Esta documentación está archivada y no tiene mantenimiento.

Procedimiento: Configurar la confianza entre ACS y las aplicaciones web de ASP.NET mediante certificados X.509

Publicada: abril de 2011

Actualizado: junio de 2015

Se aplica a: Azure

  • Active Directory Access Control de Microsoft Azure (también conocido como Access Control Service o ACS)

  • ASP.NET

En este tema se describe cómo configurar la confianza entre su aplicación y ACS. La confianza se establece mediante la firma de los tokens que se intercambian entre la aplicación web ASP.NET y ACS.

  • Objetivos

  • Introducción

  • Resumen de pasos

  • Paso 1: vaya a la sección certificados de firma de tokens

  • Paso 2: configure la confianza mediante certificados X.509

  • Paso 3: revise los atributos relacionadas con la confianza en el archivo web.config y el Portal de administración de ACS

  • Familiarícese con la sección de administración de confianza en el Portal de administración de ACS.

  • Administre la confianza mediante certificados X.509.

  • Compruebe la configuración necesaria en el archivo web.config y en el Portal de administración.

Se necesita establecer la confianza para intercambiar correctamente los tokens entre su aplicación y ACS. La confianza garantiza que los tokens no se han modificado en tránsito y que han sido emitidos por una entidad de confianza. Para las aplicaciones web ASP.NET, la confianza se administra mediante certificados X.509 y se basa en la configuración del Portal de administración de ACS y la configuración de web.config.

Para establecer y administrar la confianza entre una aplicación web ASP.NET y ACS, siga estos pasos:

  • Paso 1: vaya a la sección certificados de firma de tokens

  • Paso 2: configure la confianza mediante certificados X.509

  • Paso 3: revise los atributos relacionadas con la confianza en el archivo web.config y el Portal de administración de ACS

En este paso se muestra cómo navegar hasta la sección de administración de confianza del Portal de administración de ACS.

  1. Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y haga clic en Active Directory. (Sugerencia para solución de problemas: falta el elemento "Active Directory" o no está disponible)

  2. Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)

  3. En el portal de ACS portal, haga clic en Aplicaciones de usuario de confianza.

  4. Haga clic en una aplicación de usuario de confianza.

  5. En la página Editar aplicaciones de usuario de confianza, desplácese hacia abajo hasta la sección Certificados de firma de tokens.

  6. Seleccione un certificado.

Este paso muestra cómo configurar y administrar la confianza entre ACS y una aplicación web ASP.NET mediante un certificado X.509. Utilice una credencial de firma de certificado X.509 si usa Windows ® Identity Foundation (WIF) en su aplicación de usuario de confianza.

  1. Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y haga clic en Active Directory. (Sugerencia para solución de problemas: falta el elemento "Active Directory" o no está disponible)

  2. Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)

  3. Haga clic en Certificados y claves y seleccione un certificado X.509.

  4. En la página Editar clave o certificado de firma de tokens, proporcione los valores siguientes:

    • Nombre: El nombre que prefiera.

    • Tipo: Certificado X.509.

    • Certificado: Para utilizar el certificado que ACS crea de forma predeterminada, no se requiere ninguna acción. También puede cargar su propio certificado X.509.

      El certificado debe estar protegido mediante contraseña. Normalmente tiene la extensión .pfx al cargar su propio certificado X.509. Proporcione la contraseña del archivo pfx en el cuadro de texto Contraseña

    • Password: Si utiliza el certificado predeterminado, no es necesario realizar ninguna acción. Si desea cargar un certificado, el certificado debe estar protegido por contraseña. Introduzca la contraseña del archivo .pfx en el cuadro de texto Contraseña.

  5. Haga clic en Guardar.

Hay varias maneras de obtener un certificado X.509 para el cifrado o la firma de tokens. El método utilizado dependerá de los requisitos y de las herramientas disponibles en su organización.

Entidad de certificación local

Si su organización ha implementado una entidad de certificación (CA), como los Servicios de certificados de Active Directory (AD CS), puede solicitar un certificado X.509. Quizá deba ponerse en contacto con su administrador de entidades de certificación para obtener más instrucciones o permisos. Para obtener más información sobre los Servicios de certificados de Active Directory, consulte Servicios de certificados de Active Directory (http://go.microsoft.com/fwlink/?linkid=208371).

Entidad de certificación comercial

Puede adquirir un certificado X.509 de una entidad de certificación comercial, como Verisign. Puesto que esta es una versión de laboratorios, se recomienda que use su entidad de certificación local (si está disponible) o que genere un certificado autofirmado (vea más abajo).

Generación de un certificado autofirmado

Puede utilizar software para generar su propio certificado autofirmado para utilizarlo con ACS. Aunque normalmente este procedimiento solo se recomienda para fines de prueba, cualquier persona sin acceso a una CA local o que no desea pagar a una CA comercial puede llevar a cabo este proceso. Si está ejecutando Windows, puede descargar MakeCert.exe como parte de la Windows SDK (http://go.microsoft.com/fwlink/?linkid=84091) y usarlo para generar un certificado.

Exportación de un certificado autofirmado

Para obtener instrucciones sobre cómo exportar un certificado autofirmado, consulte Certificados y claves.

En este paso se muestra cómo validar los atributos de configuración relacionados con la confianza en el web.config de su aplicación web de ASP.NET.

  1. Abra el archivo web.config de su aplicación web de ASP.NET.

  2. Navegue hasta el nodo audiencesUris y compruebe que el valor de su nodo hijo add es el mismo valor especificado en el campo de propiedad Dominio kerberos de la página Editar usuario de confianza del Portal de administración de ACS.

    1. Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y haga clic en Active Directory. (Sugerencia para solución de problemas: falta el elemento "Active Directory" o no está disponible)

    2. Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)

    3. Haga clic en Relying party applications.

    4. En la página Aplicaciones de usuarios de confianza, haga clic en la aplicación deseada.

    5. En la página Editar aplicación de usuarios de confianza, revise el atributo Dominio kerberos.

Vea también

Mostrar: