匯出 (0) 列印
全部展開

作法:使用管理服務來將 AD FS 2.0 設定為企業身分識別提供者

發佈時間: 2011年4月

更新日期: 2011年5月

適用於: Windows Azure

適用對象

  • Microsoft® Windows Azure™ AppFabric Access Control Service (ACS)

  • Microsoft Active Directory® Federation Services (AD FS) 2.0

摘要

本主題簡述將 AD FS 2.0 新增為身分識別提供者所需的基本步驟。您可以將 AD FS 2.0 新增至 ACS 做為身分識別提供者,方法是使用位於 http://portal.windows.net (http://go.microsoft.com/fwlink/?LinkID=129428) 的管理入口網站,或使用 ACS 管理服務來自動化此步驟。例如,當您正在建立自訂的使用者介面,以便管理 ACS,或針對多用戶的「軟體即服務」(Software as a Service,SaaS) 解決方案自動化新用戶的報到機制時,使用這個管理服務十分有用。

內容

  • 目標

  • 概觀

  • 步驟摘要

  • 步驟 1 – 收集設定資訊

  • 步驟 2 – 新增必要服務與組件的參考

  • 步驟 3 – 實作 Management Service Proxy

  • 步驟 4 – 新增身分識別提供者

  • 步驟 5 – 測試您的工作

目標

  • 識別必要的先決條件與設定資訊。

  • 列出將 AD FS 2.0 新增為身分識別提供者所需的步驟。

  • 測試設定是否成功。

概觀

管理服務是一項 Web 服務,是 ACS 的重要元件之一。管理服務會顯示可透過「管理入口網站」使用者介面使用的功能。任何可以在管理入口網站中完成的動作,也可以使用管理服務完成。將 Microsoft AD FS 2.0 新增到 ACS 做為身分識別提供者,可讓您重新利用在雲端型解決方案之企業身分識別管理方面已做的投資。若要完成設定 AD FS 2.0 做為身分識別提供者的工作,您需要按照特定步驟撰寫程式碼。本主題概述這些基本步驟。

步驟摘要

  • 步驟 1 – 收集設定資訊

  • 步驟 2 – 新增必要服務與組件的參考

  • 步驟 3 – 實作 Management Service Proxy

  • 步驟 4 – 新增身分識別提供者

  • 步驟 5 – 測試您的工作

步驟 1 – 收集設定資訊

此步驟識別並顯示如何收集必要的設定資訊。您需要收集下列資訊:

  • 管理服務身分識別使用者名稱 - ManagementClient

  • 管理服務身分識別密碼 - 若要取得該項管理服務的服務身分識別密碼:

    1. 登入存取控制服務管理入口網站 (http://go.microsoft.com/fwlink/?LinkID=129428)。

    2. [系統管理] 區段中,按一下 [管理服務] 連結。

    3. [管理服務] 頁面上,按一下 [ManagementClient] 連結 (ManagementClient 是服務的實際使用者名稱)。

    4. [認證] 區段中,按一下 [對稱金鑰][密碼] 連結。這兩處內的值相同。這是密碼。

  • 您的命名空間

  • ACS 主機名稱 - accesscontrol.windows.net。

  • 簽署憑證字串 - 從您的 AD FS 2.0 部署取得 AD FS 簽署憑證。

在收集必要資訊後,請遵循這些步驟以建立範例主控台應用程式來執行程式碼,將 AD FS 2.0 新增為身分識別提供者:

  1. 開啟 Visual Studio® 2010 並建立新的主控台應用程式專案。

  2. Program 類別中,使用類似下列內容的程式碼,將稍早收集到的資訊指派給模組範圍變數。

    static string serviceIdentityUsernameForManagement = "ManagementClient";
    static string serviceIdentityPasswordForManagement = "My Password for my ManagementClient";
    
    static string serviceNamespace = "MyNameSpaceNoDots";
    static string acsHostName = "accesscontrol.windows.net";
    
    static string signingCertificate = "Very long string representing ADFS signing certificate";
    
    static string cachedSwtToken;
    static string identityProviderName = "My Other ADFS Identity Provider";
    
    
    

步驟 2 – 新增必要服務與組件的參考

此步驟識別並將必要的相依性新增到服務與組件。

將必要的相依性新增到服務與組件

  1. 新增 System.Web.Extensions 的參考。

  2. 新增管理服務的服務參考。管理服務的 URL 對您的命名空間而言是唯一的,而且外觀應與下列內容類似:

    https://您的命名空間.accesscontrol.windows.net/v2/mgmt/service

  3. 新增下列宣告。

    using System.Web; 
    using System.Net; 
    using System.Data.Services.Client; 
    using System.Collections.Specialized; 
    using System.Web.Script.Serialization;
    
    

步驟 3 – 實作 Management Service Proxy

此步驟會建立一個方法來封裝 Management Service Proxy 的實作。

實作 Management Service Proxy

  1. 程式類別新增到下列方法。

    public static ManagementService CreateManagementServiceClient()
            {
                string managementServiceHead = "v2/mgmt/service/";
                string managementServiceEndpoint = 
    string.Format("https://{0}.{1}/{2}", 
    serviceNamespace, 
    acsHostName, 
    managementServiceHead);
                ManagementService managementService = 
    new ManagementService(new Uri(managementServiceEndpoint));
    
                managementService.SendingRequest += GetTokenWithWritePermission;
    
                return managementService;
            }
    
    
  2. 實作 GetTokenWithWritePermission 方法及其協助程式方法。它會將 SWT OAuth 權杖新增到 HTTP 要求的授權標頭。

    
            public static void GetTokenWithWritePermission(object sender, 
    SendingRequestEventArgs args)
            {
                GetTokenWithWritePermission((HttpWebRequest)args.Request);
            }
    
            public static void GetTokenWithWritePermission(HttpWebRequest args)
            {
                if (cachedSwtToken == null)
                {
                    cachedSwtToken = GetTokenFromACS();
                }
    
                args.Headers.Add(HttpRequestHeader.Authorization, 
     string.Format("OAuth {0}", 
     cachedSwtToken));
            }
    
            private static string GetTokenFromACS()
            {
                // request a token from ACS
                WebClient client = new WebClient();
                client.BaseAddress = string.Format("https://{0}.{1}", 
          serviceNamespace, 
          acsHostName);
    
                NameValueCollection values = new NameValueCollection();
    
                values.Add("grant_type", "password");
                values.Add("client_id", serviceIdentityUsernameForManagement);
                values.Add("username", serviceIdentityUsernameForManagement);
                values.Add("client_secret", serviceIdentityPasswordForManagement);
                values.Add("password", serviceIdentityPasswordForManagement);
    
                byte[] responseBytes = 
    client.UploadValues("/v2/OAuth2-13/rp/AccessControlManagement", 
          "POST", 
          values);
    
                string response = Encoding.UTF8.GetString(responseBytes);
    
                // Parse the JSON response and return the access token 
                JavaScriptSerializer serializer = new JavaScriptSerializer();
    
                Dictionary<string, object> decodedDictionary = 
    serializer.DeserializeObject(response) as Dictionary<string, object>;
    
                return decodedDictionary["access_token"] as string;
    
            }
    
    

步驟 4 – 新增身分識別提供者

此步驟會使用您稍早建立的 Management Service Proxy,將 AD FS 2.0 新增為身分識別提供者。

新增 AD FS 2.0 作為身分識別提供者

  1. 初始化 Management Service Proxy。

    ManagementService svc = CreateManagementServiceClient();
    
    
  2. 將身分識別提供者新增為簽發者。

    Issuer issuer = new Issuer
           {
           Name = identityProviderName
    };
           svc.AddToIssuers(issuer);
           svc.SaveChanges(SaveChangesOptions.Batch);
    
    
  3. 建立身分識別提供者。

    IdentityProvider identityProvider = new IdentityProvider()
    {
        DisplayName = identityProviderName,
        Description = identityProviderName,
        WebSSOProtocolType = "WsFederation",
        IssuerId = issuer.Id
    };
           svc.AddObject("IdentityProviders", identityProvider);
    
    
  4. 使用您稍早獲得的憑證當做基礎,建立一個身分識別提供者簽署金鑰。

    IdentityProviderKey identityProviderKey = new IdentityProviderKey()
    {
        DisplayName = "SampleIdentityProviderKeyDisplayName",
        Type = "X509Certificate",
        Usage = "Signing",
        Value = Convert.FromBase64String(signingCertificate),
        IdentityProvider = identityProvider,
        StartDate = startDate,
        EndDate = endDate,
    };
          svc.AddRelatedObject(identityProvider, 
    "IdentityProviderKeys", 
    identityProviderKey);
    
    
  5. 更新身分識別提供者登入位址。

    IdentityProviderAddress realm = new IdentityProviderAddress()
    {
        Address = "http://SampleIdentityProvider.com/sign-in/",
        EndpointType = "SignIn",
        IdentityProvider = identityProvider,
    };
    svc.AddRelatedObject(identityProvider, "IdentityProviderAddresses", realm);
    
    svc.SaveChanges(SaveChangesOptions.Batch);
    
    
  6. 將身分識別提供者設為可供信賴憑證者使用,但管理服務除外。

    foreach (RelyingParty rp in svc.RelyingParties)
    {
        // skip the built-in management RP. 
        if (rp.Name != "AccessControlManagement")
        {
            svc.AddToRelyingPartyIdentityProviders(new RelyingPartyIdentityProvider()
            {
                IdentityProviderId = identityProvider.Id,
                RelyingPartyId = rp.Id
            });
        }
    }
    
    svc.SaveChanges(SaveChangesOptions.Batch);
    
    

步驟 5 – 測試您的工作

測試您的工作

  1. 登入存取控制服務管理入口網站 (http://go.microsoft.com/fwlink/?LinkID=129428)。

  2. [存取控制服務] 頁面上,按一下 [信任關係] 區段中的 [規則群組] 連結。

  3. 按一下任何一個可用的規則。

  4. [編輯規則群組] 頁面上,按一下 [新增規則] 連結。

  5. [新增宣告規則] 頁面上,從 [宣告簽發者] 區段的下拉式清單中選擇最近新增的身分識別提供者。

  6. 保留剩餘的預設值不變。

  7. 按一下 [儲存]

您剛剛已經建立了身分識別提供者的傳遞規則。

顯示:
© 2014 Microsoft