Diese Dokumentation wurde archiviert und wird nicht länger gepflegt.

Vorgehensweise: Konfigurieren von AD FS 2.0 als Identitätsanbieter

Veröffentlicht: April 2011

Letzte Aktualisierung: Juni 2015

Betrifft: Azure

  • Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS)

  • Active Directory®-Verbunddienste 2.0

In dieser Vorgehensweise wird beschrieben, wie als Identitätsanbieter konfiguriert wird. Wenn Sie als Identitätsanbieter für Ihre ASP.NET-Webanwendung konfigurieren, können sich Benutzer mit Ihrer ASP.NET-Webanwendung authentifizieren, indem sie an ihrem Unternehmenskonto anmelden, das von Active Directory verwaltet wird.

  • Ziele

  • Überblick

  • Zusammenfassung der Schritte

  • Schritt 1 - Hinzufügen von AD FS 2.0 als Identitätsanbieter im ACS-Verwaltungsportal

  • Schritt 2 - Hinzufügen eines Zertifikats zu ACS für die Bereitstellung von Token, die von AD FS 2.0 empfangen wurden, im ACS-Verwaltungsportal (optional)

  • Schritt 3 - Hinzufügen Ihres Namespace für die Zugriffssteuerung als vertrauende Seite in AD FS 2.0

  • Schritt 4 - Hinzufügen von Anspruchsregeln für den Namespace für die Zugriffssteuerung in AD FS 2.0

  • Konfigurieren der Vertrauensstellung zwischen ACS und .

  • Verbessern der Sicherheit des Token- und Metadatenaustauschs.

Das Konfigurieren von als Identitätsanbieter ermöglicht die Wiederverwendung vorhandener Konten, die im Unternehmen von Active Directory für die Authentifizierung verwaltet werden. Auf diese Weise entfällt die Notwendigkeit, komplexe Kontosynchronisierungsmechanismen zu erstellen oder benutzerdefinierten Code zu entwickeln, der die Anmeldeinformationen von Endbenutzern akzeptiert, diese anhand des Anmeldeinformationenspeichers überprüft und die Identitäten verwaltet. Die Integration von ACS und wird ausschließlich durch Konfiguration erreicht. Benutzerdefinierter Code ist nicht erforderlich.

  • Schritt 1 - Hinzufügen von AD FS 2.0 als Identitätsanbieter im ACS-Verwaltungsportal

  • Schritt 2 - Hinzufügen eines Zertifikats zu ACS für die Bereitstellung von Token, die von AD FS 2.0 empfangen wurden, im ACS-Verwaltungsportal (optional)

  • Schritt 3 - Hinzufügen Ihres Namespace für die Zugriffssteuerung als vertrauende Seite in AD FS 2.0

  • Schritt 4 - Hinzufügen von Anspruchsregeln für den Namespace für die Zugriffssteuerung in AD FS 2.0

In diesem Schritt wird als Identitätsanbieter im ACS-Verwaltungsportal hinzugefügt.

  1. Klicken Sie auf der Hauptseite des ACS-Verwaltungsportals auf Identitätsanbieter.

  2. Klicken Sie auf Identitätsanbieter hinzufügen.

  3. Klicken Sie neben Microsoft Active Directory-Verbunddienste 2.0 auf Hinzufügen.

  4. Geben Sie im Feld Anzeigename einen Anzeigenamen für diesen Identitätsanbieter ein. Beachten Sie, dass dieser Name im ACS-Verwaltungsportal sowie standardmäßig auf den Anmeldeseiten für Ihre Anwendungen angezeigt wird.

  5. Geben Sie im Feld WS-Verbundmetadaten die URL für das Metadatendokument für Ihre -Instanz ein, oder verwenden Sie die Option Datei, um eine lokale Kopie des Metadatendokuments hochzuladen. Wenn eine URL verwendet wird, finden Sie den URL-Pfad für das Metadatendokument im Abschnitt Service\Endpoints der -Verwaltungskonsole. Die nächsten beiden Schritte beziehen sich auf die Anmeldeseitenoptionen für Ihre Anwendungen der vertrauenden Seite. Sie sind optional und können übersprungen werden.

