Diese Dokumentation wurde archiviert und wird nicht länger gepflegt.

Vorgehensweise: Erstellen einer ersten Ansprüche unterstützenden ASP.NET-Anwendung mithilfe von ACS

Veröffentlicht: April 2011

Letzte Aktualisierung: Juni 2015

Betrifft: Azure

ImportantWichtig
ACS-Namespaces können ihre Google-Identitätsanbieterkonfigurationen von OpenID 2.0 zu OpenID Connect migrieren. Die Migration muss vor dem 1. Juni 2015 ausgeführt werden. Ausführliche Anweisungen finden Sie unter Migrieren von ACS-Namespaces zu Google OpenID Connect. Bis Sie die Migration ausführen, können Sie dieses Lernprogramm mithilfe eines anderen Identitätsanbieters abschließen, z. B. mit Facebook.

  • Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS)

In diesem Thema wird die Integration von ACS in eine ASP.NET-Anwendung der vertrauenden Seite beschrieben. Durch das Integrieren der Webanwendung in ACS können Sie die Funktionen für die Authentifizierung und Autorisierung im Code unberücksichtigt lassen. Anders ausgedrückt, stellt ACS den Mechanismus zum Authentifizieren und Autorisieren von Benutzern für Ihre Webanwendung zur Verfügung.

In diesem Übungsszenario authentifiziert ACS Benutzer mit einer Google-Identität in einer ASP.NET-Testanwendung der vertrauenden Seite.

Ausführliche Anleitungen zum Erstellen eines Namespace für die Zugriffssteuerung finden Sie unter Vorgehensweise: Erstellen eines Namespace für die Zugriffssteuerung.

Das ACS-Verwaltungsportal ermöglicht die Konfiguration des Namespace für die Zugriffssteuerung durch Hinzufügen von Identitätsanbietern, Konfigurieren von Anwendungen der vertrauenden Seite, Definieren von Regeln und Regelgruppen und Einrichten der Anmeldeinformationen, denen die Anwendung der vertrauenden Seite vertraut.

  1. Navigieren Sie zum Microsoft Azure-Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Hinweis für die Fehlerbehebung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

  2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

In diesem Abschnitt wird das Hinzufügen von Identitätsanbietern beschrieben, die von der Anwendung der vertrauenden Seite für die Authentifizierung verwendet werden. Weitere Informationen zu Identitätsanbietern finden Sie unter Identitätsanbieter.

  1. Klicken Sie im ACS-Verwaltungsportal in der Struktur auf der linken Seite auf Identitätsanbieter, oder klicken Sie im Abschnitt Erste Schritte auf den Link Identitätsanbieter.

  2. Klicken Sie auf der Seite Identitätsanbieter auf Hinzufügen, wählen Sie Google als Identitätsanbieter aus, und klicken Sie dann auf Weiter.

  3. Auf der Seite Google als Identitätsanbieter hinzufügen werden Sie zur Eingabe von Anmeldelinktext (der Standardwert ist Google) und einer Bild-URL aufgefordert. Diese URL verweist auf eine Bilddatei, die als Anmeldelink für diesen Identitätsanbieter verwendet werden kann. Die Bearbeitung dieser Felder ist optional. Bearbeiten Sie sie in dieser Übung nicht, klicken Sie stattdessen auf Speichern.

In diesem Abschnitt wird das Hinzufügen und Konfigurieren einer Anwendung der vertrauenden Seite beschrieben. Weitere Informationen zu Anwendungen der vertrauenden Seite finden Sie unter Anwendungen der vertrauenden Seite.

  1. Klicken Sie im ACS-Verwaltungsportal in der Struktur auf der linken Seite auf Anwendungen der vertrauenden Seite, oder klicken Sie im Abschnitt Erste Schritte auf den Link Anwendungen der vertrauenden Seite.

  2. Klicken Sie auf der Seite Anwendungen der vertrauenden Seite auf Hinzufügen.

  3. Führen Sie auf der Seite Anwendung der vertrauenden Seite hinzufügen die folgenden Aktionen aus:

    • Geben Sie unter Name den Namen der Anwendung der vertrauenden Seite ein. Geben Sie für diese Übung TestApp ein.

    • Wählen Sie unter Modus die Option Einstellungen manuell eingeben aus.

    • Geben Sie unter Bereich den URI ein, für den das von ACS ausgestellte Sicherheitstoken gilt. Geben Sie für diese Übung http://localhost:7777/ ein.

    • Geben Sie unter Rückgabe-URL die URL ein, an die ACS das Sicherheitstoken zurückgibt. Geben Sie für diese Übung http://localhost:7777/ ein.

    • Geben Sie unter Fehler-URL (optional) die URL ein, die ACS verwenden kann, wenn während der Anmeldung ein Fehler auftritt. Lassen Sie dieses Feld in dieser Übung leer.

    • Wählen Sie unter Tokenformat ein Tokenformat aus, das ACS beim Ausstellen von Sicherheitstoken für die Anwendung dieser vertrauenden Seite verwenden kann. Wählen Sie für diese Übung SAML 2.0 aus. Weitere Informationen zu Token und Tokenformaten finden Sie unter In ACS unterstützte Tokenformate sowie unter "Tokenformat" in Anwendungen der vertrauenden Seite.

    • Wählen Sie unter Tokenverschlüsselungsrichtlinie eine Verschlüsselungsrichtlinie für von ACS für die Anwendung dieser vertrauenden Seite ausgestellte Token aus. Akzeptieren Sie in dieser Übung den Standardwert Keine. Weitere Informationen zu Tokenverschlüsselungsrichtlinien finden Sie unter "Tokenverschlüsselungsrichtlinie" in Anwendungen der vertrauenden Seite.

    • Geben Sie unter Tokengültigkeitsdauer (Sek.) den Zeitraum an, für den ein von ACS ausgestelltes Sicherheitstoken gültig bleibt. Akzeptieren Sie in dieser Übung den Standardwert 600. Weitere Informationen finden Sie unter "Tokengültigkeitsdauer" in Anwendungen der vertrauenden Seite.

    • Wählen Sie unter Identitätsanbieter die Identitätsanbieter aus, die mit der Anwendung dieser vertrauenden Seite verwendet werden sollen. Akzeptieren Sie in dieser Übung die aktivierten Standardwerte (Google und Windows Live ID).

    • Wählen Sie unter Regelgruppen die Regelgruppen aus, die diese Anwendung der vertrauenden Seite beim Verarbeiten von Ansprüchen verwenden soll. Akzeptieren Sie in dieser Übung die Option Neue Regelgruppe erstellen, die standardmäßig aktiviert ist. Weitere Informationen zu Regelgruppen finden Sie unter Regelgruppen und Regeln.

    • Wählen Sie im Abschnitt Tokensignatureinstellungen aus, ob SAML-Token mit dem Standardzertifikat für den Namespace für die Zugriffssteuerung oder mit einem benutzerdefinierten Zertifikat signiert werden sollen, das für diese Anwendung spezifisch ist. Akzeptieren Sie in dieser Übung den Standardwert Dienstnamespacezertifikat verwenden (Standard). Weitere Informationen zu Tokensignaturen finden Sie unter "Tokensignaturen" in Anwendungen der vertrauenden Seite.

  4. Klicken Sie auf Speichern.

In diesem Abschnitt wird das Definieren von Regeln beschrieben, die bestimmen, wie Ansprüche von Identitätsanbietern an Ihre Anwendung der vertrauenden Seite übergeben werden. Weitere Informationen zu Regeln und Regelgruppen finden Sie unter Regelgruppen und Regeln.

  1. Klicken Sie auf der Startseite des ACS-Verwaltungsportals in der Struktur auf der linken Seite auf Regelgruppen, oder klicken Sie im Abschnitt Erste Schritte auf den Link Regelgruppen.

  2. Klicken Sie auf der Seite Regelgruppen auf Standardregelgruppe für TestApp (da Sie die Anwendung der vertrauenden Seite TestApp genannt haben).

  3. Klicken Sie auf der Seite Regelgruppe bearbeiten auf Generieren.

  4. Akzeptieren Sie auf der Seite Regeln generieren: Standardregelgruppe für TestApp die standardmäßig ausgewählten Identitätsanbieter (in dieser Übung handelt es sich um Google und Windows Live ID), und klicken Sie dann auf die Schaltfläche Generieren.

  5. Klicken Sie auf der Seite Regelgruppe bearbeiten auf Speichern.

Sie finden alle Informationen und den gesamten Code zum Ändern der Anwendung der vertrauenden Seite für den Einsatz mit ACS auf der Seite Anwendungsintegration des ACS-Verwaltungsportals.

  • Klicken Sie auf der Startseite des ACS-Verwaltungsportals in der Struktur auf der linken Seite auf Anwendungsintegration, oder klicken Sie im Abschnitt Erste Schritte auf den Link Anwendungsintegration.

    Die ACS-URIs, die auf der Seite Anwendungsintegration angezeigt werden, sind für Ihren Namespace für die Zugriffssteuerung eindeutig.

    Für diese Übung wird empfohlen, diese Seite geöffnet zu lassen, um die verbleibenden Schritte schnell ausführen zu können.

In diesem Abschnitt wird das Erstellen einer ASP.NET-Anwendung der vertrauenden Seite beschrieben, die dann ggf. in ACS integriert werden kann.

  1. Klicken Sie zum Ausführen von Visual Studio 2010 auf Start und dann auf Ausführen, geben Sie den folgenden Text ein, und drücken Sie dann die EINGABETASTE:
    devenv.exe

  2. Klicken Sie in Visual Studio auf Datei und dann auf Neues Projekt.

  3. Wählen Sie im Fenster Neues Projekt die Vorlage Visual Basic oder die Vorlage Visual C# aus, und wählen Sie dann ASP.NET MVC 2-Webanwendung aus.

  4. Geben Sie unter Name den folgenden Text ein, und klicken Sie dann auf OK:
    TestApp

  5. Wählen Sie unter Testprojekt erstellen die Option Kein Testprojekt erstellen aus, und klicken Sie dann auf OK.

  6. Klicken Sie im Projektmappen-Explorer mit der rechten Maustaste auf TestApp, und wählen Sie dann Eigenschaften aus.

  7. Wählen Sie im Fenster TestApp - Eigenschaften die Registerkarte Webaus, klicken Sie unter Visual Studio-Entwicklungsserver auf Bestimmter Anschluss, und ändern Sie den Wert dann in 7777.

  8. Drücken Sie F5, um die soeben erstellte Anwendung auszuführen und zu debuggen. Wenn keine Fehler gefunden wurden, rendert Ihr Browser ein leeres MVC-Projekt.

    Lassen Sie Visual Studio 2010 geöffnet, um den nächsten Schritt auszuführen.

In diesem Abschnitt wird die Integration von ACS in die ASP.NET-Anwendung der vertrauenden Seite beschrieben, die im vorherigen Schritt erstellt wurde.

  1. Klicken Sie in Visual Studio 2010 im Projektmappen-Explorer für TestApp mit der rechten Maustaste auf TestApp, und wählen Sie dann STS-Verweis hinzufügen aus.

  2. Führen Sie im Verbundhilfsprogramm-Assistenten die folgenden Aktionen aus:

    1. Geben Sie auf der Seite Willkommen unter Anwendungs-URI den Anwendungs-URI ein, und klicken Sie dann auf Weiter. In dieser Übung lautet der Anwendungs-URI http://localhost:7777/.

      noteHinweis
      Der nachstehende Schrägstrich ist wichtig, weil er dem im ACS-Verwaltungsportal für die Anwendung der vertrauenden Seite eingegebenen Wert entspricht. Weitere Informationen finden Sie unter Schritt 4 – Hinzufügen einer Anwendung der vertrauenden Seite.

    2. Es wird eine Warnung angezeigt: ID 1007: Die Anwendung wird nicht mit einer sicheren HTTPS-Verbindung gehostet. Möchten Sie den Vorgang fortsetzen? Klicken Sie in dieser Übung auf Ja.

      noteHinweis
      In einer Produktionsumgebung ist diese Warnung zur Verwendung von SSL gültig und sollte nicht ignoriert werden.

    3. Wählen Sie auf der Seite Sicherheitstokendienst die Option Vorhandenen STS verwenden aus, geben Sie die von ACS veröffentlichte Metadaten-URL des WS-Verbunds ein, und klicken Sie dann auf Weiter.

      noteHinweis
      Den Wert der Metadaten-URL des WS-Verbunds finden Sie auf der Seite Anwendungsintegration des ACS-Verwaltungsportals. Weitere Informationen finden Sie unter Schritt 6 – Überprüfen der Anwendungsintegrationsinformationen.

    4. Klicken Sie auf der Seite Überprüfungsfehler der STS-Signaturzertifikatkette auf Weiter.

    5. Klicken Sie auf der Seite Sicherheitstokenverschlüsselung auf Weiter.

    6. Klicken Sie auf der Seite Angebotene Ansprüche auf Weiter.

    7. Klicken Sie auf der Seite Zusammenfassung auf Fertig stellen.

    Nachdem Sie die Ausführung des Verbundhilfsprogramm-Assistenten erfolgreich beendet haben, wird ein Verweis auf die Assembly Microsoft.IdentityModel.dll hinzugefügt, und es werden Werte in die Datei Web.config geschrieben, die WIF (Windows Identity Foundation) in Ihrer ASP.NET MVC 2-Webanwendung (TestApp) konfiguriert.

  3. Öffnen Sie die Datei Web.config, und suchen Sie nach dem Hauptelement system.web. Es ähnelt der folgenden Angabe:

    <system.web>
        <authorization>
          <deny users="?" />
        </authorization>
    

    Ändern Sie die Datei Web.config so, dass die Anforderungsüberprüfung ermöglicht wird, indem Sie den folgenden Code unter dem Hauptelement system.web hinzufügen:

    
        <!--set this value-->
        <httpRuntime requestValidationMode="2.0"/>
     
    

    Nachdem Sie das Update ausgeführt haben, muss das oben genannte Codefragment wie folgt aussehen:

     
       <system.web>
        <!--set this value-->
        <httpRuntime requestValidationMode="2.0"/>
        <authorization>
        <deny users="?" />
        </authorization>
    

In diesem Abschnitt wird beschrieben, wie die Integration der Anwendung der vertrauenden Seite in ACS getestet werden kann.

  1. Lassen Sie Visual Studio 2010 geöffnet, und drücken Sie dann F5, um mit dem Debugvorgang der ASP.NET-Anwendung der vertrauenden Seite zu beginnen.

    Wenn keine Fehler gefunden wurden, öffnet Ihr Browser nicht die MVC-Standardanwendung, sondern wird zu einer von ACS gehosteten Seite Startbereicherkennung weitergeleitet, auf der Sie aufgefordert werden, einen Identitätsanbieter auszuwählen.

  2. Wählen Sie Google aus.

    Der Browser lädt nun die Google-Anmeldeseite.

  3. Geben Sie Ihre Google-Testanmeldeinformationen ein, und akzeptieren Sie dann die Zustimmungsbenutzeroberfläche, die auf der Google-Website angezeigt wird.

    Der Browser sendet eine Rückmeldung an ACS, ACS stellt ein Token aus und stellt dieses dann auf Ihrer MVC-Website bereit.

Siehe auch

Anzeigen: