(0) exportieren Drucken
Alle erweitern
Dieser Artikel wurde noch nicht bewertet - Dieses Thema bewerten.

Vorgehensweise: Erstellen einer ersten Ansprüche unterstützenden ASP.NET-Anwendung mithilfe von ACS

Veröffentlicht: April 2011

Letzte Aktualisierung: Mai 2011

Betrifft: Windows Azure

Gilt für

  • Microsoft® Windows Azure™ AppFabric Access Control Service (ACS)

Übersicht

In diesem Thema wird die Integration von ACS in eine ASP.NET-Anwendung der vertrauenden Seite beschrieben. Durch das Integrieren der Webanwendung in ACS können Sie die Funktionen für die Authentifizierung und Autorisierung im Code unberücksichtigt lassen. Anders ausgedrückt, stellt ACS den Mechanismus zum Authentifizieren und Autorisieren von Benutzern für Ihre Webanwendung zur Verfügung. Weitere Informationen finden Sie unter Webanwendungen und ACS.

In diesem Übungsszenario authentifiziert ACS Benutzer mit einer Google-Identität in einer ASP.NET-Testanwendung der vertrauenden Seite.

Schritte für die Integration von ACS in eine ASP.NET-Anwendung der vertrauenden Seite

Schritt 1 - Erstellen eines Dienstnamespaces

Ausführliche Anweisungen zum Erstellen eines Dienstnamespaces finden Sie unter How to: Create a Windows Azure AppFabric Service Namespace.

Schritt 2 - Starten des ACS-Verwaltungsportals

Das ACS-Verwaltungsportal ermöglicht die Konfiguration des ACS-Dienstnamespaces durch Hinzufügen von Identitätsanbietern, Konfigurieren von Anwendungen der vertrauenden Seite, Definieren von Regeln und Regelgruppen und Einrichten der Anmeldeinformationen, denen die Anwendung der vertrauenden Seite vertraut.

So starten Sie das ACS-Verwaltungsportal

  1. Öffnen Sie einen Internetbrowser, und besuchen Sie dann das Windows Azure AppFabric-Verwaltungsportal (http://go.microsoft.com/fwlink/?LinkID=129428).

  2. Melden Sie sich an der Website mithilfe einer Windows Live ID an. Wenn Sie keine Windows Live ID besitzen, klicken Sie auf Anmelden, um eine solche ID zu erstellen.

  3. Nachdem Sie sich mit Ihrer Live ID angemeldet haben, werden Sie auf die Seite Verwaltungsportal weitergeleitet. Klicken Sie unten links auf dieser Seite auf Servicebus und Zugriffssteuerung.

  4. Klicken Sie zum Starten des ACS-Verwaltungsportals in der Struktur auf der linken Seite auf Zugriffssteuerung, wählen Sie den ACS-Dienstnamespace aus, der konfiguriert werden soll, und klicken Sie dann oben auf der Seite auf der Symbolleiste auf die Schaltfläche Zugriffssteuerungsdienst.

Schritt 3 - Hinzufügen von Identitätsanbietern

In diesem Abschnitt wird das Hinzufügen von Identitätsanbietern beschrieben, die von der Anwendung der vertrauenden Seite für die Authentifizierung verwendet werden. Weitere Informationen zu Identitätsanbietern finden Sie unter Identitätsanbieter.

So fügen Sie Identitätsanbieter hinzu

  1. Klicken Sie im ACS-Verwaltungsportal in der Struktur auf der linken Seite auf Identitätsanbieter, oder klicken Sie im Abschnitt Erste Schritte auf den Link Identitätsanbieter.

  2. Klicken Sie auf der Seite Identitätsanbieter auf Hinzufügen, wählen Sie Google als Identitätsanbieter aus, und klicken Sie dann auf Weiter.

  3. Auf der Seite Google als Identitätsanbieter hinzufügen werden Sie zur Eingabe von Anmeldelinktext (der Standardwert ist Google) und einer Bild-URL aufgefordert. Diese URL verweist auf eine Bilddatei, die als Anmeldelink für diesen Identitätsanbieter verwendet werden kann. Die Bearbeitung dieser Felder ist optional. Bearbeiten Sie sie in dieser Übung nicht, klicken Sie stattdessen auf Speichern.

Schritt 4 - Hinzufügen einer Anwendung der vertrauenden Seite

In diesem Abschnitt wird das Hinzufügen und Konfigurieren einer Anwendung der vertrauenden Seite beschrieben. Weitere Informationen zu Anwendungen der vertrauenden Seite finden Sie unter Anwendungen der vertrauenden Seite.

So richten Sie eine Anwendung der vertrauenden Seite ein

  1. Klicken Sie im ACS-Verwaltungsportal in der Struktur auf der linken Seite auf Anwendungen der vertrauenden Seite, oder klicken Sie im Abschnitt Erste Schritte auf den Link Anwendungen der vertrauenden Seite.

  2. Klicken Sie auf der Seite Anwendungen der vertrauenden Seite auf Hinzufügen.

  3. Führen Sie auf der Seite Anwendung der vertrauenden Seite hinzufügen die folgenden Aktionen aus:

    • Geben Sie unter Name den Namen der Anwendung der vertrauenden Seite ein. Geben Sie für diese Übung TestApp ein.

    • Wählen Sie unter Modus die Option Einstellungen manuell eingeben aus.

    • Geben Sie unter Bereich den URI ein, für den das von ACS ausgestellte Sicherheitstoken gilt. Geben Sie für diese Übung http://localhost:7777/ ein.

    • Geben Sie unter Rückgabe-URL die URL ein, an die ACS das Sicherheitstoken zurückgibt. Geben Sie für diese Übung http://localhost:7777/ ein.

    • Geben Sie unter Fehler-URL (optional) die URL ein, die ACS verwenden kann, wenn während der Anmeldung ein Fehler auftritt. Lassen Sie dieses Feld in dieser Übung leer.

    • Wählen Sie unter Tokenformat ein Tokenformat aus, das ACS beim Ausstellen von Sicherheitstoken für die Anwendung dieser vertrauenden Seite verwenden kann. Wählen Sie für diese Übung SAML 2.0 aus. Weitere Informationen zu Token und Tokenformaten finden Sie unter In ACS unterstützte Tokenformate sowie unter "Tokenformat" in Anwendungen der vertrauenden Seite.

    • Wählen Sie unter Tokenverschlüsselungsrichtlinie eine Verschlüsselungsrichtlinie für von ACS für die Anwendung dieser vertrauenden Seite ausgestellte Token aus. Akzeptieren Sie in dieser Übung den Standardwert Keine. Weitere Informationen zu Tokenverschlüsselungsrichtlinien finden Sie unter "Tokenverschlüsselungsrichtlinie" in Anwendungen der vertrauenden Seite.

    • Geben Sie unter Tokengültigkeitsdauer (Sek.) den Zeitraum an, für den ein von ACS ausgestelltes Sicherheitstoken gültig bleibt. Akzeptieren Sie in dieser Übung den Standardwert 600. Weitere Informationen finden Sie unter "Tokengültigkeitsdauer" in Anwendungen der vertrauenden Seite.

    • Wählen Sie unter Identitätsanbieter die Identitätsanbieter aus, die mit der Anwendung dieser vertrauenden Seite verwendet werden sollen. Akzeptieren Sie in dieser Übung die aktivierten Standardwerte (Google und Windows Live ID).

    • Wählen Sie unter Regelgruppen die Regelgruppen aus, die diese Anwendung der vertrauenden Seite beim Verarbeiten von Ansprüchen verwenden soll. Akzeptieren Sie in dieser Übung die Option Neue Regelgruppe erstellen, die standardmäßig aktiviert ist. Weitere Informationen zu Regelgruppen finden Sie unter Regelgruppen und Regeln.

    • Wählen Sie im Abschnitt Tokensignatureinstellungen aus, ob SAML-Token mit dem Standardzertifikat des Dienstnamespaces oder mit einem benutzerdefinierten Zertifikat signiert werden sollen, das für diese Anwendung spezifisch ist. Akzeptieren Sie in dieser Übung den Standardwert Dienstnamespacezertifikat verwenden (Standard). Weitere Informationen zu Tokensignaturen finden Sie unter "Tokensignaturen" in Anwendungen der vertrauenden Seite.

  4. Klicken Sie auf Speichern.

Schritt 5 - Erstellen von Regeln

In diesem Abschnitt wird das Definieren von Regeln beschrieben, die bestimmen, wie Ansprüche von Identitätsanbietern an Ihre Anwendung der vertrauenden Seite übergeben werden. Weitere Informationen zu Regeln und Regelgruppen finden Sie unter Regelgruppen und Regeln.

So erstellen Sie Regeln

  1. Klicken Sie auf der Startseite des ACS-Verwaltungsportals in der Struktur auf der linken Seite auf Regelgruppen, oder klicken Sie im Abschnitt Erste Schritte auf den Link Regelgruppen.

  2. Klicken Sie auf der Seite Regelgruppen auf Standardregelgruppe für TestApp (da Sie die Anwendung der vertrauenden Seite TestApp genannt haben).

  3. Klicken Sie auf der Seite Regelgruppe bearbeiten auf Generieren.

  4. Akzeptieren Sie auf der Seite Regeln generieren: Standardregelgruppe für TestApp die standardmäßig ausgewählten Identitätsanbieter (in dieser Übung handelt es sich um Google und Windows Live ID), und klicken Sie dann auf die Schaltfläche Generieren.

  5. Klicken Sie auf der Seite Regelgruppe bearbeiten auf Speichern.

Schritt 6 - Überprüfen der Anwendungsintegrationsinformationen

Sie finden alle Informationen und den gesamten Code zum Ändern der Anwendung der vertrauenden Seite für den Einsatz mit ACS auf der Seite Anwendungsintegration des ACS-Verwaltungsportals.

So überprüfen Sie die Anwendungsintegrationsinformationen

  • Klicken Sie auf der Startseite des ACS-Verwaltungsportals in der Struktur auf der linken Seite auf Anwendungsintegration, oder klicken Sie im Abschnitt Erste Schritte auf den Link Anwendungsintegration.

    Die ACS-URIs, die auf der Seite Anwendungsintegration angezeigt werden, sind für Ihren Dienstnamespace eindeutig.

    Für diese Übung wird empfohlen, diese Seite geöffnet zu lassen, um die verbleibenden Schritte schnell ausführen zu können.

Schritt 7 - Erstellen einer ASP.NET-Anwendung der vertrauenden Seite

In diesem Abschnitt wird das Erstellen einer ASP.NET-Anwendung der vertrauenden Seite beschrieben, die dann ggf. in ACS integriert werden kann.

So erstellen Sie eine ASP.NET-Anwendung der vertrauenden Seite

  1. Klicken Sie zum Ausführen von Visual Studio 2010 auf Start und dann auf Ausführen, geben Sie den folgenden Text ein, und drücken Sie dann die EINGABETASTE:
    devenv.exe

  2. Klicken Sie in Visual Studio auf Datei und dann auf Neues Projekt.

  3. Wählen Sie im Fenster Neues Projekt die Vorlage Visual Basic oder die Vorlage Visual C# aus, und wählen Sie dann ASP.NET MVC 2-Webanwendung aus.

  4. Geben Sie unter Name den folgenden Text ein, und klicken Sie dann auf OK:
    TestApp

  5. Wählen Sie unter Testprojekt erstellen die Option Kein Testprojekt erstellen aus, und klicken Sie dann auf OK.

  6. Klicken Sie im Projektmappen-Explorer mit der rechten Maustaste auf TestApp, und wählen Sie dann Eigenschaften aus.

  7. Wählen Sie im Fenster TestApp - Eigenschaften die Registerkarte Webaus, klicken Sie unter Visual Studio-Entwicklungsserver auf Bestimmter Anschluss, und ändern Sie den Wert dann in 7777.

  8. Drücken Sie F5, um die soeben erstellte Anwendung auszuführen und zu debuggen. Wenn keine Fehler gefunden wurden, rendert Ihr Browser ein leeres MVC-Projekt.

    Lassen Sie Visual Studio 2010 geöffnet, um den nächsten Schritt auszuführen.

Schritt 8 - Konfigurieren der Vertrauensstellung zwischen ACS und der ASP.NET-Anwendung der vertrauenden Seite

In diesem Abschnitt wird die Integration von ACS in die ASP.NET-Anwendung der vertrauenden Seite beschrieben, die im vorherigen Schritt erstellt wurde.

So konfigurieren Sie die Vertrauensstellung zwischen der ASP.NET-Anwendung der vertrauenden Seite und ACS

  1. Klicken Sie in Visual Studio 2010 im Projektmappen-Explorer für TestApp mit der rechten Maustaste auf TestApp, und wählen Sie dann STS-Verweis hinzufügen aus.

