Exportar (0) Imprimir
Expandir todo

Procedimiento: Configurar AD FS 2.0 como proveedor de identidades

Publicada: abril de 2011

Actualizado: mayo de 2011

Se aplica a: Windows Azure

Se aplica a

  • Microsoft® Windows Azure™ AppFabric Access Control Service (ACS)

  • Servicios de federación 2.0 de Active Directory®

Resumen

En este folleto se describe cómo configurar Servicios de federación de Active Directory (AD FS) 2.0 como proveedor de identidades. La configuración de AD FS 2.0 como proveedor de identidades para su aplicación web de ASP.NET permitirá a sus usuarios autenticar a su aplicación web de ASP.NET iniciando sesión en su cuenta corporativa por parte de Active Directory.

Contenido

  • Objetivos

  • Información general

  • Resumen de pasos

  • Paso 1 - Agregar AD FS 2.0 como proveedor de identidades en el portal de administración de ACS

  • Paso 2 - Agregar un certificado a ACS para descifrar tokens recibidos de AD FS 2.0 en el portal de administración de ACS (opcional)

  • Paso 3 - Agregar su espacio de nombres de ACS como usuario de confianza en AD FS 2.0

  • Paso 4 - Agregar reglas de notificación para el espacio de nombres de ACS en AD FS 2.0

Objetivos

  • La configuración de la confianza entre ACS y AD FS 2.0.

  • La mejora de la seguridad del intercambio de tokens y metadatos.

Información general

La configuración de AD FS 2.0 como el proveedor de identidades habilita la reutilización de cuentas existentes administradas por Active Directory corporativo para autenticación. Elimina la necesidad de crear complejos mecanismos de sincronización de cuentas o de desarrollar código personalizado que lleve a cabo las tareas de aceptar credenciales de usuario final, de validarlas frente al almacén de credenciales y de administrar las credenciales. La integración de ACS y AD FS 2.0 se lleva a cabo solo por configuración; no se necesita ningún código personalizado.

Resumen de pasos

  • Paso 1 - Agregar AD FS 2.0 como proveedor de identidades en el portal de administración de ACS

  • Paso 2 - Agregar un certificado a ACS para descifrar tokens recibidos de AD FS 2.0 en el portal de administración de ACS (opcional)

  • Paso 3 - Agregar su espacio de nombres de ACS como usuario de confianza en AD FS 2.0

  • Paso 4 - Agregar reglas de notificación para el espacio de nombres de ACS en AD FS 2.0

Paso 1 - Agregar AD FS 2.0 como proveedor de identidades en el portal de administración de ACS

Este paso agregar AD FS 2.0 como proveedor de identidades en el portal de administración de ACS.

Para agregar AD FS 2.0 como proveedor de identidades en el espacio de nombres de ACS

  1. En la página principal del portal de administración de ACS, haga clic en Proveedores de identidades.

  2. Haga clic en Agregar proveedor de identidades.

  3. Junto a Servicios de federación de Microsoft Active Directory 2.0, haga clic en Agregar.

  4. En el campo Nombre para mostrar, escriba un nombre para mostrar para este proveedor de identidades. Tenga en cuenta que este nombre aparecerá en el portal de administración y de manera predeterminada en las páginas de inicio de sesión para sus aplicaciones.

  5. En el campo Metadatos de WS-Federation, escriba la dirección URL para el documento de metadatos para su instancia de AD FS 2.0 o use la opción Archivo para cargar una copia local del documento de metadatos. Al usar una dirección URL, la ruta de acceso a la dirección URL para el documento de metadatos se puede encontrar en la sección Service\Endpoints de la consola de administración de AD FS 2.0. Los dos siguientes pasos se encargan de las opciones de página de inicio de sesión para sus aplicaciones de usuario de confianza; son opcionales y se pueden omitir.

  6. Si desea editar el texto que aparece para este proveedor de identidades en las páginas de inicio de sesión para sus aplicaciones, escriba el texto que desee en el campo Texto de vínculo de inicio de sesión.

  7. Si desea visualizar una imagen para este proveedor de identidades en las páginas de inicio de sesión para sus aplicaciones, escriba una dirección URL en el campo Dirección URL de imagen. Preferiblemente, este archivo de imagen se debe hospedar en un sitio de confianza (usando HTTPS, si es posible, para evitar las advertencias de seguridad del explorador), y debe tener el permiso del partner de AD FS 2.0 para visualizar esta imagen. Vea la ayuda sobre Páginas de inicio de sesión y detección del dominio kerberos principal para obtener instrucciones adicionales sobre la configuración de la página de inicio de sesión.

  8. Si desea solicitar a los usuarios que inicien sesión con su dirección de correo electrónico en lugar de hacer clic en un vínculo, especifique los sufijos de dominio de correo electrónico con los que desea asociar a este proveedor de identidades en el campo Nombres de dominio de correo electrónico (opcional). Por ejemplo, si el proveedor de identidades hospeda cuentas de usuario cuyas direcciones de correo electrónico terminan por @contoso.com, escriba contoso.com. Use el punto y coma para separar la lista de sufijos (por ejemplo, contoso.com; fabrikam.com). Vea la ayuda sobre Páginas de inicio de sesión y detección del dominio kerberos principal para obtener instrucciones adicionales sobre la configuración de la página de inicio de sesión.

  9. En el campo Aplicaciones de usuario de confianza, seleccione las aplicaciones de usuario de confianza existentes que desea asociar con este proveedor de identidades. Esto hace que el proveedor de identidades aparezca en la página de inicio de sesión para dicha aplicación y habilita las notificaciones que se van a entregar del proveedor de identidades a la aplicación. Tenga en cuenta que las reglas se tienen que agregar todavía al grupo de reglas de la aplicación que define qué notificaciones se van a entregar.

  10. Haga clic en Guardar.

Paso 2 - Agregar un certificado a ACS para descifrar tokens recibidos de AD FS 2.0 en el portal de administración de ACS (opcional)

Este paso agrega y configura un certificado para descifrar tokens recibidos de AD FS 2.0. Este es un paso opcional que ayuda a fortalecer la seguridad. De manera específica, ayuda a proteger el contenido del token de su visualización y alteración.

Para agregar un certificado al espacio de nombres de ACS para descifrar tokens recibidos de AD FS 2.0 (opcional)

  1. Desplácese a http://portal.windows.net (http://go.microsoft.com/fwlink/?LinkID=129428).

  2. Si no se le autenticó usando Windows Live ID, se le pedirá que lo haga.

  3. Tras autenticarse con su id. de Windows Live ID, se le redirigirá a la página Mis proyectos del portal de Windows Azure AppFabric.

  4. Haga clic en el nombre del proyecto que desee en la página Mi proyecto.

  5. En la página Proyecto:<<su nombre de proyecto>>, haga clic en el vínculo Control de acceso que se encuentra junto al espacio de nombres que desee.

  6. En la página Configuración del control de acceso: <<su espacio de nombres>>, haga clic en el vínculo Administrar control de acceso.

  7. En la página principal del portal de administración de ACS, haga clic en Certificados y claves.

  8. Haga clic en Agregar certificado de descifrado de tokens.

  9. En el campo Nombre, escriba un nombre para mostrar para el certificado.

  10. En el campo Certificado, busque el certificado X.509 con una clave privada (archivo .pfx) para usarlo con este espacio de nombres de ACS y, a continuación, escriba la contraseña para el archivo .pfx en el campo Contraseña. Si no dispone de un certificado, siga las instrucciones que aparecen en pantalla para generar uno o vea la ayuda sobre Certificados y claves para obtener instrucciones adicionales sobre la obtención de un certificado.

  11. Haga clic en Guardar.

Paso 3 - Agregar su espacio de nombres de ACS como usuario de confianza en AD FS 2.0

Este paso le ayuda a configurar ACS como usuario de confianza en AD FS 2.0.

Para agregar el espacio de nombres de ACS como usuario de confianza en AD FS 2.0

  1. En la consola de administración de AD FS 2.0, haga clic en AD FS 2.0 y, a continuación, en el panel Acciones, haga clic en Agregar confianza de usuario de confianza para iniciar el Asistente para confianza de usuario de confianza.

  2. En la página de bienvenida, haga clic en Iniciar.

  3. En la página Seleccionar origen de datos, haga clic en Importar datos acerca del usuario de confianza publicados en línea o en una red local, escriba el nombre de su espacio de nombres de ACS y, a continuación, haga clic en Siguiente.

  4. En la página Especificar nombre para mostrar, escriba un nombre para mostrar y, a continuación, haga clic en Siguiente.

  5. En la página Elegir reglas de autorización de emisión, haga clic en Permitir a todos los usuarios obtener acceso a este usuario de confianza y, a continuación, haga clic en Siguiente.

  6. En la página Listo para agregar confianza, revise la configuración de confianza del usuario de confianza y, a continuación, haga clic en Siguiente para guardar la configuración.

  7. En la página Finalizar, haga clic en Cerrar para salir del asistente. Esto también abrirá la página de propiedades Editar reglas de notificación para aplicación de ejemplo WIF. Deje este cuadro de diálogo abierto y, a continuación, vaya al siguiente procedimiento..

Paso 4 - Agregar reglas de notificación para el espacio de nombres de ACS en AD FS 2.0

Este paso configura las reglas de notificaciones en AD FS 2.0. De esta manera, se asegura de que las notificaciones que desea se pasan de AD FS 2.0 a ACS.

Para agregar reglas de notificación para el espacio de nombres de ACS en AD FS 2.0

  1. En la página de propiedades Editar reglas de notificación, en la ficha Reglas de transformación de emisión, haga clic en Agregar regla para iniciar el Asistente para agregar reglas de notificación de transformación.

  2. En la página Seleccionar plantilla de regla, debajo de Plantilla de regla de notificación, haga clic en Pasar por o filtrar una notificación entrante en el menú y, a continuación, haga clic en Siguiente.

  3. En la página Configurar regla, en Nombre de regla de notificación, escriba un nombre para mostrar para la regla.

  4. En la lista desplegable Tipo de notificación entrante, seleccione el tipo de notificación de identidad para pasar por ella para la aplicación y, a continuación, haga clic en Finalizar.

  5. Haga clic en Aceptar para cerrar la página de propiedades y guardar los cambios en la confianza del usuario de confianza.

  6. Repita los pasos del 1 al 5 para cada notificación que desee emitir desde AD FS 2.0 a su espacio de nombres de ACS.

  7. Haga clic en OK.

Mostrar:
© 2014 Microsoft