設定入口網站的 WS-Federation 提供者設定

可以新增單一 Active Directory Federation Services 伺服器 (或其他符合 WS-Federation 的 Security Token Service) 做為身分識別提供者。 此外,可以將單一 Azure ACS 設定為一組個別身分識別提供者。 AD FS 和 ACS 的設定都是以 WsFederationAuthenticationOptions 類別的屬性為基礎。

建立 AD FS 信賴憑證者信任

使用 AD FS 管理工具,選取 [信任關係] > [信賴憑證者信任]。

  1. 按一下 [新增信賴憑證者信任]。
  2. 歡迎使用:按一下 [開始]。
  3. 選取資料來源:選取 [手動輸入關於個信賴憑證者的資料],按 [下一步]。
  4. 指定顯示名稱:輸入 [名稱],按 [下一步]。 範例:https://portal.contoso.com/
  5. 選擇設定檔:選取 [AD FS 2.0 設定檔],按 [下一步]。
  6. 設定憑證:按 [下一步]。
  7. 設定 URL:勾選 [啟用 WS-Federation 被動通訊協定支援]。

信賴憑證者 WS-Federation 被動通訊協定 URL:輸入 https://portal.contoso.com/signin-federation

  1. 設定身分識別:指定 https://portal.contoso.com/,按一下 [新增],按 下一步,可針對每一個額外的信賴憑證者入口網站新增多個身分識別。 使用者將能夠跨任何或所有可用的身分識別進行驗證。
  2. 選擇發行授權規則:選取 [允許所有使用者存取此信賴憑證者],按 [下一步]。
  3. 準備新增信任:按 [下一步]。
  4. 按一下 [關閉]。

新增 [名稱識別碼] 宣告至信賴憑證者信任:

[轉換 Windows 帳戶名稱] 為 [名稱識別碼] 宣告 (轉換連入宣告):

建立 AD FS 網站設定

參考上述 AD FS 信賴憑證者信任套用入口網站設定。

備註

標準 AD FS STS 設定只使用下列設定 (含範例值):

[WS-Federation 中繼資料] 可透過在 AD FS 伺服器上執行下列指令碼,於 PowerShell 中擷取:Import-Module adfs Get-ADFSEndpoint -AddressPath /FederationMetadata/2007-06/FederationMetadata.xml

網站設定名稱 描述
Authentication/Registration/ExternalLoginEnabled 啟用或停用外部帳戶登入和註冊。 預設:true
Authentication/WsFederation/ADFS/MetadataAddress 必要。 AD FS (STS) 伺服器的 WS-Federation 中繼資料 URL。 常用的路徑結尾:/FederationMetadata/2007-06/FederationMetadata.xml。 範例:https://adfs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml。 MSDN
Authentication/WsFederation/ADFS/AuthenticationType 必要。 OWIN 驗證中介軟體類型。 在同盟中繼資料 XML 的根目錄指定 entityID 屬性的值。 範例:http://adfs.contoso.com/adfs/services/trust。 MSDN
Authentication/WsFederation/ADFS/Wtrealm 必要。 AD FS 信賴憑證者識別碼。 範例:https://portal.contoso.com/。 MSDN
Authentication/WsFederation/ADFS/Wreply 必要。 AD FS WS-Federation 被動端點。 範例:https://portal.contoso.com/signin-federation。 MSDN
Authentication/WsFederation/ADFS/Caption 建議使用。 使用者可在登入使用者介面上顯示的文字。 預設:ADFS。 MSDN
Authentication/WsFederation/ADFS/CallbackPath 選擇性的限制路徑,用於處理驗證回呼。 MSDN
Authentication/WsFederation/ADFS/SignOutWreply 登出期間使用的 'wreply' 值。 MSDN
Authentication/WsFederation/ADFS/BackchannelTimeout 後方通道通訊的逾時值。 範例:00:05:00 (5 分鐘)。 MSDN
Authentication/WsFederation/ADFS/RefreshOnIssuerKeyNotFound 決定中繼資料重新整理是否應在 SecurityTokenSignatureKeyNotFoundException 後進行。 MSDN
Authentication/WsFederation/ADFS/UseTokenLifetime 表示驗證工作階段存留期 (例如 Cookie) 應符合驗證 Token 的存留期。 MSDN
Authentication/WsFederation/ADFS/AuthenticationMode OWIN 驗證中介軟體模式。 MSDN
Authentication/WsFederation/ADFS/SignInAsAuthenticationType 建立 System.Security.Claims.ClaimsIdentity 時使用的 AuthenticationType。 MSDN
Authentication/WsFederation/ADFS/ValidAudiences 對象 URL 的逗號分隔清單。 MSDN
Authentication/WsFederation/ADFS/ValidIssuers 簽發者 URL 的逗號分隔清單。 MSDN
Authentication/WsFederation/ADFS/ClockSkew 驗證時間時要套用的時鐘誤差。 MSDN。
Authentication/WsFederation/ADFS/NameClaimType ClaimsIdentity 用來儲存名稱宣告的宣告類型。 MSDN。
Authentication/WsFederation/ADFS/RoleClaimType ClaimsIdentity 用來儲存角色宣告的宣告類型。 MSDN。
Authentication/WsFederation/ADFS/RequireExpirationTime 指出 Token 是否必須有 'expiration' 值的值。 MSDN。
Authentication/WsFederation/ADFS/RequireSignedTokens 指出 System.IdentityModel.Tokens.SecurityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" 在未簽署的情況下是否有效的值。 MSDN。
Authentication/WsFederation/ADFS/SaveSigninToken 布林值,控制工作階段建立時是否儲存原始 Token。 MSDN。
Authentication/WsFederation/ADFS/ValidateActor 指出 System.IdentityModel.Tokens.JwtSecurityToken.Actor 是否應驗證的值。 MSDN。
Authentication/WsFederation/ADFS/ValidateAudience 布林值,控制是否在 Token 驗證期間驗證對象。 MSDN。
Authentication/WsFederation/ADFS/ValidateIssuer 布林值,控制是否在 Token 驗證期間驗證簽發者。 MSDN。
Authentication/WsFederation/ADFS/ValidateLifetime 布林值,控制是否在 Token 驗證期間驗證存留期。 MSDN。
Authentication/WsFederation/ADFS/ValidateIssuerSigningKey 布林值,負責控制是否呼叫簽署 securityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" 的 System.IdentityModel.Tokens.SecurityKey 驗證。 MSDN。
Authentication/WsFederation/ADFS/Whr 指定身分識別提供者重新導向 URL 中的 "whr" 參數。 MSDN

Azure Active Directory 的 WS-Federation 設定

描述 AD FS 的上一節也適用於 Azure Active Directory (Azure AD),因為 Azure AD 的行為就像是與標準 WS-Federation] 相符的 Security Token Service。 若要開始進行,請登入 Azure 管理入口網站並建立或選取現有的目錄。 有目錄可用時,依照指示新增應用程式至目錄。

  1. 在目錄的 [應用程式] 功能表底下,按一下 [新增] 按鈕
  2. 選擇 [新增我的組織正在開發的應用程式]
  3. 為應用程式指定自訂 [名稱],並選擇 [Web 應用程式和/或 Web API] 類型
  4. 針對 [登入 URL] 和 [應用程式識別碼 URI],為這兩個欄位指定入口網站的 URL https://portal.contoso.com/ 這對應於 Wtrealm 網站設定值
  5. 此時,新應用程式已建立完成。 瀏覽至功能表中的 設定 區段,在 [單一登入] 區段底下,更新第一個 [回覆 URL] 項目以在 URL 中包含路徑 http://portal.contoso.com/signin-azure-ad。
    • 這對應於 Wreply 網站設定值
  6. 在頁尾按一下 [儲存]
  7. 在頁尾功能表中,按一下 [檢視端點] 按鈕,並記下 [同盟中繼資料文件] 欄位

這對應於 MetadataAddress 網站設定值

  • 將此 URL 貼入瀏覽器視窗以檢視同盟中繼資料 XML,並記下根元素的 [entityID] 屬性

  • 這對應於 AuthenticationType 網站設定值

備註

標準 Azure AD 設定只使用下列設定 (含範例值):

設定 Facebook 應用程式驗證

套用入口網站的 Facebook 應用程式 (頁面索引標籤) 驗證主題所述的設定。

請參閱

設定 Dynamics 365 入口網站驗證
設定入口網站的驗證身分
入口網站的OAuth2 提供者設定
入口網站的 OpenID Connect 提供者設定
入口網站的 SAML 2.0 提供者設定
入口網站的 Facebook 應用程式 (頁面索引標籤) 驗證