan Situs KETERANGAN
Authentication/Registration/ExternalLoginEnabled Mengaktifkan atau menonaktifkan masuk dan pendaftaran akun eksternal. Default: true.
Authentication/WsFederation/ADFS/MetadataAddress Harus diisi. URL metadata WS-Federation dari server AD FS (STS). Sering berakhir dengan jalur:/FederationMetadata/2007-06/FederationMetadata.xml. Contoh: https://adfs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. Untuk informasi lebih lanjut: WsFederationAuthenticationOptions.MetadataAddress.
Authentication/WsFederation/ADFS/AuthenticationType Harus diisi. Jenis middleware otentikasi OWIN. Tentukan nilai dari atribut entityID pada akar metadata Federasi XML. Contoh: http://adfs.contoso.com/adfs/services/trust. Untuk informasi lebih lanjut: AuthenticationOptions.AuthenticationType.
Authentication/WsFederation/ADFS/Wtrealm Harus diisi. Pengidentifikasi pihak pengandal AD FS. Contoh:https://portal.contoso.com/. Untuk informasi lebih lanjut: WsFederationAuthenticationOptions.Wtrealm.
Authentication/WsFederation/ADFS/Wreply Harus diisi. Titik akhir pasif WS-Federation AD FS. Contoh: https://portal.contoso.com/signin-federation. Untuk informasi lebih lanjut: WsFederationAuthenticationOptions.Wreply.
Authentication/WsFederation/ADFS/Caption Disarankan. Teks yang pengguna dapat tampilkan di antarmuka pengguna masuk. Default: ADFS. Untuk informasi lebih lanjut: WsFederationAuthenticationOptions.Caption.
Authentication/WsFederation/ADFS/CallbackPath Jalur dibatasi opsional untuk panggilan balik otentikasi proses. Untuk informasi lebih lanjut: WsFederationAuthenticationOptions.CallbackPath.
Authentication/WsFederation/ADFS/SignOutWreply Nilai 'wreply' yang digunakan selama keluar. Untuk informasi lebih lanjut: WsFederationAuthenticationOptions.SignOutWreply.
Authentication/WsFederation/ADFS/BackchannelTimeout Nilai waktu habis untuk komunikasi saluran kembali. Contoh: 00:05:00 (5 menit). Untuk informasi lebih lanjut: WsFederationAuthenticationOptions.BackchannelTimeout.
Authentication/WsFederation/ADFS/RefreshOnIssuerKeyNotFound Menentukan jika metadata refresh harus dicoba setelah SecurityTokenSignatureKeyNotFoundException. Untuk informasi lebih lanjut: WsFederationAuthenticationOptions.RefreshOnIssuerKeyNotFound.
Authentication/WsFederation/ADFS/UseTokenLifetime Menunjukkan bahwa otentikasi sesi seumur hidup (misalnya cookie) harus sesuai yang token otentikasi. WsFederationAuthenticationOptions.UseTokenLifetime.
Authentication/WsFederation/ADFS/AuthenticationMode Mode middleware otentikasi OWIN. Untuk informasi lebih lanjut: AuthenticationOptions.AuthenticationMode.
Authentication/WsFederation/ADFS/SignInAsAuthenticationType AuthenticationType yang digunakan ketika membuat System.Security.Claims.ClaimsIdentity. Untuk informasi lebih lanjut: WsFederationAuthenticationOptions.SignInAsAuthenticationType.
Authentication/WsFederation/ADFS/ValidAudiences Daftar dipisahkan koma URL audiens. Untuk informasi lebih lanjut: TokenValidationParameters.AllowedAudiences.
Authentication/WsFederation/ADFS/ValidIssuers Daftar dipisahkan koma URL penerbit. Untuk informasi lebih lanjut: TokenValidationParameters.ValidIssuers.
Authentication/WsFederation/ADFS/ClockSkew Jam condong untuk menerapkan ketika memvalidasi waktu.
Authentication/WsFederation/ADFS/NameClaimType Jenis klaim yang digunakan oleh ClaimsIdentity untuk menyimpan klaim nama.
Authentication/WsFederation/ADFS/RoleClaimType Jenis klaim yang digunakan oleh ClaimsIdentity untuk menyimpan klaim peran.
Authentication/WsFederation/ADFS/RequireExpirationTime Nilai yang menunjukan apakah token harus memiliki nilai 'kadaluarsa'.
Authentication/WsFederation/ADFS/RequireSignedTokens Nilai yang menunjukkan apakah System.IdentityModel.Tokens.SecurityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" dapat berlaku jika tidak ditandatangani.
Authentication/WsFederation/ADFS/SaveSigninToken Boolean untuk mengontrol jika token asli disimpan ketika sesi dibuat.
Authentication/WsFederation/ADFS/ValidateActor Nilai yang menunjukan Apakah System.IdentityModel.Tokens.JwtSecurityToken.Actor harus divalidasi.
Authentication/WsFederation/ADFS/ValidateAudience Boolean untuk mengontrol jika audiens akan divalidasi selama validasi token.
Authentication/WsFederation/ADFS/ValidateIssuer Boolean untuk mengontrol jika penerbit akan divalidasi selama validasi token.
Authentication/WsFederation/ADFS/ValidateLifetime Boolean untuk mengontrol jika masa pakai akan divalidasi selama validasi token.
Authentication/WsFederation/ADFS/ValidateIssuerSigningKey Boolean yang mengontrol apakah validasi System.IdentityModel.Tokens.SecurityKey yang menandatangani securityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" dipanggil.
Authentication/WsFederation/ADFS/Whr Menentukan parameter "whr" dalam URL pengalihan penyedia identitas. Untuk informasi lebih lanjut: wsFederation.

