Экспорт (0) Печать
Развернуть все

Инструкция по настройке AD FS 2.0 в качестве поставщика удостоверений

Опубликовано: Апрель 2011 г.

Обновлено: Май 2011 г.

Назначение: Windows Azure

Применяется к

  • Службе управления доступом Microsoft® Windows Azure™ AppFabric (ACS)

  • Службам федерации Active Directory® 2.0

Сводка

В этой инструкции описано, как настроить Службы федерации Active Directory (AD FS) 2.0 в качестве поставщика удостоверений. Настройка Службы федерации Active Directory 2.0 в качестве поставщика удостоверений для веб-приложения ASP.NET даст пользователям возможность проходить проверку подлинности в веб-приложении, используя свою корпоративную учетную запись из Active Directory.

Содержимое

  • Задачи

  • Общие сведения

  • Этапы

  • Этап 1. Добавление AD FS 2.0 в качестве поставщика удостоверений на портале управления ACS.

  • Этап 2. Добавление в ACS сертификата для расшифровки маркеров, полученных от AD FS 2.0, на портале управления ACS (необязательно).

  • Этап 3. Добавление пространства имен ACS в качестве проверяющей стороны в AD FS 2.0.

  • Эта 4. Добавление правил утверждений для пространства имен ACS в AD FS 2.0.

Задачи

  • Настройка доверия между Служба управления доступом и Службы федерации Active Directory 2.0.

  • Защита обмена маркерами и метаданными.

Общие сведения

Настройка Службы федерации Active Directory 2.0 в качестве поставщика удостоверений позволяет использовать для проверки подлинности имеющиеся учетные записи, хранящиеся в службе каталогов Active Directory организации. Это устраняет необходимость в создании сложных механизмов синхронизации учетных записей и разработке дополнительного кода, отвечающего за прием учетных данных пользователей, их проверку в хранилище учетных данных и управление удостоверениями. Интеграция Служба управления доступом и Службы федерации Active Directory 2.0 достижима за счет конфигурации — дополнительный код не требуется.

Этапы

  • Этап 1. Добавление AD FS 2.0 в качестве поставщика удостоверений на портале управления ACS

  • Этап 2. Добавление в ACS сертификата для расшифровки маркеров, полученных от AD FS 2.0, на портале управления ACS (необязательно)

  • Этап 3. Добавление пространства имен ACS в качестве проверяющей стороны в AD FS 2.0

  • Эта 4. Добавление правил утверждений для пространства имен ACS в AD FS 2.0

Этап 1. Добавление AD FS 2.0 в качестве поставщика удостоверений на портале управления ACS

На этом этапе Службы федерации Active Directory 2.0 добавляется в качестве поставщика удостоверений на портале управления Служба управления доступом.

Добавление AD FS 2.0 в качестве поставщика удостоверений в пространстве имен ACS

  1. На главной странице портала управления Служба управления доступом щелкните ссылку Поставщики удостоверений.

  2. Выберите команду Добавить поставщик удостоверений.

  3. Рядом с пунктом Службы федерации Microsoft Active Directory 2.0 нажмите кнопку Добавить.

  4. В поле Отображаемое имя введите отображаемое имя поставщика удостоверений. Обратите внимание, что оно будет отображаться как на портале управления, так и (по умолчанию) на страницах для входа в приложениях.

  5. В поле Метаданные WS-Federation введите URL-адрес документа метаданных для экземпляра Службы федерации Active Directory 2.0, либо используйте вариант Файл, чтобы отправить локальную копию документа метаданных. Если используется URL-адрес, то URL-путь к документу метаданных можно найти в разделе Служба\Конечные точки консоли управления Службы федерации Active Directory 2.0. На следующих двух этапах задаются настройки страниц входа приложений проверяющей стороны. Они необязательны, и их можно пропустить.

  6. Чтобы изменить текст, отображаемый для этого поставщика удостоверений на страницах входа в приложениях, укажите нужный текст в поле Текст ссылки для входа.

  7. Чтобы задать изображение, отображаемое для этого поставщика удостоверений на страницах входа в приложениях, укажите URL-адрес файла с изображением в поле URL-адрес изображения. В идеале это изображение должно располагаться на надежном сайте (при возможности использующем HTTPS, чтобы браузер не отображал предупреждения системы безопасности). Также партнер Службы федерации Active Directory 2.0 должен дать разрешение на отображение этого рисунка. Дополнительные указания по параметрам страниц входа см. в справке по Страницы входа и обнаружение домашней области.

  8. Чтобы предложить пользователям ввести адрес электронной почты, а не щелкать ссылку, введите почтовые суффиксы, которые следует связать с этим поставщиком удостоверений, в поле Почтовые домены. Например, если поставщик удостоверений хранит учетные записи пользователей, адреса которых заканчиваются на @contoso.com, введите "contoso.com". Используйте точку с запятой для разделения списка (например, "contoso.com; fabrikam.com"). Дополнительные указания по параметрам страниц входа см. в справке по Страницы входа и обнаружение домашней области.

  9. В поле Приложения проверяющей стороны выберите все имеющиеся приложения проверяющей стороны, которые следует связать с этим поставщиком удостоверений. При этом поставщик удостоверений будет отображаться на страницах входа выбранных приложений, а утверждения будут доставляться от поставщика приложению. Обратите внимание, что в группу правил приложения все же потребуется добавить правила, определяющие, какие утверждения следует передавать.

  10. Нажмите кнопку Сохранить.

Этап 2. Добавление в ACS сертификата для расшифровки маркеров, полученных от AD FS 2.0, на портале управления ACS (необязательно)

На этом этапе добавляется и настраивается сертификат для расшифровки маркеров, получаемых от Службы федерации Active Directory 2.0. Это необязательный этап, помогающий повысить уровень безопасности. В частности, он помогает защитить содержимое маркера от несанкционированного просмотра и изменения.

Добавление в пространство имен ACS сертификата для расшифровки маркеров, полученных от AD FS 2.0 (необязательно)

  1. Откройте сайт http://portal.windows.net (http://go.microsoft.com/fwlink/?LinkID=129428).

  2. Если вы не входили в систему, используя идентификатор Windows Live ID, вам будет предложено это сделать.

  3. После входа с указанием Windows Live ID вы попадете на страницу Мои проекты на портале Windows Azure AppFabric.

  4. Выберите нужный проект на странице Мои проекты.

  5. На странице Проект: <<имя проекта>> щелкните ссылку Управление доступом рядом с нужным пространством имен.

  6. На странице Параметры управления доступом: <<пространство имен>> щелкните ссылку Настройка управления доступом.

  7. На главной странице портала управления ACS щелкните ссылку Сертификаты и ключи.

  8. Выберите команду Добавить сертификат расшифровки маркеров.

  9. В поле Имя введите отображаемое имя сертификата.

  10. В поле Сертификат укажите сертификат X.509 с закрытым ключом (PFX-файлом), используемый для пространства имен Служба управления доступом, а затем введите пароль для PFX-файла в поле Пароль. Если у вас нет сертификата, следуйте экранным указаниям, чтобы его создать, или обратитесь к справке в разделе Сертификаты и ключи, чтобы узнать, как получить его.

  11. Нажмите кнопку Сохранить.

Этап 3. Добавление пространства имен ACS в качестве проверяющей стороны в AD FS 2.0

На этом этапе Служба управления доступом настраивается в качестве проверяющей стороны в Службы федерации Active Directory 2.0.

Добавление пространства имен ACS в качестве проверяющей стороны в AD FS 2.0

  1. В консоли управления Службы федерации Active Directory 2.0 выберите пункт AD FS 2.0, а затем в области Действия выберите команду Добавить доверие проверяющей стороны, чтобы запустить мастер добавления отношения доверия проверяющей стороны.

  2. На начальной странице нажмите кнопку Пуск.

  3. На странице Выбор источника данных выберите Важные данные о проверяющей стороне, опубликованные в Интернете или локальной сети, введите имя пространства имен Служба управления доступом и нажмите кнопку Далее.

  4. На странице Указание отображаемого имени введите отображаемое имя и нажмите кнопку Далее.

  5. На странице Выбор правил авторизации выдачи выберите пункт Разрешить всем пользователям доступ к этой проверяющей стороне, а затем нажмите кнопку Далее.

  6. На странице Все готово к добавлению доверия проверьте параметры и нажмите кнопку Далее, чтобы сохранить конфигурацию.

  7. На странице Готово нажмите кнопку Закрыть, чтобы завершить работу мастера. После этого откроется страница свойств Изменение правил утверждений для WIF Sample App. Оставьте это диалоговое окно открытым и перейдите к следующему этапу.

Эта 4. Добавление правил утверждений для пространства имен ACS в AD FS 2.0

На этом этапе настраиваются правила утверждений в Службы федерации Active Directory 2.0. Это позволяет обеспечить передачу нужных утверждений из Службы федерации Active Directory 2.0 в Служба управления доступом.

Добавление правил утверждений для пространства имен ACS в AD FS 2.0

  1. На странице свойств Изменение правил утверждений на вкладке Правила преобразования выдачи нажмите кнопку Добавить правило, чтобы запустить мастер добавления правил преобразования утверждений.

  2. На странице Выбор шаблона правила в разделе Шаблон правила утверждения выберите в меню пункт Передача или фильтрация входящего утверждения и нажмите кнопку Далее.

  3. На странице Настройка правила в поле Имя правила утверждения введите отображаемое имя правила.

  4. В раскрывающемся списке Тип входящего утверждения выберите тип утверждения удостоверения, передаваемого в приложение, и нажмите кнопку Готово.

  5. Нажмите кнопку ОК, чтобы закрыть окно свойств и сохранить изменения в доверии проверяющей стороны.

  6. Повторите шаги 1-5 для каждого утверждения, которое следует передавать из Службы федерации Active Directory 2.0 в пространство имен Служба управления доступом.

  7. Нажмите кнопку ОК.

Корпорация Майкрософт проводит интернет-опрос, чтобы выяснить ваше мнение о веб-сайте MSDN. Если вы желаете принять участие в этом интернет-опросе, он будет отображен при закрытии веб-сайта MSDN.

Вы хотите принять участие?
Показ:
© 2014 Microsoft