Порталдар үшін WS-Federation провайдерінің параметрлерін конфигурациялау

Жалғыз Active Directory Federation Services серверін (немесе басқа WS федерациясын–үйлесімді қауіпсіздік таңбалауыш қызметі) сәйкестік провайдері ретінде қосуға болады. Сонымен қатар бір Azure ACS аттар кеңістігін жеке сәйкестік куәліктері провайдерлерінің жинағы ретінде конфигурациялауға болады. AD FS және ACS параметрлері WsFederationAuthenticationOptions сыныбының сипаттарына негізделеді.

AD FS тексеруші тарап сенімін жасау

AD FS басқару құралын пайдаланып Сенімді қатынастар > Тарап сенімдері тармағына өтіңіз.

  1. Тарап сенімін қосу пәрменін таңдаңыз.
  2. Қош келдіңіз: Бастау пәрменін таңдаңыз.
  3. Деректер көзін таңдау: Сенетін тарап деректерін қолмен енгізу опциясын таңдап, содан кейін Келесі пәрменін таңдаңыз.
  4. Көрсетілетін атауды көрсету: Атау енгізіп, содан кейін Келесі пәрменін таңдаңыз. Мысалы: https://portal.contoso.com/
  5. Профиль таңдау: AD FS 2.0 профилі параметрін таңдаңыз, содан кейін Келесі пәрменін таңдаңыз.
  6. Сертификатты конфигурациялау: Келесі пәрменін таңдаңыз.
  7. URL мекенжайын конфигурациялау: WS-Federation Passive протоколын қолдауды қосу құсбелгісін қойыңыз.

Сенетін тараптың WS-Federation Passive протоколының URL мекенжайы: https://portal.contoso.com/signin-federation енгізіңіз

  • Ескертпе: AD FS HTTPS ішінде порталды іске қосуды талап етеді.

    Ескерім

    Нәтижелі соңғы нүктеде келесі параметрлер бар:
    Соңғы нүкте түрі: WS-Federation

  1. Сәйкестік куәліктерін конфигурациялау: https://portal.contoso.com/ мекенжайын көрсетіңіз, Қосу пәрменін таңдаңыз, содан кейін Келесі пәрменін таңдаңыз. Қолданылған жағдайда әрбір қосымша сенімді тарап порталына қосымша идентификаторлар қосуға болады. Пайдаланушылар кез келген немесе барлық қолжетімді сәйкестік куәліктерінде түпнұсқалығын растай алады.
  2. Беру өкілеттігі ережелерін таңдау: Барлық пайдаланушыларға осы сенетін тарапқа қатынасуға рұқсат беру параметрін таңдап, содан кейін Келесі пәрменін таңдаңыз.
  3. Сенім қосуға дайын: Келесі пәрменін таңдаңыз.
  4. Жабу пәрменін таңдаңыз.

Ат ИД шағымын сенімді тарапқа қосыңыз:

Windows тіркелгі атауын Атау идентификаторы шағымына түрлендіру (кіріс шағымды түрлендіру):

AD FS сайтының параметрлерін жасау

Жоғарғы AD FS сенімді тарапына қатысты портал торабы параметрлерін қолданыңыз.

Ескерім

Стандартты AD FS (STS) конфигурациясында тек келесі параметрлер пайдаланылады (мысал мәндермен):

PowerShell ішінде WS-Federation метадеректерін AD FS серверінде келесі сценарийді орындау арқылы шығарып алуға болады: Import-Module adfs Get-ADFSEndpoint -AddressPath /FederationMetadata/2007-06/FederationMetadata.xml

Торап параметрі аты Сипаттама
Authentication/Registration/ExternalLoginEnabled Сыртқы тіркелгінің кірісін және тіркелуін қосады немесе өшіреді. Әдепкі: шын
Authentication/WsFederation/ADFS/MetadataAddress Талап етіледі. AD FS (STS) серверінің WS-Federation метадеректерінің URL мекенжайы. Әдетте келесі жолмен аяқталады:/FederationMetadata/2007-06/FederationMetadata.xml . Мысалы: https://adfs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. Қосымша ақпарат: WsFederationAuthenticationOptions.MetadataAddress.
Authentication/WsFederation/ADFS/AuthenticationType Талап етіледі. OWIN түпнұсқалық растама аралық бағдарламасының түрі. entityID төлсипатының мәнін федерация метадеректері XML файлының түбірінде көрсетіңіз. Мысалы: http://adfs.contoso.com/adfs/services/trust. Қосымша ақпарат: AuthenticationOptions.AuthenticationType.
Authentication/WsFederation/ADFS/Wtrealm Талап етіледі. AD FS сенімді тарап идентификаторы. Мысал:https://portal.contoso.com/. Қосымша ақпарат: WsFederationAuthenticationOptions.Wtrealm.
Authentication/WsFederation/ADFS/Wreply Талап етіледі. AD FS WS-Federation пассивті соңғы нүктесі. Мысал: https://portal.contoso.com/signin-federation. Қосымша ақпарат: WsFederationAuthenticationOptions.Wreply.
Authentication/WsFederation/ADFS/Caption Ұсынылады. Пайдаланушының жүйеге кіру пайдаланушы интерфейсінде көрсете алатын мәтіні. Әдепкі: ADFS. Қосымша ақпарат: WsFederationAuthenticationOptions.Caption.
Authentication/WsFederation/ADFS/CallbackPath Түпнұсқалық растама кері қоңырауы өңделетін қосымша шектеулі жол. Қосымша ақпарат: WsFederationAuthenticationOptions.CallbackPath.
Authentication/WsFederation/ADFS/SignOutWreply Шығу кезінде пайдаланылатын 'wreply' мәні. Қосымша ақпарат: WsFederationAuthenticationOptions.SignOutWreply.
Authentication/WsFederation/ADFS/BackchannelTimeout Кері арна байланыстарының кідіріс мәні. Мысал: 00:05:00 (5 мин). Қосымша ақпарат: WsFederationAuthenticationOptions.BackchannelTimeout.
Authentication/WsFederation/ADFS/RefreshOnIssuerKeyNotFound SecurityTokenSignatureKeyNotFoundException кейін метадеректер жаңартылуы керектігін анықтайды. Қосымша ақпарат: WsFederationAuthenticationOptions.RefreshOnIssuerKeyNotFound.
Authentication/WsFederation/ADFS/UseTokenLifetime Түпнұсқалық растама сеансының қызмет мерзімі (мысалы, cookie файлдары) түпнұсқалық растама таңбалауышына сәйкес келуі керектігін көрсетеді. WsFederationAuthenticationOptions.UseTokenLifetime.
Authentication/WsFederation/ADFS/AuthenticationMode OWIN түпнұсқалық растама аралық бағдарламасының режимі. Қосымша ақпарат: AuthenticationOptions.AuthenticationMode.
Authentication/WsFederation/ADFS/SignInAsAuthenticationType System.Security.Claims.ClaimsIdentity жасау кезінде пайдаланылатын AuthenticationType. Қосымша ақпарат: WsFederationAuthenticationOptions.SignInAsAuthenticationType.
Authentication/WsFederation/ADFS/ValidAudiences Аудитория URL үтірмен бөлінген тізімі. Қосымша ақпарат: TokenValidationParameters.AllowedAudiences.
Authentication/WsFederation/ADFS/ValidIssuers Шығарушы URL үтірмен бөлінген тізімі. Қосымша ақпарат: TokenValidationParameters.ValidIssuers.
Authentication/WsFederation/ADFS/ClockSkew Тексеру уақытында қолданылатын фазалық ауысым.
Authentication/WsFederation/ADFS/NameClaimType Ат шағымын сақтау үшін ClaimsIdentity бойынша пайдаланылатын шағым түрі.
Authentication/WsFederation/ADFS/RoleClaimType Рөл шағымын сақтау үшін ClaimsIdentity бойынша пайдаланылатын шағым түрі.
Authentication/WsFederation/ADFS/RequireExpirationTime Мән таңбалауыштарда "жарамдылық" мәні болуы керектігін көрсетеді.
Authentication/WsFederation/ADFS/RequireSignedTokens Қолтаңба қойылмаған кезде System.IdentityModel.Tokens.SecurityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" жарамдылығын көрсететін мән.
Authentication/WsFederation/ADFS/SaveSigninToken Сеанс жасалған кезде бастапқы таңбалауыш сақталатын-сақталмайтынын басқаратын логикалық мән.
Authentication/WsFederation/ADFS/ValidateActor System.IdentityModel.Tokens.JwtSecurityToken.Actor тексерілуі керектігін көрсететін мән.
Authentication/WsFederation/ADFS/ValidateAudience Таңбалауышты тексеру барысында аудитория тексерілетін-тексерілмейтінін басқаратын логикалық мән.
Authentication/WsFederation/ADFS/ValidateIssuer Таңбалауышты тексеру барысында шығарушы тексерілетін-тексерілмейтінін басқаратын логикалық мән.
Authentication/WsFederation/ADFS/ValidateLifetime Таңбалауышты тексеру барысында қызмет мерзімі тексерілетін-тексерілмейтінін басқаратын логикалық мән.
Authentication/WsFederation/ADFS/ValidateIssuerSigningKey xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" қауіпсіздік таңбалауышына қол қойған System.IdentityModel.Tokens.SecurityKey тексерудің шақырылатын-шақырылмайтынын басқаратын логикалық мән.
Authentication/WsFederation/ADFS/Whr Идентификатор провайдерінің қайта бағыттау URL мекенжайында "whr" көрсетеді. Қосымша ақпарат: wsFederation.

