Vorgehensweise: Konfigurieren der Vertrauensstellung zwischen ACS und ASP.NET Webanwendungen mithilfe von X.509-Zertifikaten

Artikel
11/09/2015

Aktualisiert: 19. Juni 2015

Gilt für: Azure

Gilt für

Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS)
ASP.NET

Zusammenfassung

In diesem Thema wird beschrieben, wie Sie vertrauen zwischen Ihrer Anwendung und ACS konfigurieren. Vertrauen wird eingerichtet, indem sie die Token signieren, die zwischen Ihrer ASP.NET Webanwendung und ACS ausgetauscht werden.

Inhalte

Ziele
Übersicht
Zusammenfassung der Schritte
Schritt 1 – Navigieren zum Abschnitt Tokensignaturzertifikate
Schritt 2 - Konfigurieren der Vertrauensstellung mithilfe von X.509-Zertifikaten
Schritt 3 - Überprüfen von Attributen, die sich auf die Vertrauensstellung beziehen, in der Datei "web.config" und im ACS-Verwaltungsportal

Ziele

Werden Sie mit dem Abschnitt "Vertrauensverwaltung" im ACS-Verwaltungsportal vertraut.
Verwalten der Vertrauensstellung mithilfe von X.509-Zertifikaten.
Überprüfen der erforderlichen Konfiguration in der Datei web.config und im Verwaltungsportal.

Übersicht

Das Einrichten von Vertrauensstellung ist erforderlich, um Token zwischen Ihrer Anwendung und ACS ordnungsgemäß zu austauschen. Die Vertrauensstellung stellt sicher, dass die Token während der Übertragung nicht manipuliert werden und dass sie von einer vertrauenswürdigen Partei ausgestellt werden. Für ASP.NET Webanwendungen wird mithilfe von X.509-Zertifikaten verwaltet und basiert auf der Konfiguration des ACS-Verwaltungsportals und der web.config Konfiguration.

Zusammenfassung von Schritten

Führen Sie die folgenden Schritte aus, um vertrauen zwischen einer ASP.NET Webanwendung und ACS zu erstellen und zu verwalten:

Schritt 1 – Navigieren zum Abschnitt Tokensignaturzertifikate
Schritt 2 - Konfigurieren der Vertrauensstellung mithilfe von X.509-Zertifikaten
Schritt 3 - Überprüfen von Attributen, die sich auf die Vertrauensstellung beziehen, in der Datei "web.config" und im ACS-Verwaltungsportal

Schritt 1 – Navigieren zum Abschnitt Tokensignaturzertifikate

In diesem Schritt wird gezeigt, wie Sie zum Abschnitt "Vertrauensverwaltung" des ACS-Verwaltungsportals navigieren.

Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Problembehandlungstipps: Das Element "Active Directory" fehlt oder nicht verfügbar)
Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)
Klicken Sie im ACS-Portal auf "Vertrauende Parteianwendungen".
Klicken Sie auf eine Anwendung der vertrauenden Seite.
Führen Sie auf der Seite Anwendung der vertrauenden Seite bearbeiten einen Bildlauf nach unten bis zum Abschnitt Tokensignaturzertifikate aus.
Wählen Sie ein Zertifikat aus.

Schritt 2 - Konfigurieren der Vertrauensstellung mithilfe von X.509-Zertifikaten

In diesem Schritt wird gezeigt, wie Sie die Vertrauensstellung zwischen ACS und einer ASP.NET Webanwendung mithilfe eines X.509-Zertifikats konfigurieren und verwalten. Verwenden Sie die X.509-Zertifikatsignaturanmeldeinformationen, wenn Sie Windows® Identity Foundation (WIF) in der Anwendung der vertrauenden Seite verwenden.

So konfigurieren und verwalten Sie die Vertrauensstellung mithilfe eines X.509-Zertifikats

Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Problembehandlungstipps: Das Element "Active Directory" fehlt oder nicht verfügbar)
Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)
Klicken Sie auf Zertifikate und Schlüssel, und wählen Sie ein x. 509-Zertifikat aus.
Stellen Sie auf der Seite Tokensignaturzertifikat oder -schlüssel bearbeiten die folgenden Werte zur Verfügung:
- Name: Ein beliebiger Name Ihrer Wahl.
- Typ: X.509-Zertifikat.
- Zertifikat: Um das Zertifikat zu verwenden, das ACS standardmäßig erstellt, ist keine Aktion erforderlich. Sie können auch ein eigenes X.509-Zertifikat hochladen.
  