  2. Führen Sie im Verbundhilfsprogramm-Assistenten die folgenden Aktionen aus:

    1. Geben Sie auf der Seite Willkommen unter Anwendungs-URI den Anwendungs-URI ein, und klicken Sie dann auf Weiter. In dieser Übung lautet der Anwendungs-URI http://localhost:7777/.

      noteHinweis
      Der nachstehende Schrägstrich ist wichtig, weil er dem im ACS-Verwaltungsportal für die Anwendung der vertrauenden Seite eingegebenen Wert entspricht. Weitere Informationen finden Sie unter Schritt 4 - Hinzufügen einer Anwendung der vertrauenden Seite.

    2. Es wird eine Warnung angezeigt: ID 1007: Die Anwendung wird nicht mit einer sicheren HTTPS-Verbindung gehostet. Möchten Sie den Vorgang fortsetzen? Klicken Sie in dieser Übung auf Ja.

      noteHinweis
      In einer Produktionsumgebung ist diese Warnung zur Verwendung von SSL gültig und sollte nicht ignoriert werden.

    3. Wählen Sie auf der Seite Sicherheitstokendienst die Option Vorhandenen STS verwenden aus, geben Sie die von ACS veröffentlichte Metadaten-URL des WS-Verbunds ein, und klicken Sie dann auf Weiter.

      noteHinweis
      Den Wert der Metadaten-URL des WS-Verbunds finden Sie auf der Seite Anwendungsintegration des ACS-Verwaltungsportals. Weitere Informationen finden Sie unter Schritt 6 - Überprüfen der Anwendungsintegrationsinformationen.

    4. Klicken Sie auf der Seite Überprüfungsfehler der STS-Signaturzertifikatkette auf Weiter.

    5. Klicken Sie auf der Seite Sicherheitstokenverschlüsselung auf Weiter.

    6. Klicken Sie auf der Seite Angebotene Ansprüche auf Weiter.

    7. Klicken Sie auf der Seite Zusammenfassung auf Fertig stellen.

    Nachdem Sie die Ausführung des Verbundhilfsprogramm-Assistenten erfolgreich beendet haben, wird ein Verweis auf die Assembly Microsoft.IdentityModel.dll hinzugefügt, und es werden Werte in die Datei Web.config geschrieben, die WIF (Windows Identity Foundation) in Ihrer ASP.NET MVC 2-Webanwendung (TestApp) konfiguriert.

  3. Öffnen Sie die Datei Web.config, und suchen Sie nach dem Hauptelement system.web. Es ähnelt der folgenden Angabe:

    <system.web>
        <authorization>
          <deny users="?" />
        </authorization>
    

    Ändern Sie die Datei Web.config so, dass die Anforderungsüberprüfung ermöglicht wird, indem Sie den folgenden Code unter dem Hauptelement system.web hinzufügen:

    
        <!--set this value-->
        <httpRuntime requestValidationMode="2.0"/>
     
    

    Nachdem Sie das Update ausgeführt haben, muss das oben genannte Codefragment wie folgt aussehen:

     
       <system.web>
        <!--set this value-->
        <httpRuntime requestValidationMode="2.0"/>
        <authorization>
        <deny users="?" />
        </authorization>
    

Schritt 9 - Testen der Integration von ACS in die ASP.NET-Anwendung der vertrauenden Seite

In diesem Abschnitt wird beschrieben, wie die Integration der Anwendung der vertrauenden Seite in ACS getestet werden kann.

So testen Sie die Integration der ASP.NET-Anwendung der vertrauenden Seite in ACS

  1. Lassen Sie Visual Studio 2010 geöffnet, und drücken Sie dann F5, um mit dem Debugvorgang der ASP.NET-Anwendung der vertrauenden Seite zu beginnen.

    Wenn keine Fehler gefunden wurden, öffnet Ihr Browser nicht die MVC-Standardanwendung, sondern wird zu einer von ACS gehosteten Seite Homebereicherkennung weitergeleitet, auf der Sie aufgefordert werden, einen Identitätsanbieter auszuwählen.

  2. Wählen Sie Google aus.

    Der Browser lädt nun die Google-Anmeldeseite.

  3. Geben Sie Ihre Google-Testanmeldeinformationen ein, und akzeptieren Sie dann die Zustimmungsbenutzeroberfläche, die auf der Google-Website angezeigt wird.

    Der Browser sendet eine Rückmeldung an ACS, ACS stellt ein Token aus und stellt dieses dann auf Ihrer MVC-Website bereit.

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.