Provedor de Segurança - WS-Federation¶
O provedor de segurança da WS-Federation permite a autenticação de logon único (SSO) com provedores de identidade (IdPs) da WS-Federation compatíveis, incluindo o Microsoft Azure Active Directory (AD) e Serviços de Federação do Active Directory (AD FS). Informações adicionais sobre a WS-Federation estão disponíveis nos seguintes documentos:
Configuração¶
Fichas¶
- Público: restrição de público. Embora o padrão exija um URI sintaticamente válido, o Vinyl aceitará valores não URI para integração com implementações não conformes. O padrão é ID da entidade.
- Destinatário: URL de resposta da Ws-Federation (Wreply). O padrão é o URL atual. Consulte * Endpoint de resposta* abaixo.
- ID da entidade: URI da região de segurança da WS-Federation (Wtrealm). No Microsoft Azure, isso é conhecido como ID do aplicativo. No AD FS, isso é chamado de Identificador. Obrigatório.
Cuidado
Nas versões anteriores do Vinyl, Entity ID era padronizado como URL raiz do aplicativo (por exemplo, https://example.com/Vinyl/). ID da entidade agora é obrigatório.
Endpoints¶
| Tipo | Descrição |
|---|---|
| Endpoint de metadados | URL de metadados da WS-Federation, por exemplo, https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml. Obrigatório. |
Propriedades¶
O provedor de segurança WS-Federation define os seguintes parâmetros:
| Parâmetro | Padrão | Descrição |
|---|---|---|
| IgnorarTlsErrors | Falso | Indica se o Vinyl deve ignorar erros de TLS ao conectar-se à URL de metadados da WS-Federation. Isso deve ser usado apenas para desenvolvimento e teste. |
| ClockSkew | 5 | Número máximo de minutos para permitir relógios de servidor fora de sincronia ao validar a asserção SAML. |
| LogPII | Falso | Indica que as informações de identificação pessoal (PII) devem ser registradas. Esta configuração entra em vigor na inicialização. |
Reivindicações¶
WS-Federation é fundamentalmente um protocolo de autenticação baseado em declarações. O provedor de segurança WS-Federation reconhece as seguintes reivindicações:
| Identificador | Finalidade | Descrição |
|---|---|---|
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier | Identificador de nome | Identificador único e imutável usado para mapear a identidade de externo para um usuário do Vinyl. |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name | Nome | Nome de usuário. |
| http://schemas.xmlsoap.org/claims/Group | Grupo | Associação ao grupo de segurança. |
| http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid | Grupo | Associação ao grupo de segurança. |
| http://schemas.microsoft.com/ws/2008/06/identity/claims/groups | Grupo | Associação ao grupo de segurança. |
| http://schemas.zudy.com/identity/claims/fullname | Nome Completo | Nome completo. |
| http://schemas.zudy.com/identity/claims/displayname | Nome de exibição | Nome amigável. |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | Endereço de Email | Endereço Email. |
| http://schemas.zudy.com/identity/claims/phonenumber | Número de telefone | Número de telefone. |
Integração¶
Endpoint da Resposta¶
O provedor de segurança WS-Federation expõe um único endpoint que atende solicitações HTTP contendo um token de segurança. O endereço assume o seguinte formato:
https://example.com/Vinyl/signin-WSFederation
A URL é composta pelas seguintes partes:
| Componente | Descrição |
|---|---|
| https://example.com/Vinyl/ | URL absoluta para o diretório raiz do aplicativo Vinyl. |
| Federação Mundial | Nome do provedor de segurança Ws-Federation codificado em URL. O valor diferencia maiúsculas de minúsculas. |
Problemas Conhecidos e Limitações¶
O provedor de segurança Vinyl WS-Federation tem as seguintes limitações:
- Apenas poderá ser validada uma única restrição de público.
- O protocolo Logout não é suportado.