  Das Zertifikat sollte durch ein Kennwort geschützt sein. Es verfügt in der Regel über eine PFX-Erweiterung. beim Hochladen ihres eigenen X.509-Zertifikats. Bereitstellen des Pfx-Dateikennworts im Textfeld "Kennwort "
- Kennwort: Wenn Sie das Standardzertifikat verwenden, ist keine Aktion erforderlich. Wenn Sie ein Zertifikat hochladen, muss das Zertifikat kennwortgeschützt sein. Geben Sie das Kennwort der PFX-Datei im Textfeld Kennwort ein.
Klicken Sie auf Speichern.

Abrufen eines X.509-Zertifikats

Ein X.509-Zertifikat für die Tokensignatur oder Tokenverschlüsselung kann mit verschiedenen Methoden abgerufen werden. Die von Ihnen verwendete Methode hängt von Ihren Anforderungen und den in Ihrer Organisation verfügbaren Tools ab.

Lokale Zertifizierungsstelle

Wenn Ihre Organisation eine Zertifizierungsstelle (z. B. AD CS, Active Directory-Zertifikatdienste) bereitgestellt hat, können Sie ein X.509-Zertifikat anfordern. Ggf. müssen Sie sich mit dem Administrator Ihrer Zertifizierungsstelle in Verbindung setzen, um Anweisungen oder Berechtigungen zu erhalten. Weitere Informationen zu Active Directory-Zertifikatdiensten finden Sie unter Active Directory-Zertifikatdienste (https://go.microsoft.com/fwlink/?linkid=208371).

Kommerzielle Zertifizierungsstelle

Sie können ein X.509-Zertifikat von einer kommerziellen Zertifizierungsstelle erwerben, z. B. von VeriSign. Da dies eine Labs-Version ist, wird empfohlen, Ihre lokale Zertifizierungsstelle zu verwenden (wenn verfügbar) oder ein selbstsigniertes Zertifikat zu generieren (siehe unten).

Generieren eines Self-Signed Zertifikats

Sie können Software verwenden, um ihr eigenes selbst signiertes Zertifikat zu generieren, das mit ACS verwendet werden soll. Diese Methode wird normalerweise nur zu Testzwecken empfohlen. Sie kann jedoch verwendet werden, wenn Sie keinen Zugang zu einer lokalen Zertifizierungsstelle besitzen oder keine kostenpflichtige Zertifizierungsstelle nutzen möchten. Wenn Sie Windows ausführen, können Sie MakeCert.exe als Teil des Windows SDK https://go.microsoft.com/fwlink/?linkid=84091 herunterladen und dazu ein Zertifikat generieren.

Exportieren eines selbstsignierten Zertifikats

Anweisungen zum Exportieren eines selbst signierten Zertifikats finden Sie unter Zertifikate und Schlüssel.

In diesem Schritt wird gezeigt, wie Konfigurationsattribute, die sich auf die Vertrauensstellung beziehen, in der Datei web.config Ihrer ASP.NET-Webanwendung überprüft werden.

Öffnen Sie die Datei "web.config" für Ihre ASP.NET-Webanwendung.
Navigieren Sie zum Knoten "AudiencesUris", und überprüfen Sie, ob der Wert des untergeordneten Add-Knotens identisch ist wie dieser Wert, den Sie im Bereichseigenschaftsfeld der Seite "Vertrauende Benutzer bearbeiten" des ACS-Verwaltungsportals eingegeben haben.
1. Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Problembehandlungstipps: Das Element "Active Directory" fehlt oder nicht verfügbar)
2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)
3. Klicken Sie auf Anwendungen der vertrauenden Seite.
4. Klicken Sie auf der Seite Anwendungen der vertrauenden Seite auf die gewünschte Anwendung.
5. Überprüfen Sie auf der Seite Anwendung der vertrauenden Seite bearbeiten das Attribut Bereich.

Weitere Informationen

Konzepte

ACS – Vorgehensweisen