Pengaturan WS-Federation untuk Azure Active Directory

Bagian sebelumnya menjelaskan AD FS juga dapat diterapkan ke Azure Active Directory (Azure AD), karena Azure AD berperilaku seperti layanan token keamanan sesuai WS-Federation. Untuk memulai masuk ke Azure Portal Manajemen Azure dan membuat atau memilih direktori yang sudah ada. Ketika sebuah direktori tersedia ikuti petunjuk untuk menambahkan aplikasi ke direktori.

  1. Di bawah menu aplikasi direktori, pilih Tambahkan
  2. Pilih Tambahkan aplikasi yang dikembangkan organisasi saya.
  3. Tentukan nama custom untuk aplikasi lalu memilih tipe aplikasi web dan/atau web API.
  4. Untuk URL Sign-On dan App ID URI, tentukan URL portal untuk kedua bidang https://portal.contoso.com/. Hal ini terkait dengan pengaturan nilai situs Wtrealm.
  5. Pada titik ini, aplikasi baru dibuat. Buka bagian Konfigurasi dalam menu. Di bagian akses terusan, update entri URL Balasan pertama untuk mencakup jalur dalam URL http://portal.contoso.com/signin-azure-ad.
    • Hal ini terkait dengan nilai pengaturan situs Wreply.
  6. Pilih Simpan di footer.
  7. Di menu footer pilih lihat titik akhir dan catat bidang Metadata Federasi.

Hal ini terkait dengan pengaturan nilai situs MetadataAddress.

  • Rekatkan URL ini di jendela browser untuk melihat metadata Federasi XML dan catat atribut entityID dari elemen akar.

  • Hal ini terkait dengan pengaturan nilai situs AuthenticationType.

Catatan

Konfigurasi Azure AD standar hanya menggunakan pengaturan berikut (dengan nilai contoh):

Mengkonfigurasi otentikasi app Facebook

Terapkan konfigurasi yang dijelaskan dalam topik otentikasi Facebook App (Page Tab) untuk portal.

Lihat juga

Konfigurasikan otentikasi Portal Dynamics 365
Mengatur identitas otentikasi untuk portal
Pengaturan penyedia OAuth2 untuk portal
Pengaturan Open ID Connect untuk portal
Pengaturan penyedia SAML 2.0 untuk portal
Otentikasi Facebook App (Tab Halaman) untuk portal