Exportar (0) Imprimir
Expandir Tudo

Como: Configurar o AD FS 2.0 como um provedor de identidade

Publicado: abril de 2011

Atualizado: maio de 2011

Aplica-se a: Windows Azure

Aplica-se a

  • Microsoft® Windows Azure™ AppFabric Access Control Service (ACS)

  • Serviços de Federação 2.0 do Active Directory®

Resumo

Este Como descreve como configurar o Serviços de Federação do Active Directory (AD FS) 2.0 como um provedor de identidade. Configurando o AD FS 2.0 como provedor de identidade para seu aplicativo da web ASP.NET, seus usuários poderão autenticar esse aplicativo fazendo o logon em sua conta corporativa gerenciada peloActive Directory.

Conteúdo

  • Objetivos

  • Visão Geral

  • Resumo das etapas

  • Etapa 1 – Adicione o AD FS 2.0 como provedor de identidade no Portal de gerenciamento ACS

  • Etapa 2 - Adicione um certificado ao ACS para decifrar tokens recebidos do AD FS 2.0 no Portal de gerenciamento ACS (opcional)

  • Etapa 3 – Adicione seu namespace ACS como um cliente dependente no AD FS 2.0

  • Etapa 4 - Adicione regras de declaração para o namespace ACS no AD FS 2.0

Objetivos

  • Configurando a confiança entre ACS e AD FS 2.0.

  • Aumentando a segurança da troca de tokens e metadados

Visão Geral

Configurar o AD FS 2.0 como provedor de identidade permite reutilizar as contas existentes gerenciadas pelo Active Directory corporativo para a autenticação. Isso elimina a necessidade de criar mecanismos complexos de sincronização da conta ou desenvolver um código personalizado que realize a tarefa de aceitar as credenciais do usuário final, validá-las contra o depósito de credenciais e gerenciar as identidades. A integração entre ACS e AD FS 2.0 é realizada apenas pela configuração; o código personalizado não é necessário.

Resumo das etapas

  • Etapa 1 – Adicione o AD FS 2.0 como provedor de identidade no Portal de gerenciamento ACS

  • Etapa 2 - Adicione um certificado ao ACS para decifrar tokens recebidos do AD FS 2.0 no Portal de gerenciamento ACS (opcional)

  • Etapa 3 – Adicione seu namespace ACS como um cliente dependente no AD FS 2.0

  • Etapa 4 - Adicione regras de declaração para o namespace ACS no AD FS 2.0

Etapa 1 – Adicione o AD FS 2.0 como provedor de identidade no Portal de gerenciamento ACS

Esta etapa adiciona o AD FS 2.0 como provedor de identidade no Portal de gerenciamento ACS.

Para adicionar o AD FS 2.0 como provedor de identidade no namespace ACS

  1. Na página principal do Portal de gerenciamento ACS, clique em Provedores de identidade.

  2. Clique em Adicionar provedor de identidade.

  3. Ao lado de Serviço de federação 2.0 do Microsoft Active Directory, clique em Adicionar.

  4. No campo Exibir nome, insira um nome para exibição para esse provedor de identidade. Observe que esse nome aparecerá no Portal de gerenciamento e por padrão nas páginas de logon de seus aplicativos.

  5. No campo Metadados do Web Services Federation, insira o URL do documento de metadados para sua instância do AD FS 2.0, ou use a opção Arquivo para carregar uma cópia local dos documentos de metadados. Ao usar a URL, o caminho da URL para o documento de metadados pode ser encontrado na seção Serviço/pontos de extremidade do Console de gerenciamento AD FS 2.0. As duas etapas a seguir tratam das opções da página de logon para os aplicativos do cliente dependente; elas são opcionais e podem ser ignoradas.

  6. Se você deseja editar o texto exibido para esse provedor de identidade nas páginas de logon para seus aplicativos, insira o texto desejado no campo Texto do link de logon.

  7. Se você deseja exibir uma imagem para esse provedor de identidade nas páginas de logon para seus aplicativos, insira um URL para um arquivo de imagem no campo URL da imagem. Idealmente, esse arquivo de imagem deveria estar hospedado em um site confiável (usando HTTPS, se possível, para impedir os avisos de segurança do navegador), e você deveria ter a permissão de seu parceiro AD FS 2.0 para exibir essa imagem. Consulte a ajuda sobre Páginas de logon e Home Realm Discovery para obter orientação adicional sobre as configurações dessas páginas.

  8. ISe deseja solicitar que os usuários façam o logon usando o seu endereço de email em vez de clicar em um link, insira os sufixos do domínio de email que deseja associar a esse provedor de identidade, no campo o Nome(s) de domínio de email. Por exemplo, se o provedor de identidade hospeda contas de usuário cujos endereços de email terminam com @contoso.com, digite contoso.com. Use o ponto-e-vírgula para separar a lista de sufixos (por exemplo, contoso.com; fabrikam.com). Consulte a ajuda sobre Páginas de logon e Home Realm Discovery para obter orientação adicional sobre as configurações dessas páginas.

  9. No campo Aplicativos do cliente dependente, selecione qualquer aplicativo do cliente dependente existente que você deseja associar a esse provedor de identidade. Isso faz com que o provedor de identidade apareça na página de logon para este aplicativo e permite que as declarações sejam entregues do provedor de identidade para o aplicativo. Observe que as regras ainda precisam ser adicionadas ao grupo de regras do aplicativo que define quais declarações serão entregues.

  10. Clique em Salvar.

Etapa 2 - Adicione um certificado ao ACS para decifrar tokens recebidos do AD FS 2.0 no Portal de gerenciamento ACS (opcional)

Essa etapa adiciona e configura um certificado por decifrar os tokens que são recebidos do AD FS 2.0. Essa é uma etapa opcional que ajuda a fortalecer a segurança. Especificamente, ela ajuda a proteger o conteúdo do token, para que não seja exibido e nem violado.

Para adicionar um certificado ao namespace de ACS por descriptografar tokens recebidos do AD FS 2.0 (opcional)

  1. Navegue parahttp://portal.windows.net (http://go.microsoft.com/fwlink/?LinkID=129428).

  2. Se você não foi autenticado usando o Windows Live ID, será solicitado que o faça.

  3. Depois que você for autenticado com o seu Windows Live ID, será redirecionado para a página Meus projetos no portal AppFabric do Windows Azure.

  4. Clique no nome do projeto desejado na página Meu projeto.

  5. Na página Projeto:<< nome do seu projeto>>, clique no link Controle de acesso ao lado do namespace desejado.

  6. Na página Configurações do controle de acesso: <<Seu namespace>>, clique no link Gerenciar controle de acesso.

  7. Na página principal do Portal de gerenciamento ACS, clique em Certificados e chaves.

  8. Clique em Adicionar certificado de descriptografia do token.

  9. No campo Nome, insira um nome para exibição para o certificado.

  10. No campo Certificado, procure o certificado X.509 com uma chave privada (arquivo .pfx) para usar para esse namespace ACS e depois insira a senha do arquivo .pfx no campo Senha. Se você não tem um certificado, siga as instruções na tela para gerá-lo ou consulte a ajuda sobre Certificados e chaves para obter uma orientação adicional sobre a obtenção de um certificado.

  11. Clique em Salvar.

Etapa 3 – Adicione seu namespace ACS como um cliente dependente no AD FS 2.0

Esta etapa ajuda a configurar o ACS como cliente dependente no AD FS 2.0.

Para adicionar o namespace ACS como um cliente dependente no AD FS 2.0

  1. No console de Gerenciamento AD FS 2.0, clique em AD FS 2.0 e depois, no painel Ações, clique em Adicionar confiança do cliente dependente para iniciar o Assistente Adicionar confiança do cliente dependente.

  2. Na página Bem-vindo, clique em Iniciar.

  3. Na página Selecionar fonte de dados, clique em Importar dados sobre o cliente dependente publicado online ou em uma rede local, digite o nome do seu namespace ACS e clique em Avançar.

  4. Na página Especificar nome da exibição, insira um nome para exibição e depois clique em Avançar.

  5. Na página Escolher regras de autorização da emissão, clique em Permitir que todos os usuários acessem este cliente dependente e depois clique em Avançar.

  6. Na página Pronto para adicionar confiança, revise a configurações de confiança do cliente dependente e depois clique em Avançar para salvar.

  7. Na página Concluir, clique em Fechar para sair do assistente. Isso também abre a página de propriedades Editar regras de declaração para o aplicativo de amostra WIF. Deixe essa caixa de diálogo aberta e siga para o próximo procedimento.

Etapa 4 - Adicione regras de declaração para o namespace ACS no AD FS 2.0

Essa etapa configura regras de declarações no AD FS 2.0. Desse modo, você garante que as declarações desejadas sejam transferidas do AD FS 2.0 para o ACS.

Para adicionar regras de declaração para o namespace ACS no AD FS 2.0

  1. Na página de propriedades Editar regras de declaração, na guia Regras de transformação da emissão, clique em Adicionar regra para iniciar o assistente Adicionar regra de declaração de transformação.

  2. Na página Selecionar modelo de regra, em Modelo de regra de declaração, clique em Passar ou filtrar uma declaração de entrada no menu e depois clique em Avançar.

  3. Na página Configurar regra, em Nome da regra de declaração, digite um nome para exibição para a regra.

  4. Na lista suspensa Tipo de declaração de entrada, selecione o tipo que deseja passar para o aplicativo e clique em Concluir.

  5. Clique em OK para fechar a página de propriedade e salvar as alterações na confiança do cliente dependente.

  6. Repita as etapas 1-5 para cada declaração que você deseja emitir do AD FS 2.0 para o seu namespace ACS.

  7. Clique em OK.

Mostrar:
© 2014 Microsoft