Порталдар үшін WS-Federation провайдерінің параметрлерін конфигурациялау

Жалғыз Active Directory Federation Services серверін (немесе басқа WS федерациясын–үйлесімді қауіпсіздік таңбалауыш қызметі) сәйкестік провайдері ретінде қосуға болады. Сонымен қатар бір Azure ACS аттар кеңістігін жеке сәйкестік куәліктері провайдерлерінің жинағы ретінде конфигурациялауға болады. AD FS және ACS параметрлері WsFederationAuthenticationOptions сыныбының сипаттарына негізделеді.

AD FS тексеруші тарап сенімін жасау

AD FS басқару құралын пайдаланып Сенімді қатынастар > Тарап сенімдері тармағын таңдаңыз.

  1. Тарап сенімін қосу түймешігін басыңыз.
  2. Қош келдіңіз: Бастау түймешігін басыңыз.
  3. Деректер көзін таңдау: Сенетін тарап деректерін қолмен енгізу опциясын таңдап, Келесі түймешігін басыңыз.
  4. Көрсетілетін атауды көрсету: Атау енгізіп, Келесі түймешігін басыңыз. Мысалы: https://portal.contoso.com/
  5. Профиль таңдау: AD FS 2.0 профилі параметрін таңдап, Келесі түймешігін басыңыз.
  6. Сертификатты конфигурациялау: Келесі түймешігін басыңыз.
  7. URL мекенжайын конфигурациялау: WS-Federation Passive протоколын қолдауды қосу құсбелгісін қойыңыз.

Сенетін тараптың WS-Federation Passive протоколының URL мекенжайы: https://portal.contoso.com/signin-federation енгізіңіз

  • Ескертпе: AD FS HTTPS ішінде порталды іске қосуды талап етеді

    Ескерім

    Нәтижелі соңғы нүктеде келесі параметрлер бар:
    Соңғы нүкте түрі: WS-Federation

  1. Сәйкестік куәліктерін конфигурациялау: https://portal.contoso.com/ сайтын көрсетіңіз, Қосу түймешігін басыңыз, Келесі түймешігін басыңыз Егер тиісті болса, әрбір қосымша сенетін тарап порталы үшін қосымша сәйкестік куәліктерін қосуға болады. Пайдаланушылар кез келген немесе барлық қолжетімді сәйкестік куәліктерінде түпнұсқалығын растай алады.
  2. Беру өкілеттігі ережелерін таңдау: Барлық пайдаланушыларға осы сенетін тарапқа қатынасуға рұқсат беру параметрін таңдап, Келесі түймешігін басыңыз.
  3. Сенім қосуға дайын: Келесі түймешігін басыңыз.
  4. Жабу түймешігін басыңыз.

Ат ИД шағымын сенімді тарапқа қосыңыз:

Windows тіркелгі атауын Атау идентификаторы шағымына түрлендіру (кіріс шағымды түрлендіру):

AD FS сайтының параметрлерін жасау

Жоғарғы AD FS сенімді тарапына қатысты портал торабы параметрлерін қолданыңыз.

Ескерім

Стандартты AD FS (STS) конфигурациясында тек келесі параметрлер пайдаланылады (мысал мәндермен):

PowerShell ішінде WS-Federation метадеректерін AD FS серверінде келесі сценарийді орындау арқылы шығарып алуға болады: Import-Module adfs Get-ADFSEndpoint -AddressPath /FederationMetadata/2007-06/FederationMetadata.xml

Торап параметрі аты Сипаттама
Authentication/Registration/ExternalLoginEnabled Сыртқы тіркелгінің кірісін және тіркелуін қосады немесе өшіреді. Әдепкі: шын
Authentication/WsFederation/ADFS/MetadataAddress Талап етіледі. AD FS (STS) серверінің WS-Federation метадеректерінің URL мекенжайы. Әдетте келесі жолмен аяқталады:/FederationMetadata/2007-06/FederationMetadata.xml . Мысалы: https://adfs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. MSDN.
Authentication/WsFederation/ADFS/AuthenticationType Талап етіледі. OWIN түпнұсқалық растама аралық бағдарламасының түрі. entityID төлсипатының мәнін федерация метадеректері XML файлының түбірінде көрсетіңіз. Мысалы: http://adfs.contoso.com/adfs/services/trust. MSDN.
Authentication/WsFederation/ADFS/Wtrealm Талап етіледі. AD FS сенімді тарап идентификаторы. Мысал: https://portal.contoso.com/. MSDN.
Authentication/WsFederation/ADFS/Wreply Талап етіледі. AD FS WS-Federation пассивті соңғы нүктесі. Мысал: https://portal.contoso.com/signin-federation. MSDN.
Authentication/WsFederation/ADFS/Caption Ұсынылады. Пайдаланушының жүйеге кіру пайдаланушы интерфейсінде көрсете алатын мәтіні. Әдепкі: ADFS. MSDN.
Authentication/WsFederation/ADFS/CallbackPath Түпнұсқалық растама кері қоңырауы өңделетін қосымша шектеулі жол. MSDN.
Authentication/WsFederation/ADFS/SignOutWreply Жүйеден шығу барысында "wreply" мәні пайдаланылады. MSDN.
Authentication/WsFederation/ADFS/BackchannelTimeout Кері арна байланыстарының кідіріс мәні. Мысал: 00:05:00 (5 мин). MSDN.
Authentication/WsFederation/ADFS/RefreshOnIssuerKeyNotFound SecurityTokenSignatureKeyNotFoundException кейін метадеректер жаңартылуы керектігін анықтайды. MSDN.
Authentication/WsFederation/ADFS/UseTokenLifetime Түпнұсқалық растама сеансының қызмет мерзімі (мысалы, cookie файлдары) түпнұсқалық растама таңбалауышына сәйкес келуі керектігін көрсетеді. MSDN.
Authentication/WsFederation/ADFS/AuthenticationMode OWIN түпнұсқалық растама аралық бағдарламасының режимі. MSDN.
Authentication/WsFederation/ADFS/SignInAsAuthenticationType System.Security.Claims.ClaimsIdentity жасау кезінде пайдаланылатын AuthenticationType. MSDN.
Authentication/WsFederation/ADFS/ValidAudiences Аудитория URL үтірмен бөлінген тізімі. MSDN.
Authentication/WsFederation/ADFS/ValidIssuers Шығарушы URL үтірмен бөлінген тізімі. MSDN.
Authentication/WsFederation/ADFS/ClockSkew Тексеру уақытында қолданылатын фазалық ауысым. MSDN.
Authentication/WsFederation/ADFS/NameClaimType Ат шағымын сақтау үшін ClaimsIdentity бойынша пайдаланылатын шағым түрі. MSDN.
Authentication/WsFederation/ADFS/RoleClaimType Рөл шағымын сақтау үшін ClaimsIdentity бойынша пайдаланылатын шағым түрі. MSDN.
Authentication/WsFederation/ADFS/RequireExpirationTime Мән таңбалауыштарда "жарамдылық" мәні болуы керектігін көрсетеді. MSDN.
Authentication/WsFederation/ADFS/RequireSignedTokens Қолтаңба қойылмаған кезде System.IdentityModel.Tokens.SecurityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" жарамдылығын көрсететін мән. MSDN.
Authentication/WsFederation/ADFS/SaveSigninToken Сеанс жасалған кезде бастапқы таңбалауыш сақталатын-сақталмайтынын басқаратын логикалық мән. MSDN.
Authentication/WsFederation/ADFS/ValidateActor System.IdentityModel.Tokens.JwtSecurityToken.Actor тексерілуі керектігін көрсететін мән. MSDN.
Authentication/WsFederation/ADFS/ValidateAudience Таңбалауышты тексеру барысында аудитория тексерілетін-тексерілмейтінін басқаратын логикалық мән. MSDN.
Authentication/WsFederation/ADFS/ValidateIssuer Таңбалауышты тексеру барысында шығарушы тексерілетін-тексерілмейтінін басқаратын логикалық мән. MSDN.
Authentication/WsFederation/ADFS/ValidateLifetime Таңбалауышты тексеру барысында қызмет мерзімі тексерілетін-тексерілмейтінін басқаратын логикалық мән. MSDN.
Authentication/WsFederation/ADFS/ValidateIssuerSigningKey xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" қауіпсіздік таңбалауышына қол қойған System.IdentityModel.Tokens.SecurityKey тексерудің шақырылатын-шақырылмайтынын басқаратын логикалық мән. MSDN.
Authentication/WsFederation/ADFS/Whr Идентификатор провайдерінің қайта бағыттау URL мекенжайында "whr" көрсетеді. MSDN.