Azure Active Directory үшін WS-Federation параметрлері

AD FS сипатталатын алдыңғы бөлімді Azure Active Directory (Azure AD) үшін де қолдануға болады, өйткені Azure AD стандартты WS-Federation үйлесімді қауіпсіздік таңбалауышы қызметі ретінде әрекет етеді. Іске кірісу үшін Azure басқару порталы жүйесіне кіріп, бар каталогты жасаңыз немесе таңдаңыз. Каталог қолжетімді кезде қолданбаны каталогқа қосу туралы нұсқауларды орындаңыз.

  1. Каталогтың Бағдарламалар мәзірінде Қосу пәрменін таңдаңыз.
  2. Менің ұйымым әзірлеген бағдарламаны қосу опциясын таңдаңыз.
  3. Бағдарлама үшін теңшелетін атау көрсетіңіз, содан кейін веб-бағдарлама және/немесе веб API түрін таңдаңыз.
  4. Кіру URL және Бағдарлама идентификаторының URI мекенжайы үшін өрістердің екеуі де үшін порталдың,URL мекенжайын көрсетіңіз: https://portal.contoso.com/. Бұл Wtrealm сайт параметрінің мәніне сәйкес келеді.
  5. Осы орайда жаңа бағдарлама жасалады. Мәзірдегі Конфигурациялау бөліміне өтіңіз. Бір рет кіру бөлімінде бірінші Жауап URL мекенжайы жазбасын URL мекенжайында жол болатындай жаңартыңыз: http://portal.contoso.com/signin-azure-ad.
    • Бұл Wreply сайт параметрінің мәніне сәйкес келеді.
  6. Төменгі деректемеде Сақтау пәрменін таңдаңыз.
  7. Төменгі деректеме мәзірінде Соңғы нүктелерді көру пәрменін таңдап, Федерация метадеректері құжаты өрісін жазып алыңыз.

Бұл MetadataAddress сайт параметрі мәніне сәйкес.

  • Федерация метадеректері XML көру үшін браузер терезесіне осы URL қойып, түбірлік элементтің entityID төлсипатын ескеріңіз.

  • Бұл AuthenticationType сайт параметрі мәніне сәйкес келеді.

Ескерім

Стандартты Azure AD конфигурациясында тек келесі параметрлер пайдаланылады (мысал мәндермен бірге):

Facebook бағдарламасы түпнұсқалық растамасын теңщеу

Порталдарға арналған Facebook қолданбасының («Бет» қойыншасы) түпнұсқалық растамасы тақырыбында сипатталған конфигурацияны қолдану.

Сонымен қатар, қараңыз

Dynamics 365 порталы түпнұсқалық растамасын конфигурациялау
Порталға арналған түпнұсқалық растама сәйкестік куәлігін орнату
Порталдарға арналған OAuth2 провайдері параметрлері
Порталдарға арналған Open ID Connect жеткізушісі параметрлері
Порталдарға арналған SAML 2.0 жеткізушісінің параметрлері
Порталдарға арналған Facebook қолданбасының (бет қойыншасы) түпнұсқалық растамасы