Konfiguracija nastavitev ponudnika WS-Federation za portale

Posamezni strežnik Imenik Active Directory Federation Services (ali drugo storitev varnostnih žetonov, skladno z WS-Federation) lahko dodate kot ponudnika identitete. Poleg tega lahko posamezni imenski prostor Azure ACS konfigurirate kot niz posameznih ponudnikov identitete. Nastavitve za AD FS in ACS temeljijo na lastnostih razreda WsFederationAuthenticationOptions.

Ustvarite zaupanje odvisne strani AD FS

Z orodjem za upravljanje strežnika AD FS pojdite na Razmerja zaupanj > Zaupanja odvisnih strani.

  1. Izberite Dodaj zaupanje odvisne strani.
  2. Začetna stran: izberite Začetek.
  3. Izbira vira podatkov: izberite Ročni vnos podatkov o odvisni strani in nato izberite Naprej.
  4. Določitev prikaznega imena: vnesite ime in nato izberite Naprej. Primer: https://portal.contoso.com/
  5. Izbira profila: izberite Profil AD FS 2.0 in nato izberite Naprej.
  6. Konfiguracija potrdila: izberite Naprej.
  7. Konfiguracija URL-ja: izberite potrditveno polje Omogoči podporo za pasivni protokol WS-Federation.

URL pasivnega protokola WS-Federation odvisne strani: vnesite https://portal.contoso.com/signin-federation

  • Opomba: AD FS zahteva, da se portal izvaja prek HTTPS.

    Opomba

    Pridobljena končna točka ima naslednje nastavitve:
    Vrsta končne točke: WS-Federation

  1. Konfiguracija identitet: določite https://portal.contoso.com/, izberite Dodaj in nato še Naprej. Za portal vsake dodatne odvisne strani po potrebi lahko dodate več identitet. Postopek preverjanja pristnosti uporabnikov se bo lahko izvedel prek katerih koli ali vseh razpoložljivih identitet.
  2. Izbira pravil za overjanje izdajanja: izberite Dovoli vsem uporabnikom dostop do te odvisne strani in nato izberite Naprej.
  3. Dodajanje zaupanja: izberite Naprej.
  4. Izberite Zapri.

Dodajanje zahtevka ID imena v zaupanje odvisne strani:

Preoblikovanje imena računa sistema Windows v zahtevek ID imena (preoblikovanje dohodnega zahtevka):

Ustvarjanje nastavitev mesta AD FS

Uporaba nastavitev mesta portala, ki se navezujejo na zgornje zaupanje odvisne strani AD FS.

Opomba

Standardna konfiguracija AD FS (STS) uporablja samo naslednje nastavitve (z vrednostmi primerov):

Metapodatki WS-Federation se lahko pridobijo v lupini PowerShell z zagonom naslednjega skripta v strežniku AD FS: Import-Module adfs Get-ADFSEndpoint -AddressPath /FederationMetadata/2007-06/FederationMetadata.xml

Ime nastavitve mesta Opis
Authentication/Registration/ExternalLoginEnabled Omogoči ali onemogoči vpis in registracijo v zunanji račun. Privzet: »true«
Authentication/WsFederation/ADFS/MetadataAddress Obvezno. URL metapodatkov WS-Federation strežnika AD FS (STS). Pogosto se konča s potjo: /FederationMetadata/2007-06/FederationMetadata.xml. Primer:https://adfs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml. Več informacij najdete tukaj: WsFederationAuthenticationOptions.MetadataAddress.
Authentication/WsFederation/ADFS/AuthenticationType Obvezno. Vrsta vmesne programske opreme za preverjanja pristnosti OWIN. Podajte vrednost atributa entityID v korenu XML-ja metapodatkov združevanja. Primer: http://adfs.contoso.com/adfs/services/trust. Več informacij najdete tukaj: AuthenticationOptions.AuthenticationType.
Authentication/WsFederation/ADFS/Wtrealm Obvezno. Identifikator odvisne strani AD FS. Primer: https://portal.contoso.com/. Več informacij najdete tukaj: WsFederationAuthenticationOptions.Wtrealm.
Authentication/WsFederation/ADFS/Wreply Obvezno. Končna točka pasivnega protokola AD FS WS-Federation. Primer: https://portal.contoso.com/signin-federation. Več informacij najdete tukaj: WsFederationAuthenticationOptions.Wreply.
Authentication/WsFederation/ADFS/Caption Priporočeno. Besedilo, ki ga lahko uporabnik prikaže v uporabniškem vmesniku za vpis. Privzeto: ADFS. Več informacij najdete tukaj: WsFederationAuthenticationOptions.Caption.
Authentication/WsFederation/ADFS/CallbackPath Izbirna omejena pot za obdelavo povratnega klica za preverjanja pristnosti. Več informacij najdete tukaj: WsFederationAuthenticationOptions.CallbackPath.
Authentication/WsFederation/ADFS/SignOutWreply Vrednost »wreply«, uporabljena pri izpisu. Več informacij najdete tukaj: WsFederationAuthenticationOptions.SignOutWreply.
Authentication/WsFederation/ADFS/BackchannelTimeout Vrednost časovne omejitve za vzvratno komunikacijo po kanalu. Primer: 00:05:00 (5 minut). Več informacij najdete tukaj: WsFederationAuthenticationOptions.BackchannelTimeout.
Authentication/WsFederation/ADFS/RefreshOnIssuerKeyNotFound Določa, če se po izjemi SecurityTokenSignatureKeyNotFoundException poskuša izvesti osvežitev metapodatkov. Več informacij najdete tukaj: WsFederationAuthenticationOptions.RefreshOnIssuerKeyNotFound.
Authentication/WsFederation/ADFS/UseTokenLifetime Označuje, da se mora čas trajanja seje preverjanja pristnosti (npr. piškoti) ujemati s časom trajanja žetona za preverjanje pristnosti. WsFederationAuthenticationOptions.UseTokenLifetime.
Authentication/WsFederation/ADFS/AuthenticationMode Način vmesne programske opreme za preverjanja pristnosti OWIN. Več informacij najdete tukaj: AuthenticationOptions.AuthenticationMode.
Authentication/WsFederation/ADFS/SignInAsAuthenticationType AuthenticationType, ki se uporabi pri ustvarjanju atributa System.Security.Claims.ClaimsIdentity. Več informacij najdete tukaj: WsFederationAuthenticationOptions.SignInAsAuthenticationType.
Authentication/WsFederation/ADFS/ValidAudiences Z vejico ločen seznam URL-jev občinstva. Več informacij najdete tukaj: TokenValidationParameters.AllowedAudiences.
Authentication/WsFederation/ADFS/ValidIssuers Z vejico ločen seznam URL-jev izdajatelja. Več informacij najdete tukaj: TokenValidationParameters.ValidIssuers.
Authentication/WsFederation/ADFS/ClockSkew Nagib ure, ki se uporabi pri preverjanju časa.
Authentication/WsFederation/ADFS/NameClaimType Vrsta zahtevka, ki jo ClaimsIdentity uporabi za shranjevanje imena zahtevka.
Authentication/WsFederation/ADFS/RoleClaimType Vrsta zahtevka, ki jo ClaimsIdentity uporabi za shranjevanje vloge zahtevka.
Authentication/WsFederation/ADFS/RequireExpirationTime Vrednost, ki označuje, ali morajo imeti žetoni vrednost »expiration«.
Authentication/WsFederation/ADFS/RequireSignedTokens Vrednost, ki označuje, ali je lahko vrednost System.IdentityModel.Tokens.SecurityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" veljavna, če ni podpisana.
Authentication/WsFederation/ADFS/SaveSigninToken Logična vrednost za nadzor tega, ali se prvotni žeton shrani, ko je ustvarjena seja.
Authentication/WsFederation/ADFS/ValidateActor Vrednost, ki označuje, ali je treba preveriti veljavnost vrednosti System.IdentityModel.Tokens.JwtSecurityToken.Actor.
Authentication/WsFederation/ADFS/ValidateAudience Logična vrednost za nadzor tega, ali se pri preverjanju veljavnosti žetona preveri tudi veljavnost občinstva.
Authentication/WsFederation/ADFS/ValidateIssuer Logična vrednost za nadzor tega, ali se pri preverjanju veljavnosti žetona preveri tudi veljavnost izdajatelja.
Authentication/WsFederation/ADFS/ValidateLifetime Logična vrednost za nadzor tega, ali se pri preverjanju veljavnosti žetona preveri tudi veljavnost časa trajanja.
Authentication/WsFederation/ADFS/ValidateIssuerSigningKey Logična vrednost, ki ureja, ali se prikliče preverjanje veljavnosti vrednosti System.IdentityModel.Tokens.SecurityKey, ki je podpisala securityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5".
Authentication/WsFederation/ADFS/Whr Določa parameter »whr« v URL-ju za preusmeritev ponudnika identitet. Več informacij najdete tukaj: wsFederation.

Nastavitve WS-Federation za Azure Active Directory

Prejšnji razdelek, ki opisuje AD FS, se lahko uporabi tudi za Azure Active Directory (Azure AD), saj Azure AD deluje kot storitev varnostnih žetonov, združljiva s standardom WS-Federation. Za začetek se vpišite v portal za upravljanje Azure in ustvarite ali izberite obstoječi imenik. Ko je na voljo imenik, upoštevajte navodila za dodajanje aplikacije v imenik.

  1. V meniju Aplikacije v imeniku izberite Dodaj.
  2. Izberite Dodaj aplikacijo, ki jo razvija moja organizacija.
  3. Določite ime po meri za aplikacijo in nato izberite vrsto za možnost spletna aplikacija in/ali spletni API.
  4. Za Prijavni URL in URI ID-ja aplikacije navedite URL portala za obe polji https://portal.contoso.com/. To ustreza vrednosti nastavitve mesta Wtrealm.
  5. Na tej točki se ustvari nova aplikacija. Pomaknite se do razdelka Konfiguracija v meniju. V razdelku Enotna prijava posodobite prvi vnos URL odgovora tako, da bo vključeval pot v URL-ju http://portal.contoso.com/signin-azure-ad.
    • To ustreza vrednosti nastavitve mesta Wreply.
  6. V nogi izberite Shrani.
  7. V meniju noge izberite možnost Prikaži končne točke in si oglejte polje Dokument metapodatkov združevanja.

To ustreza vrednosti nastavitve mesta MetadataAddress.

  • Prilepite ta URL v okno brskalnika za prikaz XML-ja metapodatkov združevanja in si oglejte atribut entityID korenskega elementa.

  • To ustreza vrednosti nastavitve mesta AuthenticationType.

Opomba

Standardna konfiguracija Azure AD uporablja samo naslednje nastavitve (z vrednostmi primerov):

Glejte tudi

Konfiguracija preverjanja pristnosti v portalu Dynamics 365
Nastavitev identitete za preverjanje pristnosti za portal
Nastavitve ponudnika OAuth2 za portale
Nastavitve ponudnika Open ID Connect za portale
Nastavitve ponudnika SAML 2.0 za portale