Azure Active Directory үшін WS-Federation параметрлері

AD FS сипатталатын алдыңғы бөлімді Azure Active Directory (Azure AD) үшін де қолдануға болады, өйткені Azure AD стандартты WS-Federation үйлесімді қауіпсіздік таңбалауышы қызметі ретінде әрекет етеді. Іске кірісу үшін Azure басқару порталы жүйесіне кіріп, бар каталогты жасаңыз немесе таңдаңыз. Каталог қолжетімді кезде қолданбаны каталогқа қосу туралы нұсқауларды орындаңыз.

  1. Каталогтің Бағдарламалар мәзірінен Қосу түймесін басыңыз.
  2. Менің ұйымым әзірлеген бағдарламаны қосу опциясын таңдаңыз
  3. Бағдарлама үшін реттелетін ат көрсетіп, веб-бағдарлама және/немесе веб-API түрін таңдаңыз
  4. Кіру URL мекенжайы және Қолданба идентификаторының URI мекенжайы үшін екі https://portal.contoso.com/ өрісіне арналған порталдың URL мекенжайын көрсетіңіз. Бұл Wtrealm сайт параметрінің мәніне сәйкес келеді
  5. Осы орайда жаңа бағдарлама жасалады. Мәзірдегі Конфигурациялау бөліміне өтіңіз. Бір рет кіру бөлімінде бірінші Жауап URL мекенжайы жазбасын http://portal.contoso.com/signin-azure-ad URL мекенжайындағы жолды қамтитындай жаңартыңыз
    • Бұл Wreply торап параметрі мәніне сәйкес
  6. Қалтада Сақтау түймесін басыңыз
  7. Колонтитул мәзірінде Соңғы нүктелерді көру түймесін басып, Федерация метадеректері құжаты өрісін ескеріңіз

Бұл MetadataAddress торап параметрі мәніне сәйкес

  • Федерация метадеректері XML көру үшін шолғыш терезесіне осы URL қойып, түбірлік элементтің entityID төлсипатын ескеріңіз.

  • Бұл AuthenticationType торап параметрі мәніне сәйкес

Ескерім

Стандартты Azure AD конфигурациясында тек келесі параметрлер пайдаланылады (мысал мәндермен бірге):

Facebook бағдарламасы түпнұсқалық растамасын теңщеу

Порталдарға арналған Facebook қолданбасының («Бет» қойыншасы) түпнұсқалық растамасы тақырыбында сипатталған конфигурацияны қолдану.

Сонымен қатар, қараңыз

Dynamics 365 порталы түпнұсқалық растамасын конфигурациялау
Порталға арналған түпнұсқалық растама сәйкестік куәлігін орнату
Порталдарға арналған OAuth2 провайдері параметрлері
Порталдарға арналған Open ID Connect жеткізушісі параметрлері
Порталдарға арналған SAML 2.0 жеткізушісінің параметрлері
Порталдарға арналған Facebook қолданбасының (бет қойыншасы) түпнұсқалық растамасы