Exporter (0) Imprimer
Développer tout
Développer Réduire

Procédure : création de ma première application ASP.NET prenant en charge les revendications avec ACS

Publication: avril 2011

Mis à jour: juin 2014

S'applique à: Azure

ImportantImportant
À compter du 19 mai 2014, les nouveaux espaces de noms ACS ne peuvent pas utiliser Google comme fournisseur d'identité. Les espaces de noms ACS qui utilisaient Google et qui ont été enregistrés avant cette date ne sont pas affectés. Pour plus d'informations, consultez Notes de publication. Ce didacticiel peut être suivi avec un autre fournisseur d'identité, tel que Facebook.

  • Microsoft Azure Active Directory Access Control (également appelé Access Control Service ou ACS)

Cette rubrique décrit le scénario d'intégration d'ACS à une application de partie de confiance ASP.NET. En intégrant votre application web à ACS, vous factorisez les fonctionnalités d'authentification et d'autorisation de votre code. Autrement dit, ACS fournit le mécanisme d'authentification et d'autorisation des utilisateurs pour votre application web. Pour plus d'informations, consultez Web Applications and ACS.

Dans ce scénario pratique, ACS authentifie les utilisateurs dotés d'une identité Google dans une application de partie de confiance ASP.NET de test.

Pour obtenir des informations détaillées sur la création d'un espace de noms Access Control, consultez Procédure : créer un espace de noms Access Control.

Le portail de gestion ACS vous permet de configurer votre espace de noms Access Control en effectuant les opérations suivantes : ajout de fournisseurs d'identité, configuration d'applications de partie de confiance, définition de règles et de groupes de règles, et création d'informations d'identification approuvées par votre application de partie de confiance.

  1. Accédez au Portail de gestion Microsoft Azure (https://manage.WindowsAzure.com), ouvrez une session, puis cliquez sur Active Directory. (Conseil de dépannage : « Active Directory » est manquant ou non disponible)

  2. Pour gérer un espace de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer. (Ou cliquez sur Espaces de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer.)

Cette section décrit comment ajouter des fournisseurs d'identité à utiliser avec votre application de partie de confiance en vue de l'authentification. Pour plus d'informations sur les fournisseurs d'identité, consultez Fournisseurs d'identité.

  1. Dans le portail de gestion ACS, cliquez sur Fournisseurs d'identité dans l'arborescence située sur la gauche, ou cliquez sur le lien Fournisseurs d'identité dans la section Mise en route.

  2. Dans la page Fournisseurs d'identité, cliquez sur Ajouter, sélectionnez Google en tant que fournisseur d'identité, puis cliquez sur Suivant.

  3. La page Ajouter le fournisseur d'identité Google vous invite à entrer le texte du lien de connexion (la valeur par défaut est Google) et une URL d'image. Cette URL pointe vers un fichier d'image pouvant être utilisée comme lien de connexion pour ce fournisseur d'identité. La modification de ces champs est facultative. Dans cet exercice, ne les modifiez pas, cliquez sur Enregistrer.

Cette section décrit comment ajouter et configurer une application de partie de confiance. Pour plus d'informations sur les applications de partie de confiance, consultez Applications par partie de confiance.

  1. Dans le portail de gestion ACS, cliquez sur Applications de partie de confiance dans l'arborescence située sur la gauche, ou cliquez sur le lien Applications de partie de confiance situé sous la section Mise en route.

  2. Dans la page Applications de partie de confiance, cliquez sur Ajouter.

  3. Dans la page Ajouter une application de partie de confiance, procédez comme suit :

    • Dans la zone Nom, entrez le nom de l'application de partie de confiance. Dans cet exercice, entrez TestApp

    • Dans la zone Mode, sélectionnez Entrer les paramètres manuellement.

    • Dans la zone Domaine, entrez l'URI auquel s'applique le jeton de sécurité émis par ACS. Dans cet exercice, entrez http://localhost:7777/.

    • Dans la zone URL de renvoi, entrez l'URL à laquelle ACS renvoie le jeton de sécurité. Dans cet exercice, entrez http://localhost:7777/.

    • Dans la zone URL d'erreur (facultatif), entrez l'URL pouvant être publiée par ACS en cas d'erreur de connexion. Dans cet exercice, laissez ce champ vide.

    • Dans la zone Format des jetons, sélectionnez le format des jetons utilisé par ACS lors de l'émission de jetons de sécurité pour cette application de partie de confiance. Dans cet exercice, sélectionnez SAML 2.0. Pour plus d'informations sur les jetons et les formats de jetons, consultez Formats de jeton pris en charge dans ACS et la section « Format des jetons » de la rubriqueApplications par partie de confiance.

    • Dans la zone Stratégie de chiffrement des jetons, sélectionnez une stratégie de chiffrement pour les jetons émis par ACS pour cette application de partie de confiance. Dans cet exercice, acceptez la valeur par défaut Aucune. Pour plus d'informations sur la stratégie de chiffrement des jetons, consultez la section « Stratégie de chiffrement des jetons » de la rubrique Applications par partie de confiance.

    • Dans la zone Durée de vie du jeton (en secondes), spécifiez la durée de validité d'un jeton de sécurité émis par ACS. Dans cet exercice, acceptez la valeur par défaut 600. Pour plus d'informations, consultez la section « Durée de vie des jetons » de la rubrique Applications par partie de confiance.

    • Dans la zone Fournisseurs d'identité, sélectionnez les fournisseurs d'identité à utiliser avec cette application de partie de confiance. Dans cet exercice, acceptez les options sélectionnées par défaut (Google et Windows Live ID).

    • Dans la zone Groupes de règles, sélectionnez les groupes de règles utilisés par cette application de partie de confiance lors du traitement des revendications. Dans cet exercice, acceptez l'option sélectionnée par défaut Créer un groupe de règles. Pour plus d'informations sur les groupes de règles, consultez Règles et groupes de règles.

    • Dans la section Paramètres de signature des jetons, indiquez si les jetons SAML doivent être signés avec le certificat d'espace de noms Access Control ou avec un certificat personnalisé propre à cette application. Dans cet exercice, acceptez la valeur par défaut Utiliser le certificat de l'espace de noms de service (standard). Pour plus d'informations sur la signature des jetons, consultez la section « Signature des jetons » de la rubrique Applications par partie de confiance.

  4. Cliquez sur Enregistrer.

Cette section décrit comment définir des règles déterminant la façon dont les revendications sont transmises entre les fournisseurs d'identité à votre application de partie de confiance. Pour plus d'informations sur les règles et les groupes de règles, consultez Règles et groupes de règles.

  1. Dans la page d'accueil du portail de gestion ACS, cliquez sur Groupes de règles dans l'arborescence située sur la gauche, ou cliquez sur le lien Groupes de règles dans la section Mise en route.

  2. Dans la page Groupes de règles, cliquez sur Groupe de règles par défaut pour TestApp (car vous avez nommé votre application de partie de confiance TestApp).

  3. Dans la page Modifier le groupe de règles, cliquez sur Générer.

  4. Dans la page Générer des règles : groupe de règles par défaut pour TestApp, acceptez les fournisseurs d'identité sélectionnés par défaut (dans cet exercice, Google et Windows Live ID), puis cliquez sur le bouton Générer.

  5. Dans la page Modifier le groupe de règles, cliquez sur Enregistrer.

Toutes les informations et le code nécessaires pour modifier votre application de partie de confiance afin qu'elle fonctionne avec ACS sont disponibles dans la page Intégration d'application du portail de gestion ACS.

  • Dans la page d'accueil du portail de gestion ACS, cliquez sur Intégration des applications dans l'arborescence située sur la gauche, ou cliquez sur le lien Intégration des applications dans la section Mise en route.

    Les URI ACS affichés dans la page Intégration des applications sont propres à votre espace de noms Access Control.

    Dans cet exercice, nous vous recommandons de laisser cette page ouverte afin de faciliter la réalisation des étapes restantes.

Cette section décrit comment créer une application de partie de confiance ASP.NET que vous pouvez par la suite intégrer à ACS.

  1. Pour exécuter Visual Studio 2010, cliquez sur Démarrer, puis sur Exécuter. Entrez le texte
    devenv.exe, puis appuyez sur Entrée.

  2. Dans Visual Studio, cliquez sur Fichier, puis sur Nouveau projet.

  3. Dans la fenêtre Nouveau projet, sélectionnez le modèle Visual Basic ou Visual C#, puis sélectionnez Application web ASP.NET MVC 2.

  4. Dans la zone Nom, entrez le texte suivant, puis cliquez sur OK :
    TestApp

  5. Dans la zone Créer un projet de test unitaire, sélectionnez Non, ne pas créer de projet de test unitaire, puis cliquez sur OK.