  6. Wenn Sie den Text bearbeiten möchten, der für diesen Identitätsanbieter auf den Anmeldeseiten für Ihre Anwendungen angezeigt wird, geben Sie den gewünschten Text in das Feld Anmeldelinktext ein.

  7. Wenn Sie ein Bild für diesen Identitätsanbieter auf den Anmeldeseiten für Ihre Anwendungen anzeigen möchten, geben Sie eine URL für eine Bilddatei in das Feld Bild-URL ein. Idealerweise sollte diese Bilddatei auf einer vertrauenswürdigen Website (nach Möglichkeit mithilfe von HTTPS, um Sicherheitswarnungen des Browsers zu verhindern) gehostet werden, und Ihr -Partner sollte Ihnen die Anzeige des Bilds erlaubt haben. Weitere Anleitungen zu den Einstellungen einer Anmeldeseite finden Sie in der Hilfe zu Anmeldeseiten und Homebereicherkennung.

  8. Wenn die Benutzer aufgefordert werden sollen, sich mithilfe ihrer E-Mail-Adresse anzumelden, anstatt auf einen Link zu klicken, geben Sie im Feld E-Mail-Domänennamen die Suffixe der E-Mail-Domäne an, die diesem Identitätsanbieter zugeordnet werden soll. Wenn der Identitätsanbieter z. B. Benutzerkonten hostet, deren E-Mail-Adressen auf @contoso.com enden, geben Sie contoso.com ein. Verwenden Sie Semikolons, um die einzelnen Einträge der Liste der Suffixe zu trennen (z. B. contoso.com; fabrikam.com). Weitere Anleitungen zu den Einstellungen einer Anmeldeseite finden Sie in der Hilfe zu Anmeldeseiten und Homebereicherkennung.

  9. Wählen Sie im Feld Anwendungen der vertrauenden Seite alle Anwendungen der vertrauenden Seite aus, die diesem Identitätsanbieter zugeordnet werden sollen. Auf diese Weise wird der Identitätsanbieter auf der Anmeldeseite für die betreffende Anwendung angezeigt, und Ansprüche können vom Identitätsanbieter an die Anwendung übermittelt werden. Beachten Sie, dass der Regelgruppe der Anwendung noch Regeln hinzugefügt werden müssen, die definieren, welche Ansprüche übermittelt werden.

  10. Klicken Sie auf Speichern.

In diesem Schritt wird ein Zertifikat für die Entschlüsselung von Token hinzugefügt und konfiguriert, die von empfangen werden. Dies ist ein optionaler Schritt, der die Sicherheit verbessert. Insbesondere werden die Inhalte der Token vor der Anzeige und Manipulation geschützt.

  1. Navigieren Sie zu http://portal.windows.net (http://go.microsoft.com/fwlink/?LinkID=129428).

  2. Wenn Sie nicht mithilfe von Windows Live ID (Microsoft-Konto) authentifiziert wurden, ist dieser Vorgang nun erforderlich.

  3. Nachdem Sie mit Ihrem Windows Live ID (Microsoft-Konto) authentifiziert wurden, werden Sie im Microsoft Azure-Portal auf die Seite Meine Projekte weitergeleitet.

  4. Klicken Sie auf der Seite Mein Projekt auf den gewünschten Projektnamen.

  5. Klicken Sie auf der Seite Projekt: <<IhrProjektname>> auf den Link Zugriffssteuerung neben dem gewünschten Namespace.

  6. Klicken Sie auf der Seite Zugriffssteuerungseinstellungen: <<IhrNamespace>> auf den Link Zugriffssteuerung verwalten.

  7. Klicken Sie auf der Hauptseite des ACS-Verwaltungsportals auf Zertifikate und Schlüssel.

  8. Klicken Sie auf Tokenentschlüsselungszertifikat hinzufügen.

  9. Geben Sie im Feld Name einen Anzeigenamen für das Zertifikat ein.

  10. Suchen Sie im Feld Zertifikat nach dem X.509-Zertifikat mit einem privaten Schlüssel (PFX-Datei) für diesen Namespace für die Zugriffssteuerung, und geben Sie dann das Kennwort für die PFX-Datei in das Feld Kennwort ein. Wenn Sie kein Zertifikat besitzen, befolgen Sie die Anweisungen auf dem Bildschirm, um ein Zertifikat zu generieren, oder lesen Sie die Hilfe unter Zertifikate und Schlüssel, um weitere Anweisungen zum Abrufen eines Zertifikats zu erhalten.

  11. Klicken Sie auf Speichern.

In diesem Schritt konfigurieren Sie ACS als eine vertrauende Seite in .

  1. Klicken Sie in der -Verwaltungskonsole auf AD FS 2.0, und klicken Sie dann im Aktionsbereich auf Vertrauensstellung der vertrauenden Seite hinzufügen, um den Assistenten zum Hinzufügen der Vertrauensstellung der vertrauenden Seite zu starten.

  2. Klicken Sie auf der Seite Willkommen auf Start.

  3. Klicken Sie auf der Seite Datenquelle auswählen auf Daten zur vertrauenden Seite importieren, die online oder in einem lokalen Netzwerk veröffentlicht sind, Geben Sie den Namen Ihres Namespace für die Zugriffssteuerung ein, und klicken Sie dann auf Weiter.

  4. Geben Sie auf der Seite Anzeigenamen angeben einen Anzeigenamen ein, und klicken Sie dann auf Weiter:

  5. Klicken Sie auf der Seite Autorisierungsregeln für die Ausstellung auswählen auf Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben, und klicken Sie dann auf Weiter.

  6. Überprüfen Sie auf der Seite Bereit für das Hinzufügen der Vertrauensstellung die Vertrauensstellungseinstellungen der vertrauenden Seite, und klicken Sie dann auf Weiter, um die Konfiguration zu speichern.

  7. Klicken Sie auf der Seite Fertig stellen auf Schließen, um den Assistenten zu beenden. Durch diesen Vorgang wird auch die Eigenschaftenseite Anpruchsregeln für WIF-Beispielanwendung bearbeiten geöffnet. Lassen Sie dieses Dialogfeld geöffnet, und fahren Sie dann mit dem nächsten Schritt fort.

In diesem Schritt werden die Anspruchsregeln in konfiguriert. Auf diese Weise stellen Sie sicher, dass die gewünschten Ansprüche von an ACS übergeben werden.

  1. Klicken Sie auf der Eigenschaftenseite Anspruchsregeln bearbeiten auf der Registerkarte Transformationsregeln ausstellen auf Regel hinzufügen, um den Assistenten zum Hinzufügen von Transformationsanspruchsregeln zu starten.

  2. Klicken Sie auf der Seite Regelvorlage auswählen unter Anpruchsregelvorlage im Menü auf Pass-Through oder Filtern eines eingehenden Anspruchs, und klicken Sie dann auf Weiter.

  3. Geben Sie auf der Seite Regel konfigurieren unter Anspruchsregelname einen Anzeigenamen für die Regel ein.

  4. Wählen Sie in der Dropdownliste Eingehender Anspruchstyp den Identitätsanspruchstyp aus, der die Anwendung mittels Pass-Through durchlaufen soll, und klicken Sie dann auf Fertig stellen.

  5. Klicken Sie auf OK, um die Eigenschaftenseite zu schließen und die Änderungen an der Vertrauensstellung der vertrauenden Seite zu speichern.

  6. Wiederholen Sie die Schritte 1 bis 5 für jeden Anspruch, der von für Ihren Namespace für die Zugriffssteuerung ausgegeben werden soll.

  7. Klicken Sie auf OK.

Anzeigen: