(0) exportieren Drucken
Alle erweitern

Vorgehensweise: Konfigurieren von Google als Identitätsanbieter

Veröffentlicht: April 2011

Letzte Aktualisierung: Mai 2011

Betrifft: Windows Azure

Gilt für

  • Microsoft® Windows Azure™ AppFabric ACS (Access Control Service, Zugriffssteuerungsdienst)

Zusammenfassung

In dieser Vorgehensweise wird beschrieben, wie Google als ACS-Identitätsanbieter konfiguriert wird. Wenn Sie Google als Identitätsanbieter für Ihre ASP.NET-Webanwendung konfigurieren, können sich Benutzer mit Ihrer ASP.NET-Webanwendung authentifizieren, indem sie sich an ihrem Google-Konto anmelden.

Inhalt

  • Ziele

  • Übersicht

  • Zusammenfassung der Schritte

  • Schritt 1 - Erstellen eines Namespaces

  • Schritt 2 – Konfigurieren von Google als Identitätsanbieter

  • Schritt 3 – Konfigurieren der Vertrauensstellung mit der vertrauenden Seite

  • Schritt 4 – Erstellen von Tokentransformationsregeln

  • Schritt 5 – Überprüfen der durch den Namespace bereitgestellten Endpunkte

Ziele

  • Erstellen eines Windows Azure AppFabric-Projekts und -Namespaces.

  • Konfigurieren eines Namespaces, der mit Google als Identitätsanbieter verwendet wird.

  • Konfigurieren der Vertrauensstellung und Tokentransformationsregeln.

  • Kennenlernen des Endpunktverweises, der Liste der Dienste und der Metadatenendpunkte.

Übersicht

Wenn Sie Google als Identitätsanbieter konfigurieren, ist es nicht mehr erforderlich die Authentifizierungs- und Identitätsverwaltungsmechanismen zu erstellen und zu verwalten. Die Erfahrung des Endbenutzers wird optimiert, wenn vertraute Authentifizierungsverfahren bereitgestellt werden. Mithilfe von ACS ist es ganz einfach, eine Konfiguration einzurichten, die von Ihrer Anwendung verwendet werden kann, um solche Funktionen für Endbenutzer bereitzustellen. In dieser Vorgehensweise wird erläutert, wie diese Aufgabe gelöst werden kann. Die folgende Abbildung zeigt den Gesamtablauf bei der Konfiguration einer vertrauenden Seite von ACS für die Verwendung.

ACS v2-Workflow

Zusammenfassung der Schritte

Führen Sie die folgenden Schritte aus, um Google als Identitätsanbieter für Ihre Anwendung zu konfigurieren:

  • Schritt 1 - Erstellen eines Namespaces

  • Schritt 2 – Konfigurieren von Google als Identitätsanbieter

  • Schritt 3 – Konfigurieren der Vertrauensstellung mit der vertrauenden Seite

  • Schritt 4 – Erstellen von Tokentransformationsregeln

  • Schritt 5 – Überprüfen der durch den Namespace bereitgestellten Endpunkte

Schritt 1 - Erstellen eines Namespaces

In diesem Schritt wird ein Namespace im Windows Azure AppFabric-Projekt erstellt. Sie können diesen Schritt überspringen, wenn Sie Google als Identitätsanbieter für einen vorhandenen Namespace konfigurieren möchten.

So erstellen Sie einen Namespace in Ihrem Windows Azure AppFabric-Projekt

  1. Ausführliche Anweisungen zum Erstellen eines Dienstnamespaces finden Sie unter Vorgehensweise: Erstellen eines Windows Azure AppFabric-Dienstnamespaces.

Schritt 2 – Konfigurieren von Google als Identitätsanbieter

In diesem Schritt wird gezeigt, wie Sie Google als Identitätsanbieter für einen vorhandenen Namespace konfigurieren können.

So konfigurieren Sie Google als Identitätsanbieter für einen vorhandenen Namespace

  1. Navigieren Sie zu http://portal.windows.net (http://go.microsoft.com/fwlink/?LinkID=129428).

  2. Wenn Sie nicht mithilfe von Windows Live ID authentifiziert wurden, ist dieser Vorgang nun erforderlich.

  3. Nachdem Sie mit Ihrer Windows Live ID authentifiziert wurden, werden Sie im Windows Azure AppFabric-Portal auf die Seite Meine Projekte weitergeleitet.

  4. Klicken Sie auf der Seite Mein Projekt auf den gewünschten Projektnamen.

  5. Suchen Sie auf der Detailseite des Projekts nach dem gewünschten Namespace, und klicken Sie dann in der Spalte Verwalten auf den Link Zugriffssteuerung.

  6. Klicken Sie auf der Seite Zugriffssteuerungseinstellungen auf Zugriffssteuerung verwalten.

  7. Klicken Sie auf der Seite Zugriffssteuerungsdienst auf den Link Identitätsanbieter.

  8. Klicken Sie auf der Seite Identitätsanbieter hinzufügen neben Google auf die Schaltfläche Hinzufügen.

  9. Klicken Sie auf der Seite Google-Identitätsanbieter hinzufügen auf Speichern.

Schritt 3 – Konfigurieren der Vertrauensstellung mit der vertrauenden Seite

In diesem Schritt wird die Konfiguration der Vertrauensstellung zwischen Ihrer Anwendung (als vertrauende Seite bezeichnet) und ACS beschrieben.

So konfigurieren Sie die Vertrauensstellung

  1. Navigieren Sie zu http://portal.windows.net (http://go.microsoft.com/fwlink/?LinkID=129428).

  2. Wenn Sie nicht mithilfe von Windows Live ID authentifiziert wurden, ist dieser Vorgang nun erforderlich.

  3. Nachdem Sie mit Ihrer Windows Live ID authentifiziert wurden, werden Sie im Windows Azure AppFabric-Portal auf die Seite Meine Projekte weitergeleitet.

  4. Klicken Sie auf der Seite Mein Projekt auf den gewünschten Projektnamen.

  5. Suchen Sie auf der Detailseite des Projekts nach dem gewünschten Namespace, und klicken Sie dann in der Spalte Verwalten auf den Link Zugriffssteuerung.

  6. Klicken Sie auf der Seite Zugriffssteuerungseinstellungen auf Zugriffssteuerung verwalten.

  7. Klicken Sie auf der Seite Zugriffssteuerungsdienst auf den Link Anwendungen der vertrauenden Seite.

  8. Klicken Sie auf der Seite Anwendungen der vertrauenden Seite auf Anwendung der vertrauenden Seite hinzufügen.

  9. Geben Sie auf der Seite Anwendung der vertrauenden Seite hinzufügen Werte für die folgenden Felder ein:

    • Name - Ein beliebiger Name Ihrer Wahl.

    • Bereich - Der Bereich ist der URI, für den die von ACS ausgestellten Token gültig sind.

    • Rückgabe-URL - Die Rückgabe-URL definiert die URL, an die die von ACS ausgestellten Token für eine bestimmte Anwendung der vertrauenden Seite zurückgegeben werden.

    • Tokenformat - Das Tokenformat definiert den Tokentyp, den ACS für einer Anwendung der vertrauenden Seite ausstellt.

    • Tokenverschlüsselungsrichtlinie - Optional kann ACS beliebige SAML 1.1- oder SAML 2.0-Token verschlüsseln, die für eine Anwendung der vertrauenden Seite ausgestellt werden.

    • Tokengültigkeitsdauer - Die Tokengültigkeitsdauer für das von ACS für eine Anwendung der vertrauenden Seite ausgestellte Token.

    • Identitätsanbieter - Im Feld Identitätsanbieter können Sie angeben, welche Identitätsanbieter mit Ihrer Anwendung der vertrauenden Seite verwendet werden sollen. Stellen Sie sicher, dass Google ausgewählt ist.

    • Regelgruppen - Regelgruppen enthalten Regeln, die definieren, welche Benutzeridentitätsansprüche von Identitätsanbietern an Ihre Anwendung der vertrauenden Seite übergeben werden.

    • Tokensignatur - ACS signiert alle ausgestellten Sicherheitstoken mithilfe eines X.509-Zertifikats (mit einem privaten Schlüssel) oder eines symmetrischen 256-Bit-Schlüssels.

    Weitere Informationen zu den einzelnen Feldern finden Sie unter Anwendungen der vertrauenden Seite.

  10. Klicken Sie auf Speichern.

Schritt 4 – Erstellen von Tokentransformationsregeln

In diesem Schritt wird die Konfiguration der Ansprüche beschrieben, die von ACS an die Anwendung der vertrauenden Seite gesendet werden sollen. Google sendet z. B. E-Mail-Nachrichten von Benutzern nicht standardmäßig. Sie müssen den Identitätsanbieter konfigurieren, der die gewünschten Ansprüche für Ihre Anwendung bereitstellen soll, und angeben, wie die Transformation erfolgen soll. Im folgenden Verfahren wird beschrieben, wie eine Pass-Through-Regel für eine E-Mail-Adresse im Token hinzugefügt wird, damit dieses von Ihrer Anwendung verwendet werden kann.

So konfigurieren Sie Transformationsregeln für Tokenansprüche

  1. Navigieren Sie zu http://portal.windows.net (http://go.microsoft.com/fwlink/?LinkID=129428).

  2. Wenn Sie nicht mithilfe von Windows Live ID authentifiziert wurden, ist dieser Vorgang nun erforderlich.

  3. Nachdem Sie mit Ihrer Windows Live ID authentifiziert wurden, werden Sie im Windows Azure AppFabric-Portal auf die Seite Meine Projekte weitergeleitet.

  4. Klicken Sie auf der Seite Mein Projekt auf den gewünschten Projektnamen.

  5. Suchen Sie auf der Detailseite des Projekts nach dem gewünschten Namespace, und klicken Sie dann in der Spalte Verwalten auf den Link Zugriffssteuerung.

  6. Klicken Sie auf der Seite Zugriffssteuerungseinstellungen auf Zugriffssteuerung verwalten.

  7. Klicken Sie auf der Seite Zugriffssteuerungsdienst auf den Link Regelgruppe.

  8. Klicken Sie auf der Seite Regelgruppen auf den Link Regelgruppe hinzufügen. Sie können optional auch die vorhandene Regelgruppe bearbeiten.

  9. Geben Sie auf der Seite Regelgruppe hinzufügen einen Namen für Ihre neue Gruppe an, und klicken Sie dann auf Speichern.

  10. Klicken Sie auf der Seite Regelgruppe bearbeiten auf den Link Regel hinzufügen.

  11. Geben Sie auf der Seite Anspruchsregel hinzufügen die folgenden Werte an:

    • Anspruchsaussteller - Identitätsanbieter - Google.

    • (Und) Eingabeanspruchstyp - Wählen Sie den Typ aus - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.

    • (Und) Eingabeanspruchswert - Wählen Sie Beliebig aus.

    • Ausgabeanspruchstyp - Pass-Through des Eingabeanspruchstyps.

    • Ausgabeanspruchswert - Pass-Through des Eingabeanspruchswerts.

    • Fügen Sie optional eine Beschreibung der Regel im Abschnitt Beschreibung hinzu.

  12. Klicken Sie auf Speichern.

  13. Klicken Sie auf den Link Zugriffssteuerungsdienst und dann auf den Link Anwendung der vertrauenden Seite.

  14. Klicken Sie auf die gewünschte Anwendung der vertrauenden Seite.

  15. Führen Sie einen Bildlauf nach unten bis zum Abschnitt Regelgruppen aus, stellen Sie sicher, dass die neue Regelgruppe ausgewählt ist, und klicken Sie dann auf Speichern.

Schritt 5 – Überprüfen der durch den Namespace bereitgestellten Endpunkte

In diesem Schritt machen Sie sich mit den Endpunkten vertraut, die durch ACS bereitgestellt werden. ACS stellt z. B. den WS-Verbundmetadatenendpunkt bereit, der von FedUtil beim Konfigurieren von ASP.NET-Webanwendungen für die Verbundauthentifizierung verwendet wird.

So überprüfen Sie die von ACS bereitgestellten Endpunkte

  1. Navigieren Sie zu http://portal.windows.net (http://go.microsoft.com/fwlink/?LinkID=129428).

  2. Wenn Sie nicht mithilfe von Windows Live ID authentifiziert wurden, ist dieser Vorgang nun erforderlich.

  3. Nachdem Sie mit Ihrer Windows Live ID authentifiziert wurden, werden Sie im Windows Azure AppFabric-Portal auf die Seite Meine Projekte weitergeleitet.

  4. Klicken Sie auf der Seite Mein Projekt auf den gewünschten Projektnamen.

  5. Suchen Sie auf der Detailseite des Projekts nach dem gewünschten Namespace, und klicken Sie dann in der Spalte Verwalten auf den Link Zugriffssteuerung.

  6. Klicken Sie auf der Seite Zugriffssteuerungseinstellungen auf Zugriffssteuerung verwalten.

  7. Klicken Sie auf der Seite Zugriffssteuerungsdienst auf den Link Anwendungsintegration.

  8. Überprüfen Sie die Tabelle Endpunktverweis. Die von WS-Verbund über die URL bereitgestellten Metadaten sollten den folgenden Daten ähneln (Sie verwenden einen anderen Namespace).

    https://my-namespace1.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml
    
    

Anzeigen:
© 2014 Microsoft