  6. Dans l'Explorateur de solutions, cliquez avec le bouton droit sur TestApp et sélectionnez Propriétés.

  7. Dans la fenêtre Propriétés de TestApp, sous l'onglet Web, sous Utiliser le serveur Visual Studio Development Server, cliquez sur Port spécifique, puis remplacez la valeur par 7777.

  8. Pour exécuter et déboguer l'application que vous venez de créer, appuyez sur F5. Si aucune erreur n'est détectée, votre navigateur affiche un projet MVC vide.

    Laissez Visual Studio 2010 ouvert pour réaliser l'étape suivante.

Cette section décrit comment intégrer ACS à l'application de partie de confiance ASP.NET créée à l'étape précédente.

  1. Dans Visual Studio 2010, dans l'Explorateur de solutions associé à TestApp, cliquez avec le bouton droit sur TestApp, puis sélectionnez Ajouter une référence au service d'émission de jeton de sécurité.

  2. Dans l'Assistant Utilitaire de fédération, procédez comme suit :

    1. Dans la page Bienvenue dans l'Assistant Utilitaire de fédération, dans URI d'application, entrez l'URI de l'application, puis cliquez sur Suivant. Dans cette démonstration, l'URI de l'application est http://localhost:7777/.

      noteRemarque
      La barre oblique de fin est importante, car elle correspond à la valeur entrée dans le portail de gestion ACS pour votre application de partie de confiance. Pour plus d'informations, consultez Étape 4 : ajout d'une application de partie de confiance.

    2. Un message d'avertissement s'affiche : ID 1007 : l'application n'est pas hébergée sur une connexion https sécurisée. Voulez-vous continuer ? Dans cette démonstration, cliquez sur Oui.

      noteRemarque
      Dans un environnement de production, cet avertissement sur l'utilisation d'une connexion SSL est valide et ne doit pas être ignoré.

    3. Dans la page Service d'émission de jeton de sécurité, sélectionnez Utiliser un service d'émission de jeton de sécurité existant, entrez l'URL donnant accès aux métadonnées WS-Federation publiées par ACS, puis cliquez sur Suivant.

      noteRemarque
      La valeur de l'URL des métadonnées WS-Federation est disponible dans la page Intégration des applications du portail de gestion ACS. Pour plus d'informations, consultez Étape 6 : vérification des informations sur l'intégration des applications.

    4. Dans la page Erreur de validation de la chaîne des certificat de signature du service d'émission de jeton de sécurité, cliquez sur Suivant.

    5. Dans la page Chiffrement des jetons de sécurité, cliquez sur Suivant.

    6. Dans la page Revendications proposées, cliquez sur Suivant.

    7. Sur la page Résumé, cliquez sur Terminer.

    Au terme de son exécution, l'Assistant Utilitaire de fédération ajoute une référence à l'assembly Microsoft.IdentityModel.dll et renseigne des valeurs dans votre fichier Web.config qui configure Windows Identity Foundation dans votre application web ASP.NET MVC 2 (TestApp).

  3. Ouvrez le fichier Web.config et recherchez l'élément system.web principal. Il peut se présenter comme ceci :

    <system.web>
        <authorization>
          <deny users="?" />
        </authorization>
    

    Modifiez le fichier Web.config afin d'activer la validation des demandes en ajoutant le code suivant sous l'élément system.web principal :

    
        <!--set this value-->
        <httpRuntime requestValidationMode="2.0"/>
     
    

    Une fois la modification effectuée, le fragment de code ci-dessus doit se présenter ainsi :

     
       <system.web>
        <!--set this value-->
        <httpRuntime requestValidationMode="2.0"/>
        <authorization>
        <deny users="?" />
        </authorization>
    

Cette section décrit comment tester l'intégration entre votre application de partie de confiance et ACS.

  1. Avec Visual Studio 2010 ouvert, appuyez sur F5 pour commencer le débogage de votre application de partie de confiance ASP.NET.

    Si aucune erreur n'est détectée, plutôt que d'ouvrir l'application MVC par défaut, votre navigateur renvoie vers une page Découverte du domaine d'accueil hébergée par ACS, vous demandant de choisir un fournisseur d'identité.

  2. Sélectionnez Google.

    Le navigateur charge la page de connexion de Google.

  3. Entrez vos informations d'identification Google de test et acceptez l'interface utilisateur de consentement du site web de Google.

    Le navigateur publie sur ACS. ACS émet un jeton et le publie sur votre site MVC.

Voir aussi

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft