Diese Dokumentation wurde archiviert und wird nicht länger gepflegt.

Vorgehensweise: Verwenden des ACS-Verwaltungsdiensts zum Konfigurieren von Zertifikaten und Schlüsseln

Veröffentlicht: April 2011

Letzte Aktualisierung: Juni 2015

Betrifft: Azure

  • Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS)

Die Verwendung des ACS-Verwaltungsdiensts kann effizienter sein, wenn Sie eine benutzerdefinierte Benutzerschnittstelle für die Verwaltung von ACS erstellen oder die Aufnahme eines neuen Mandanten für SaaS-Lösungen (Software as a Service, Software als Dienst) mit mehreren Mandanten automatisieren möchten.

Weitere Informationen zum Verwenden des ACS-Verwaltungsportals zum Konfigurieren von Zertifikaten und Schlüsseln finden Sie unter Zertifikate und Schlüssel.

ImportantWichtig
Bevor Sie die folgenden Schritte ausführen, stellen Sie sicher, dass Ihr System alle .NET Framework- und Plattformvoraussetzungen erfüllt, die unter ACS-Voraussetzungen zusammengefasst werden.

Führen Sie die folgenden Schritte aus, um Zertifikate und Schlüssel mithilfe des ACS-Verwaltungsdiensts zu konfigurieren:

  • Schritt 1 – Erfassen der ACS-Konfigurationsinformationen

  • Schritt 2 – Erstellen einer Konsolenbeispielanwendung

  • Schritt 3 – Hinzufügen von Verweisen zu den erforderlichen Diensten und Assemblys

  • Schritt 4 – Implementieren des Verwaltungsdienstclients

  • Schritt 5 – Installieren von Zertifikaten und Schlüsseln

    • Hinzufügen eines Tokensignaturzertifikats für Ihren Zugriffssteuerungs-Namespace

    • Hinzufügen eines Tokensignaturzertifikats für eine Anwendung der vertrauenden Seite

    • Hinzufügen eines symmetrischen Tokensignaturschlüssels für Ihren Zugriffssteuerungs-Namespace

    • Hinzufügen eines symmetrischen Tokensignaturschlüssels für eine Anwendung der vertrauenden Seite

    • Hinzufügen eines Tokenverschlüsselungszertifikats

    • Hinzufügen eines Tokenentschlüsselungszertifikats

Sie können das ACS-Verwaltungsportal zum Erfassen der erforderlichen Konfigurationsinformationen verwenden. Weitere Informationen finden Sie unter ACS-Verwaltungsportal.

  1. Navigieren Sie zum Microsoft Azure-Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Hinweis für die Fehlerbehebung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

  2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

  3. Klicken Sie auf Verwaltungsdienst, Verwaltungsclient, und klicken Sie dann auf Kennwort.

  4. Kopieren Sie den Wert in das Feld Kennwort.

  5. Klicken Sie auf Verwaltungsdienst. Rufen Sie den Wert für Ihren Dienst-Namespace und den ACS-Hostnamen ab. Wenn Ihre Verwaltungsdienst-URL "http://contoso.accesscontrol.windows.net" lautet, ist der Namespace contoso, und der Hostname lautet accesscontrol.windows.net.

In diesem Schritt erstellen Sie eine Konsolenbeispielanwendung, die den Code zum Hinzufügen der ACS-Regelgruppen und -Regeln ausführen kann.

  1. Öffnen Sie Visual Studio 2012, und erstellen Sie dann ein neues Konsolenanwendungsprojekt unter der installierten Vorlage Windows.

  2. Fügen Sie der Klasse Program den folgenden Code hinzu, und weisen Sie dann die Variablen serviceIdentityPasswordForManagement, serviceNamespace und acsHostName den entsprechenden Konfigurationsinformationen zu, die Sie im vorherigen Schritt erfasst haben.

    public const string serviceIdentityUsernameForManagement = "ManagementClient";
    public const string serviceIdentityPasswordForManagement = "My Password/Key for ManagementClient";
    public const string serviceNamespace = "MyNameSpaceNoDots";
    public const string acsHostName = "accesscontrol.windows.net";
    public const string acsManagementServicesRelativeUrl = "v2/mgmt/service/";
    static string cachedSwtToken;
    
    

In diesem Schritt werden die erforderlichen Abhängigkeiten identifiziert und dann den Diensten und Assemblys hinzugefügt.

  1. Klicken Sie mit der rechten Maustaste auf Verweise, klicken Sie auf Verweis hinzufügen, und fügen Sie dann einen Verweis auf System.Web.Extensions hinzu.

    noteHinweis
    Ggf. müssen Sie in Projektmappen-Explorer mit der rechten Maustaste auf den Namen Ihrer Konsolenbeispielanwendung klicken, Eigenschaften auswählen, und dann das Zielframework Ihrer Beispielanwendung von .NET Framework 4-Clientprofil (dieser Wert wird standardmäßig zugewiesen, wenn Sie eine neue Konsolenanwendung erstellen) in .NET Framework 4 ändern.

  2. Klicken Sie mit der rechten Maustaste auf Dienstverweise, klicken Sie auf Dienstverweis hinzufügen, und fügen Sie dem Verwaltungsdienst dann einen Dienstverweis hinzu. Die Verwaltungsdienst-URL ist für Ihren Namespace eindeutig und ähnelt der folgenden URL:

    https://IHRNAMESPACE.accesscontrol.windows.net/v2/mgmt/service

  3. Fügen Sie die folgenden Deklarationen hinzu. Dabei ist MyConsoleApplication der Name Ihrer Konsolenanwendung und MyServiceReference der Name Ihres Dienstverweises:

    using System;
    using System.IO;
    using System.Collections.Generic;
    using System.Linq;
    using System.Text;
    using System.Web;
    using System.Net;
    using System.Data.Services.Client;
    using System.Collections.Specialized;
    using System.Web.Script.Serialization;
    using System.Globalization;
    using System.Security.Cryptography;
    using System.Security.Cryptography.X509Certificates; 
    using MyConsoleApplication.MyServiceReference;
    
    

In diesem Schritt implementieren Sie den Verwaltungsdienstclient.

  1. Fügen Sie der Klasse Program die folgende Methode hinzu:

       public static ManagementService CreateManagementServiceClient()
            {
                string managementServiceEndpoint = String.Format(CultureInfo.InvariantCulture, "https://{0}.{1}/{2}",
                    serviceNamespace,
                    acsHostName,
                    acsManagementServicesRelativeUrl);
                ManagementService managementService = new ManagementService(new Uri(managementServiceEndpoint));
    
                managementService.SendingRequest += GetTokenWithWritePermission;
    
                return managementService;
            }
    
    
  2. Fügen Sie die Methode GetTokenWithWritePermission und deren Hilfsmethoden der Klasse Program hinzu. GetTokenWithWritePermission und deren Hilfsmethoden fügen das SWT OAuth-Token des Autorisierungsheaders der HTTP-Anforderung hinzu.

    public static void GetTokenWithWritePermission(object sender, SendingRequestEventArgs args)
            {
                GetTokenWithWritePermission((HttpWebRequest)args.Request);
            }
    
            public static void GetTokenWithWritePermission(HttpWebRequest args)
            {
                if (cachedSwtToken == null)
                {
                    cachedSwtToken = GetTokenFromACS();
                }
    
                args.Headers.Add(HttpRequestHeader.Authorization, "Bearer " + cachedSwtToken);
            }
    
            private static string GetTokenFromACS()
            {
                //
                // Request a token from ACS
                //
                WebClient client = new WebClient();
                client.BaseAddress = string.Format(CultureInfo.CurrentCulture, 
                                                   "https://{0}.{1}", 
                                                   serviceNamespace, 
                                                   acsHostName);
    
                NameValueCollection values = new NameValueCollection();
                values.Add("grant_type", "client_credentials");
                values.Add("client_id", serviceIdentityUsernameForManagement);
                values.Add("client_secret", serviceIdentityPasswordForManagement);
                values.Add("scope", client.BaseAddress + acsManagementServicesRelativeUrl);
    
                byte[] responseBytes = client.UploadValues("/v2/OAuth2-13", "POST", values);
    
                string response = Encoding.UTF8.GetString(responseBytes);
    
                // Parse the JSON response and return the access token 
                JavaScriptSerializer serializer = new JavaScriptSerializer();
    
                Dictionary<string, object> decodedDictionary = serializer.DeserializeObject(response) as Dictionary<string, object>;
    
                return decodedDictionary["access_token"] as string;
    
            }
    
    
    

In diesem Beispiel erstellen Sie ein X.509-Signaturzertifikat für Ihren Namespace für die Zugriffssteuerung.

  1. Initialisieren Sie den Verwaltungsdienstclient, indem Sie der Methode Main in der Klasse Program den folgenden Code hinzufügen:

    ManagementService svc = CreateManagementServiceClient();
    
    
  2. Erstellen Sie eine Hilfsfunktion ReadBytesFromPfxFile, die Bytes aus Ihrem X.509-Zertifikat liest, indem Sie der Klasse Program den folgenden Code hinzufügen:

    //Helper function to read bytes from your .pfx file
    
            public static byte[] ReadBytesFromPfxFile(string pfxFileName, string protectionPassword)
            {
                byte[] signingCertificate;
                using (FileStream stream = File.OpenRead(pfxFileName))
                {
                    using (BinaryReader br = new BinaryReader(stream))
                    {
                        signingCertificate = br.ReadBytes((int)stream.Length);
                    }
                }
                return signingCertificate;
            }
    
    
  3. Fügen Sie der Methode Main in der Klasse Program den folgenden Code hinzu, um ein X.509-Tokensignaturzertifikat hinzuzufügen:

    noteHinweis
    Ersetzen Sie "Full path to your .PFX file" durch den gültigen vollständigen Pfad zu Ihrem X.509-Zertifikat. Beispielsweise "C:\ ACS2ClientCertificate.pfx".

    Ersetzen Sie "MyCertificatePassword" durch das Kennwort für Ihr X.509-Zertifikat.

    X509Certificate2 cert = new X509Certificate2(@"Full path to your .PFX file", “MyCertificatePassword”);
                
                DateTime startDate, endDate;
                startDate = cert.NotBefore.ToUniversalTime();
                endDate = cert.NotAfter.ToUniversalTime();
               string pfxFileName = @"Full path to your .PFX file";
                string pfxPassword = @"MyCertificatePassword";
                
    byte[] signingCertificate = ReadBytesFromPfxFile(pfxFileName, pfxPassword);
    
    ServiceKey serviceKey = new ServiceKey()
                {
                    Type = "X509Certificate",
                    Usage = "Signing",
                    Value = signingCertificate,
                      Password = Encoding.UTF8.GetBytes("MyCertificatePassword"),
                      IsPrimary = false,
                    StartDate = startDate.ToUniversalTime(),
                    EndDate = endDate.ToUniversalTime()
                };
                svc.AddToServiceKeys(serviceKey);
                svc.SaveChanges(SaveChangesOptions.Batch);
    
    

In diesem Beispiel erstellen Sie ein X.509-Signaturzertifikat, das einer bestimmten Anwendung der vertrauenden Seite zugewiesen wird.

  1. Initialisieren Sie den Verwaltungsdienstclient, indem Sie der Methode Main in der Klasse Program den folgenden Code hinzufügen:

    ManagementService svc = CreateManagementServiceClient();
    
    
  2. Erstellen Sie eine Hilfsfunktion ReadBytesFromPfxFile, die Bytes aus dem X.509-Zertifikat liest, indem Sie der Klasse Program den folgenden Code hinzufügen:

    //Helper function to read bytes from your .pfx file
    
            public static byte[] ReadBytesFromPfxFile(string pfxFileName, string protectionPassword)
            {
                byte[] signingCertificate;
                using (FileStream stream = File.OpenRead(pfxFileName))
                {
                    using (BinaryReader br = new BinaryReader(stream))
                    {
                        signingCertificate = br.ReadBytes((int)stream.Length);
                    }
                }
                return signingCertificate;
            }
    
    
  3. Fügen Sie der Methode Main in der Klasse Program den folgenden Code hinzu, um ein X.509-Tokensignaturzertifikat hinzuzufügen:

    noteHinweis
    Ersetzen Sie "Full path to your .PFX file" durch den vollständigen Pfad zu Ihrem X.509-Zertifikat. Beispielsweise "C:\ ACS2ClientCertificate.pfx".

    Ersetzen Sie "MyCertificatePassword" durch das Kennwort für Ihr X.509-Zertifikat.

    Ersetzen Sie "MyRelyingPartyApplication" durch den Namen der Anwendung der vertrauenden Seite.

    //Select an existing Relying Party Application by its name
    
                RelyingParty relyingParty = svc.RelyingParties.Where(m => m.Name == "MyRelyingPartyApplication").Single();
             
               // Add a signing certificate
    
               X509Certificate2 cert = new X509Certificate2(@"Full path to your .PFX file", "MyCertificatePassword");
               DateTime startDate, endDate;
               startDate = cert.NotBefore.ToUniversalTime();
               endDate = cert.NotAfter.ToUniversalTime();
    
               string pfxFileName = @"Full path to your .PFX file";
               string pfxPassword = "MyCertificatePassword";
    
                byte[] signingCertificate = ReadBytesFromPfxFile(pfxFileName, pfxPassword);
    
               RelyingPartyKey relyingPartyKey = new RelyingPartyKey()
                {
                    StartDate = startDate.ToUniversalTime(),
                   EndDate = endDate.ToUniversalTime(),
                    Type = "X509Certificate",
                    Usage = "Signing",
                    IsPrimary = true,
                    Value = signingCertificate,
                   Password = Encoding.UTF8.GetBytes("MyCertificatePassword")
                };
    
    // Add the new signing certificate to the selected Relying Party Application
    
                svc.AddRelatedObject(relyingParty, "RelyingPartyKeys", relyingPartyKey);
    
    
            
                //Save your relying party application
    
                svc.SaveChanges(SaveChangesOptions.Batch);
    
    

In diesem Beispiel weisen Sie diesen symmetrischen Tokensignaturschlüssel Ihrem Namespace für die Zugriffssteuerung zu.

  1. Initialisieren Sie den Verwaltungsdienstclient, indem Sie der Methode Main in der Klasse Program den folgenden Code hinzufügen:

    ManagementService svc = CreateManagementServiceClient();
    
    
  2. Fügen Sie der Methode Main in der Klasse Program den folgenden Code hinzu, um einen symmetrischen Tokensignaturschlüssel hinzuzufügen:

           string symKey = "SampleTokenSigningSymmetricKey";
                DateTime startDate, endDate;
                startDate = DateTime.UtcNow;
                endDate = DateTime.MaxValue;
    
                ServiceKey serviceKey = new ServiceKey()
                {
                    
                    Type = "Symmetric",
                    Usage = "Signing",
                    Value = Encoding.UTF8.GetBytes(symKey),
                    StartDate = startDate.ToUniversalTime(),
                    EndDate = endDate.ToUniversalTime()
                };
                svc.AddToServiceKeys(serviceKey);
                svc.SaveChanges(SaveChangesOptions.Batch);
    
    

In diesem Beispiel weisen Sie Ihren neuen symmetrischen Tokensignaturschlüssel einer bestimmten Anwendung der vertrauenden Seite zu.

  1. Initialisieren Sie den Verwaltungsdienstclient, indem Sie der Methode Main in der Klasse Program den folgenden Code hinzufügen:

    ManagementService svc = CreateManagementServiceClient();
    
    
  2. Fügen Sie der Methode Main in der Klasse Program den folgenden Code hinzu, um einen symmetrischen Tokensignaturschlüssel hinzuzufügen:

          //Select a relying party application
    
                RelyingParty relyingParty = svc.RelyingParties.Where(m => m.Name == "MyRelyingPartyApplication").Single();
             
               // Create a symmetric key
    
                string symKey = "SampleTokenSigningSymmetricKey";
                DateTime startDate, endDate;
                startDate = DateTime.UtcNow;
                endDate = DateTime.MaxValue;
    
                RelyingPartyKey relyingPartyKey = new RelyingPartyKey()
                {
    
                    Type = "Symmetric",
                    Usage = "Signing",
                    Value = Encoding.UTF8.GetBytes(symKey),
                    StartDate = startDate.ToUniversalTime(),
                    EndDate = endDate.ToUniversalTime()
                };
             
                //Assign this symmetric key to the selected relying party application 
    
                svc.AddRelatedObject(relyingParty, "RelyingPartyKeys", relyingPartyKey);
    
                   //Save your symmetric key
    
                svc.SaveChanges(SaveChangesOptions.Batch);        
    
    

In diesem Beispiel fügen Sie ein X.509-Tokenverschlüsselungszertifikat für eine bestimmte Anwendung der vertrauenden Seite hinzu.

  1. Initialisieren Sie den Verwaltungsdienstclient, indem Sie der Methode Main in der Klasse Program den folgenden Code hinzufügen:

    ManagementService svc = CreateManagementServiceClient();
    
    
  2. Fügen Sie der Methode Main in der Klasse Program den folgenden Code hinzu, um ein X.509-Tokenverschlüsselungszertifikat hinzuzufügen:

    noteHinweis
    Ersetzen Sie "Full path to your .CER file" durch den vollständigen Pfad zu einem X.509-Zertifikat. Beispielsweise "C:\ ACS2ClientCertificate.cer".

    Ersetzen Sie "MyCertificatePassword" durch das Kennwort für das X.509-Zertifikat.

    Ersetzen Sie "MyRelyingPartyApplication" durch den Namen einer Anwendung der vertrauenden Seite.

    //Select a relying party application
    
                RelyingParty relyingParty = svc.RelyingParties.Where(m => m.Name == "MyRelyingPartyApplication").Single();
             
               // Add an encryption certificate
    
                X509Certificate2 cert = new X509Certificate2(@"Full path to your .CER file");
                DateTime startDate, endDate; 
                  startDate = cert.NotBefore;
                  endDate = cert.NotAfter;
    
                RelyingPartyKey relyingPartyKey = new RelyingPartyKey()
                {
                    Type = "X509Certificate",
                    Usage = "Encrypting",
                    Value = cert.GetRawCertData(),
                    StartDate = startDate.ToUniversalTime(),
                    EndDate = endDate.ToUniversalTime()
                };
             
                //Assign this encryption certificate to the selected relying party application 
    
                svc.AddRelatedObject(relyingParty, "RelyingPartyKeys", relyingPartyKey);
    
                   //Save your encryption certificate
    
                svc.SaveChanges(SaveChangesOptions.Batch);     
    
    

In diesem Beispiel fügen Sie ein X.509-Tokenentschlüsselungszertifikat hinzu, das Ihrem Namespace für die Zugriffssteuerung zugewiesen ist.

  1. Initialisieren Sie den Verwaltungsdienstclient, indem Sie der Methode Main in der Klasse Program den folgenden Code hinzufügen:

    ManagementService svc = CreateManagementServiceClient();
    
    
  2. Erstellen Sie eine Hilfsfunktion ReadBytesFromPfxFile, die Bytes aus dem X.509-Zertifikat liest, indem Sie der Klasse Program den folgenden Code hinzufügen:

    //Helper function to read bytes from your .pfx file
    
            public static byte[] ReadBytesFromPfxFile(string pfxFileName, string protectionPassword)
            {
                byte[] decryptionCertificate;
                using (FileStream stream = File.OpenRead(pfxFileName))
                {
                    using (BinaryReader br = new BinaryReader(stream))
                    {
                        decryptionCertificate = br.ReadBytes((int)stream.Length);
                    }
                }
                return decryptingCertificate;
            }
    
    
  3. Fügen Sie der Methode Main in der Klasse Program den folgenden Code hinzu, um ein X.509-Tokensignaturzertifikat hinzuzufügen:

    noteHinweis
    Ersetzen Sie "Full path to your .PFX file" im Code unten durch den gültigen vollständigen Pfad zu Ihrem X.509-Zertifikat.

    Ersetzen Sie "MyCertificatePassword" im Code unten durch das richtige Kennwort für Ihr X.509-Zertifikat.

    X509Certificate2 cert = new X509Certificate2(@"Full path to your .PFX file", “MyCertificatePassword”);
                
                DateTime startDate, endDate;
                startDate = cert.NotBefore.ToUniversalTime();
                endDate = cert.NotAfter.ToUniversalTime();
               string pfxFileName = @"Full path to your .PFX file";
                string pfxPassword = @"MyCertificatePassword";
                
    byte[] decryptionCertificate = ReadBytesFromPfxFile(pfxFileName, pfxPassword);
    
    ServiceKey serviceKey = new ServiceKey()
                {
                    Type = "X509Certificate",
                    Usage = "Encrypting",
                    Value = decryptionCertificate,
                      Password = Encoding.UTF8.GetBytes("MyCertificatePassword"),
                    StartDate = startDate.ToUniversalTime(),
                    EndDate = endDate.ToUniversalTime()
                };
                svc.AddToServiceKeys(serviceKey);
                svc.SaveChanges(SaveChangesOptions.Batch);
    
    

Siehe auch

Anzeigen: