Compartir a través de

Cómo: Configurar AD FS 2.0 como proveedor de identidades

  • Artículo

Actualizado: 19 de junio de 2015

Se aplica a: Azure

Se aplica a

  • Active Directory Access Control de Microsoft Azure (también conocido como Access Control Service o ACS)

  • Servicios de federación de Active Directory® 2.0

Resumen

En este procedimiento se describe cómo configurar como proveedor de identidades. La configuración como proveedor de identidades para la aplicación web de ASP.NET permitirá a los usuarios autenticarse en la aplicación web de ASP.NET iniciando sesión en su cuenta corporativa administrada por Active Directory.

Contenido

  • Objetivos

  • Información general

  • Resumen de pasos

  • Paso 1: Agregar AD FS 2.0 como proveedor de identidades en el Portal de administración de ACS

  • Paso 2: Agregar un certificado a ACS para descifrar tokens recibidos de AD FS 2.0 en el Portal de administración de ACS (opcional)

  • Paso 3: Agregar el espacio de nombres de Access Control como usuario de confianza en AD FS 2.0

  • Paso 4: Agregar reglas de notificación para el espacio de nombres de Access Control en AD FS 2.0

Objetivos

  • Configuración de la confianza entre ACS y .

  • Mejorar la seguridad del intermabio de tokens y metadatos.

Información general

La configuración como proveedor de identidades permite reutilizar las cuentas existentes administradas por Active Directory corporativo para la autenticación. Elimina la necesidad de crear mecanismos de sincronización de cuentas complejos o desarrollar código personalizado que realice las tareas de aceptar las credenciales de usuario final, validarlas en el almacén de credenciales y administrar las identidades. La integración de ACS y solo se realiza mediante la configuración; no se necesita código personalizado.

Resumen de pasos

  • Paso 1: Agregar AD FS 2.0 como proveedor de identidades en el Portal de administración de ACS

  • Paso 2: Agregar un certificado a ACS para descifrar tokens recibidos de AD FS 2.0 en el Portal de administración de ACS (opcional)

  • Paso 3: Agregar el espacio de nombres de Access Control como usuario de confianza en AD FS 2.0

  • Paso 4: Agregar reglas de notificación para el espacio de nombres de Access Control en AD FS 2.0

Paso 1: Agregar AD FS 2.0 como proveedor de identidades en el Portal de administración de ACS

Este paso se agrega como proveedor de identidades en el Portal de administración de ACS.

Para agregar AD FS 2.0 como proveedor de identidades en el espacio de nombres Access Control

  1. En la página principal del Portal de administración de ACS, haga clic en Proveedores de identidades.

  2. Haga clic en Agregar proveedor de identidades.

  3. Junto a Servicios de federación de Microsoft Active Directory 2.0, haga clic en Agregar.

  4. En el campo Nombre para mostrar, escriba un nombre para mostrar para este proveedor de identidades. Tenga en cuenta que este nombre aparecerá en el Portal de administración de ACS y, de forma predeterminada, en las páginas de inicio de sesión de las aplicaciones.

  5. En el campo Metadatos de WS-Federation , escriba la dirección URL en el documento de metadatos de la instancia o use la opción Archivo para cargar una copia local del documento de metadatos. Al usar una dirección URL, la ruta de acceso url al documento de metadatos se puede encontrar en la sección Service\Endpoints de la Consola de administración. En los dos pasos siguientes se traban las opciones de la página de inicio de sesión para sus aplicaciones de terceros de confianza, aunque son opcionales y pueden omitirse.

  6. Si desea editar el texto que se muestra para este proveedor de identidades en las páginas de inicio de sesión para sus aplicaciones, escriba el texto que desee en el campo Texto del vínculo de inicio de sesión.

  7. Si desea mostrar una imagen para este proveedor de identidades en las páginas de inicio de sesión para sus aplicaciones, escriba una dirección URL a un archivo de imagen en el campo Dirección URL de imagen. Lo ideal es que este archivo de imagen se hospede en un sitio de confianza (mediante HTTPS, si es posible, para evitar advertencias de seguridad del explorador) y debe tener permiso para mostrar esta imagen. Para obtener instrucciones adicionales sobre la configuración de la página de inicio de sesión, consulte ayuda sobre las páginas de inicio de sesión y la detección de dominios de inicio de sesión.

  8. Si desea pedir a los usuarios que inicien sesión con su dirección de correo electrónico en lugar de hacer clic en un vínculo, escriba los sufijos de dominio de correo electrónico que desea asociar a este proveedor de identidades en el campo Nombres de dominio de correo electrónico. Por ejemplo, si el proveedor de identidades hospeda cuentas de usuario cuyas direcciones de correo electrónico terminan con @contoso.com, escriba contoso.com. Use punto y coma para separar la lista de sufijos (por ejemplo, contoso.com; fabrikam.com). Para obtener instrucciones adicionales sobre la configuración de la página de inicio de sesión, consulte ayuda sobre las páginas de inicio de sesión y la detección de dominios de inicio de sesión.

  9. En el campo Aplicaciones del usuario de confianza, seleccione todas las aplicaciones del usuario de confianza existentes que puede asociar con este proveedor de identidades. Esto hace que el proveedor de identidades aparezca en la página de inicio de sesión de la aplicación y permite la entrega de notificaciones del proveedor de identidades en la aplicación. Tenga en cuenta que las reglas todavía deben agregarse al grupo de reglas de la aplicación que definen las notificaciones para entregar.

  10. Haga clic en Save(Guardar).

Paso 2: Agregar un certificado a ACS para descifrar tokens recibidos de AD FS 2.0 en el Portal de administración de ACS (opcional)

Este paso agrega y configura un certificado para descifrar tokens que se reciben de . Se trata de un paso opcional que le ayuda a reforzar la seguridad. En particular, ayuda a proteger el contenido del token para que no se pueda ver ni alterar.

Para agregar un certificado al espacio de nombres Access Control para descifrar los tokens recibidos de AD FS 2.0 (opcional)

  2. Si no se ha autenticado con Windows Live ID (cuenta Microsoft), deberá hacerlo.

  3. Después de autenticarse con su Windows Live ID (cuenta Microsoft), se le redirigirá a la página Mis proyectos en el portal de Microsoft Azure.

  4. Haga clic en el nombre del proyecto deseado en la página Mi proyecto.

  5. En la página Project:<<nombre del proyecto>>, haga clic en el vínculo Access Control situado junto al espacio de nombres deseado.

  6. En la página Access Control Configuración: <<el espacio de nombres>>, haga clic en el vínculo Administrar Access Control.

  7. En la página principal del Portal de administración de ACS, haga clic en Certificados y claves.

  8. Haga clic en Agregar certificado de descifrado de tokens.

  9. En el campo Nombre, escriba un nombre para mostrar para el certificado.

  10. En el campo Certificado, busque el certificado X.509 con una clave privada (archivo .pfx) para este espacio de nombres de Access Control y escriba la contraseña del archivo .pfx en el campo Contraseña. Si no tiene un certificado, siga las instrucciones en pantalla para generar uno o consulte la ayuda sobre certificados y claves para obtener instrucciones adicionales sobre cómo obtener un certificado.

  11. Haga clic en Save(Guardar).

Paso 3: Agregar el espacio de nombres de Access Control como usuario de confianza en AD FS 2.0

Este paso ayuda a configurar ACS como usuario de confianza en .

Para agregar el espacio de nombres de Access Control como usuario de confianza en AD FS 2.0

  1. En la consola de administración, haga clic en AD FS 2.0 y, a continuación, en el panel Acciones , haga clic en Agregar confianza de usuario autenticado para iniciar el Asistente para agregar confianza de usuario autenticado.

  2. En la página principal, haz clic en Iniciar.

  3. En la página Seleccionar origen de datos, haga clic en Importar datos sobre el usuario de confianza publicado en línea o en una red local, escriba el nombre del espacio de nombres de Access Control y, a continuación, haga clic en Siguiente.

  4. En la página Especificar nombre para mostrar, escriba un nombre para mostrar y, a continuación, haga clic en Siguiente.

  5. En la página Elegir reglas de autorización de emisión, haga clic en Permitir que todos los usuarios tengan acceso a este usuario de confianza y, a continuación, haga clic en Siguiente.

  6. En la página Listo para agregar confianza, revise la configuración de la relación de confianza para usuario autenticado y, a continuación, haga clic en Siguiente para guardar la configuración.

  7. En la página Finalizar, haga clic en Cerrar para salir del asistente. También se abre la página de propiedades Editar reglas de notificación para la aplicación de ejemplo de WIF. Deje este cuadro de diálogo abierto y, a continuación, vaya al procedimiento siguiente.

Paso 4: Agregar reglas de notificación para el espacio de nombres de Access Control en AD FS 2.0

Este paso configura reglas de notificaciones en . De este modo, se asegura de que las notificaciones deseadas se pasan de a ACS.

Para agregar reglas de notificación para el espacio de nombres Access Control en AD FS 2.0

  1. En la página de propiedades Editar reglas de notificación, en la pestaña Reglas de transformación de emisiones, haga clic en Agregar regla para iniciar el asistente para agregar reglas de notificación de transformaciones.

  2. En la página Seleccionar plantillas de regla, en Plantilla de regla de notificación, haga clic en el menú Pasar por o filtrar una notificación entrante en el menú y, a continuación, haga clic en Siguiente.

  3. En la página Configurar regla, en Nombre de la regla de notificación, escriba un nombre para mostrar para la regla.

  4. En la lista desplegable Tipo de notificación entrante, seleccione el tipo de notificación de identidad que desea pasar a la aplicación y, a continuación, haga clic en Finalizar.

  5. Haga clic en Aceptar para cerrar la página de propiedades y guardar los cambios de la relación de confianza para usuario autenticado.

  6. Repita los pasos del 1 al 5 para cada notificación que quiera emitir desde a su espacio de nombres de Access Control.

  7. Haga clic en OK.