匯出 (0) 列印
全部展開
Expand Minimize

作法:將 Google 設定為身分識別提供者

發佈時間: 2011年4月

更新日期: 2014年6月

適用於: Azure

Important重要事項
自 2014 年 5 月 19 日起,新的 ACS 命名空間無法再使用 Google 作為身分識別提供者。在此日期之前使用 Google 和註冊的 ACS 命名空間不受影響。如需詳細資訊,請參閱版本資訊

  • Microsoft Azure Active Directory 存取控制服務 (也稱為「存取控制服務」或 ACS)

此「作法」說明如何將 Google 設定為身分識別提供者 ACS。將 Google 設定為 ASP.NET Web 應用程式的身分識別提供者,可讓使用者登入其 Google 帳戶,藉以向您的 ASP.NET Web 應用程式進行驗證。

  • 目標

  • 概觀

  • 步驟摘要

  • 步驟 1 – 建立命名空間

  • 步驟 2 - 將 Google 設定為身分識別提供者

  • 步驟 3 - 設定與信賴憑證者之間的信任

  • 步驟 4 – 設定權杖轉換規則

  • 步驟 5 – 檢閱命名空間公開的端點

  • 建立 專案和命名空間。

  • 以 Google 作為身分識別提供者來設定要使用的命名空間。

  • 設定信任與權杖轉換規則。

  • 熟悉端點參照、服務清單及中繼資料端點。

將 Google 設定為身分識別提供者就不需要建立與管理認證和身分識別管理機制。它能協助使用者執行熟悉的驗證程序 (若有)。使用 ACS 很容易完成設定,可讓您的應用程式準備好使用它,並提供這個功能給使用者。此「作法」說明如何完成這項工作。下圖描述設定 ACS 的信賴憑證者以供使用的整體流程。

ACS v2 工作流程

若要針對應用程式,將 Google 設定為身分識別提供者,請完成下列步驟:

  • 步驟 1 – 建立命名空間

  • 步驟 2 - 將 Google 設定為身分識別提供者

  • 步驟 3 - 設定與信賴憑證者之間的信任

  • 步驟 4 – 設定權杖轉換規則

  • 步驟 5 – 檢閱命名空間公開的端點

此步驟會在 專案中建立存取控制命名空間。若要將 Google 設定為現有命名空間的身分識別提供者,可略過此步驟。

  1. 移至 Microsoft Azure 管理入口網站 (https://manage.WindowsAzure.com),登入後按一下 [Active Directory]。(疑難排解提示:"Active Directory" 項目遺失或無法使用)

  2. 若要建立存取控制命名空間,請依序按一下 [新增][應用程式服務][存取控制][快速建立]。(或是先按一下 [新增] 再按一下 [存取控制命名空間])。

此步驟顯示如何將 Google 設定為現有命名空間的身分識別提供者。

  1. 移至 Microsoft Azure 管理入口網站 (https://manage.WindowsAzure.com),登入後按一下 [Active Directory]。(疑難排解提示:"Active Directory" 項目遺失或無法使用)

  2. 若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。(或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。

  3. 在 ACS 入口網站中,按一下 [身分識別提供者]。

  4. 在 [新增身分識別提供者] 頁面上,按一下 [新增],然後選取 [Google]。

  5. 在 [新增 Google 身分識別提供者] 頁面上,按一下 [儲存]。

這個步驟顯示如何設定您的應用程式 (稱為信賴憑證者) 與 ACS 之間的信任。

  1. 移至 Microsoft Azure 管理入口網站 (https://manage.WindowsAzure.com),登入後按一下 [Active Directory]。(疑難排解提示:"Active Directory" 項目遺失或無法使用)

  2. 若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。(或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。

  3. 在 ACS 入口網站中,按一下 [信賴憑證者應用程式],然後按一下 [新增]。

  4. 在 [新增信賴憑證者應用程式] 頁面上,對下列欄位指定下列值:

    • 名稱 - 您選擇的任意名稱。

    • 領域 - 領域是 ACS 簽發的權杖所生效的 URI。

    • 傳回 URL - 傳回 URL 可定義 URL,讓 ACS 針對指定的信賴憑證者應用程式,將權杖簽發至該 URL。

    • 權杖格式 - 權杖格式可定義 ACS 簽發至信賴憑證者應用程式的權杖之類型。

    • 權杖加密原則 - ACS 可選擇加密要簽發至信賴憑證者應用程式的任何 SAML 1.1 或 SAML 2.0 權杖。

    • 權杖存留期 - 權杖存留期可指定 ACS 簽發至信賴憑證者應用程式的權杖之存留期 (TTL)。

    • 身分識別提供者 - [身分識別提供者] 欄位能讓您指定哪些身分識別提供者要使用您的信賴憑證者應用程式。請確定選取 Google。

    • 規則群組 - 規則群組包含規則,可定義要將哪些使用者身分識別宣告,從身分識別提供者傳遞至您的信賴憑證者應用程式。

    • 權杖簽署 - ACS 可使用 X.509 憑證 (包含私密金鑰) 或 256 位元對稱金鑰,簽署其簽發的所有安全性權杖。

    如需每一個欄位的詳細資訊,請參閱<信賴憑證者應用程式>。

  5. 按一下 [儲存]。

這個步驟顯示如何設定傳送方式,讓 ACS 將宣告傳送給信賴憑證者應用程式。例如,Google 預設不會傳送使用者的電子郵件。您需要設定身分識別提供者,將所需的宣告提供給您的應用程式,並需要設定其轉換方式。下列程序概述如何新增規則,以便在權杖中傳遞電子郵件地址供應用程式使用。

  1. 移至 Microsoft Azure 管理入口網站 (https://manage.WindowsAzure.com),登入後按一下 [Active Directory]。(疑難排解提示:"Active Directory" 項目遺失或無法使用)

  2. 若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。(或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。

  3. 在 ACS 入口網站中,按一下 [規則群組],然後按一下 [新增]。或者,您可以編輯現有的規則群組。

  4. 指定新群組的名稱,然後按一下 [儲存]。

  5. 在 [編輯規則群組] 上,按一下 [新增]。

  6. 在 [新增宣告規則] 頁面上,指定下列值:

    • 宣告發行者:選取 [身分識別提供者] 和 Google。

    • 輸入宣告類型:選取 [選取類型] 和 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • 輸入宣告值:選取 [任何]。

    • 輸出宣告類型:選取 [傳遞輸入宣告類型]。

    • 輸出宣告值:選取 [傳遞輸入宣告值]。

    • (選擇性) 在 [描述] 中新增規則的描述。

  7. 在 [編輯規則群組] 和 [規則群組] 頁面上,按一下 [儲存]。

  8. 按一下想要的 [信賴憑證者應用程式]。

  9. 向下捲動到 [規則群組] 區段,選取新的 [規則群組],然後按一下 [儲存]。

此步驟能讓您熟悉 ACS 所公開的端點。例如,ACS 可在設定同盟驗證的 AP.NET Web 應用程式時,公開 FedUtil 所使用的 WS-同盟中繼資料端點。

  1. 移至 Microsoft Azure 管理入口網站 (https://manage.WindowsAzure.com),登入後按一下 [Active Directory]。(疑難排解提示:"Active Directory" 項目遺失或無法使用)

  2. 若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。(或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。

  3. 在 ACS 入口網站中,按一下 [應用程式整合]

  4. 檢閱 [端點參照] 表。例如,由 URL 公開的 [WS-同盟] 中繼資料應類似於下列中繼資料 (您的命名空間將不同)。

    https://my-namespace1.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml
    

另請參閱

概念

ACS 的作法

社群新增項目

新增
顯示:
© 2014 Microsoft