Экспорт (0) Печать
Развернуть все
Развернуть Свернуть

Инструкции по настройке Google в качестве поставщика удостоверений

Опубликовано: Апрель 2011 г.

Обновлено: Июнь 2014 г.

Назначение: Azure

ImportantВажно!
С 19 мая 2014 г. новые пространства имен ACS не смогут использовать Google как поставщик удостоверений. Пространства имен ACS, использовавшие Google и зарегистрированные до этой даты, не затронуты данным изменением. Дополнительные сведения см. в Заметки о выпуске.

  • Microsoft Azure Active Directory Access Control (также называется Access Control Service или ACS)

В этом практическом руководстве описано, как настроить Google в качестве поставщика удостоверений для Служба управления доступом. Настройка Google в качестве поставщика удостоверений для веб-приложения ASP.NET даст вашим пользователям возможность проходить проверку подлинности в приложении, входя по своей учетной записи Google.

  • Цели

  • Обзор

  • Сводка действий

  • Шаг 1. Создание пространства имен

  • Шаг 2. Настройка Google в качестве поставщика удостоверений

  • Шаг 3. Настройка отношения доверия с проверяющей стороной

  • Шаг 4. Настройка правил преобразования токенов

  • Шаг 5. Проверка конечных точек, предоставляемых пространством имен

  • Создать проект и пространство имен.

  • Настроить Google в качестве поставщика удостоверений.

  • Настроить отношения доверия и правила преобразования токенов.

  • Ознакомиться со справочником по конечным точкам, списком служб и конечными точками метаданных.

Настройка Google в качестве поставщика удостоверений устраняет необходимость в создании и обслуживании механизма проверки подлинности и управления удостоверениями. Это также упрощает пользовательский интерфейс благодаря наличию знакомых процедур проверки подлинности. Используя Служба управления доступом, можно легко создать конфигурацию, в которой ваше приложение будет готово использовать данную функциональность и предоставлять ее конечным пользователям. В данном руководстве описано, как этого добиться. На следующей диаграмме показан общий процесс настройки проверяющей стороны Служба управления доступом для использования.

Рабочий процесс ACS версии 2

Чтобы настроить Google как поставщик удостоверений для приложения, выполните следующие действия:

  • Шаг 1. Создание пространства имен

  • Шаг 2. Настройка Google в качестве поставщика удостоверений

  • Шаг 3. Настройка отношения доверия с проверяющей стороной

  • Шаг 4. Настройка правил преобразования токенов

  • Шаг 5. Проверка конечных точек, предоставляемых пространством имен

Это действие создает Пространство имен Access Control в проекте . Его можно пропустить, если вы хотите настроить Google как поставщик удостоверений для существующего пространства имен.

  1. Перейдите на http://go.microsoft.com/fwlink/p/?LinkID=275081 (https://manage.WindowsAzure.com), выполните вход и щелкните Active Directory. (Совет по устранению неполадок. "Active Directory" item is missing or not availablehttp://go.microsoft.com/fwlink/?LinkId=320739 (Элемент "Active Directory" отсутствует или недоступен))

  2. Чтобы создать пространство имен Access Control, щелкните Создать, Службы приложений, Управление доступом, а затем выберите Быстрое создание. (Или щелкните Пространства имен Access Control перед тем, как щелкнуть Создать.)

Здесь объясняется, как настроить Google в качестве поставщика удостоверений для существующего пространства имен.

  1. Перейдите на http://go.microsoft.com/fwlink/p/?LinkID=275081 (https://manage.WindowsAzure.com), выполните вход и щелкните Active Directory. (Совет по устранению неполадок. "Active Directory" item is missing or not availablehttp://go.microsoft.com/fwlink/?LinkId=320739 (Элемент "Active Directory" отсутствует или недоступен))

  2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

  3. На портале Служба управления доступом выберите пункт Поставщики удостоверений.

  4. На странице Добавление поставщика удостоверений нажмите Добавить и выберите Google.

  5. На странице Добавление поставщика удостоверений Google нажмите Сохранить.

Здесь показано, как настроить отношение доверия между вашим приложением, то есть проверяющей стороной, и Служба управления доступом.

  1. Перейдите на http://go.microsoft.com/fwlink/p/?LinkID=275081 (https://manage.WindowsAzure.com), выполните вход и щелкните Active Directory. (Совет по устранению неполадок. "Active Directory" item is missing or not availablehttp://go.microsoft.com/fwlink/?LinkId=320739 (Элемент "Active Directory" отсутствует или недоступен))

  2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

  3. На портале Служба управления доступом откройте раздел Приложения проверяющей стороны и нажмите Добавить.

  4. На странице Добавление приложения проверяющей стороны задайте следующие значения полей.

    • Имя — произвольное имя.

    • Область — это URI, для которого будут действовать токены, выпущенные Служба управления доступом.

    • URL-адрес возврата — это URL-адрес, куда Служба управления доступом отправляет токен, выданный для конкретного приложения проверяющей стороны.

    • Формат токена — это тип токенов, которые Служба управления доступом выдает приложению проверяющей стороны.

    • Политика шифрования токенов — Служба управления доступом может шифровать все токены SAML 1.1 и SAML 2.0, выдаваемые приложению проверяющей стороны.

    • Время жизни токена — это время жизни токенов, которые Служба управления доступом выдает приложению проверяющей стороны.

    • Поставщики удостоверений — здесь можно указать, какие поставщики удостоверений будет использовать приложение проверяющей стороны. Убедитесь, что выбран Google.

    • Группы правил — группы правил содержат правила, определяющие, какие утверждения о удостоверениях пользователей передаются от поставщиков удостоверений приложению проверяющей стороны.

    • Подписывание токенов — Служба управления доступом подписывает все выпускаемые токены безопасности с помощью сертификата X.509 (с закрытым ключом) или 256-разрядного симметричного ключа.

    Дополнительные сведения о полях см. в разделе Приложения проверяющей стороны.

  5. Нажмите кнопку Сохранить.

Здесь показано, как настроить отношение отправку утверждений от Служба управления доступом приложению проверяющей стороны. Например, Google по умолчанию не отправляет адрес электронной почты пользователя. Нужно настроить поставщик удостоверений так, чтобы он отправлял нужные приложению утверждения, а также задать способ их преобразования. Следующая процедура описывает добавление правила передачи адреса электронной почты в токене для приложения.

  1. Перейдите на http://go.microsoft.com/fwlink/p/?LinkID=275081 (https://manage.WindowsAzure.com), выполните вход и щелкните Active Directory. (Совет по устранению неполадок. "Active Directory" item is missing or not availablehttp://go.microsoft.com/fwlink/?LinkId=320739 (Элемент "Active Directory" отсутствует или недоступен))

  2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

  3. На портале Служба управления доступом щелкните Группы правил и выберите команду Добавить. Также можно изменить существующую группу правил.

  4. Введите имя для группы и нажмите кнопку Сохранить.

  5. На странице Изменение группы правил нажмите кнопку Добавить.

  6. На странице Добавление правила для утверждений укажите следующие значения.

    • Издатель утверждения: выберите пункты Поставщик удостоверений и Google.

    • Тип входящего утверждения: выберите пункты Выбрать тип и http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.

    • Значение входящего утверждения: Любое.

    • Тип исходящего утверждения: Выберите Передавать с типом входного утверждения.

    • Значение исходящего утверждения: Выберите Передавать со значением входного утверждения.

    • При необходимости в поле Описание введите описание правила.

  7. На страницах "Изменение группы правил" и "Группы правил" нажмите кнопку Сохранить.

  8. Щелкните нужные Приложения проверяющей стороны.

  9. Прокрутите страницу до раздела Группы правил, выберите новую группу правил и нажмите Сохранить.

Этот шаг знакомит вас с конечными точками, предоставляемыми Служба управления доступом. Так, Служба управления доступом предоставляет конечную точку метаданных WS-Federation, которую FedUtil использует при настройке федеративной проверки подлинности в веб-приложениях ASP.NET.

  1. Перейдите на http://go.microsoft.com/fwlink/p/?LinkID=275081 (https://manage.WindowsAzure.com), выполните вход и щелкните Active Directory. (Совет по устранению неполадок. "Active Directory" item is missing or not availablehttp://go.microsoft.com/fwlink/?LinkId=320739 (Элемент "Active Directory" отсутствует или недоступен))

  2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

  3. На портале Служба управления доступом щелкните Интеграция приложений.

  4. Ознакомьтесь с таблицей Справочник по конечным точкам. Например, метаданные WS-Federation, предоставляемые по данному URL-адресу, должны походить на следующие (ваше пространство имен будет отличаться).

    https://my-namespace1.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml
    

См. также

Основные понятия

Инструкции для ACS

Добавления сообщества

ДОБАВИТЬ
Показ:
© 2014 Microsoft