Esta documentación está archivada y no tiene mantenimiento.

Procedimiento: Configurar AD FS 2.0 como proveedor de identidad

Publicada: abril de 2011

Actualizado: junio de 2015

Se aplica a: Azure

  • Active Directory Access Control de Microsoft Azure (también conocido como Access Control Service o ACS)

  • Servicios de federación de Active Directory® 2.0

En este procedimiento se describe cómo configurar como proveedor de identidades. La configuración de como proveedor de identidades para su aplicación web ASP.NET permitirá a los usuarios autenticarse en su aplicación web ASP.NET mediante el inicio de sesión en la cuenta corporativa administrada por Active Directory.

  • Objetivos

  • Introducción

  • Resumen de pasos

  • Paso 1: Agregar AD FS 2.0 como proveedor de identidades en el Portal de administración de ACS

  • Paso 2: Agregar un certificado a ACS para descifrar tokens recibidos de AD FS 2.0 en el Portal de administración de ACS (opcional)

  • Paso 3: Agregar el Espacio de nombres Access Control como usuario de confianza de AD FS 2.0

  • Paso 4: Agregar reglas de notificación para el Espacio de nombres Access Control en AD FS 2.0

  • Configurar la confianza entre ACS y .

  • Mejorar la seguridad del intermabio de tokens y metadatos.

La configuración de como proveedor de identidades permite reutilizar las cuentas existentes administradas por Active Directory corporativo para la autenticación. Elimina la necesidad de crear mecanismos de sincronización de cuentas complejos o desarrollar código personalizado que realice las tareas de aceptar las credenciales de usuario final, validarlas en el almacén de credenciales y administrar las identidades. La integración de ACS y se realiza únicamente con la configuración, no es necesario ningún código personalizado.

  • Paso 1: Agregar AD FS 2.0 como proveedor de identidades en el Portal de administración de ACS

  • Paso 2: Agregar un certificado a ACS para descifrar tokens recibidos de AD FS 2.0 en el Portal de administración de ACS (opcional)

  • Paso 3: Agregar el Espacio de nombres Access Control como usuario de confianza de AD FS 2.0

  • Paso 4: Agregar reglas de notificación para el Espacio de nombres Access Control en AD FS 2.0

Este paso agrega como proveedor de identidades en el Portal de administración de ACS.

  1. En la página principal del Portal de administración de ACS, haga clic en Proveedores de identidades.

  2. Haga clic en Agregar proveedor de identidades.

  3. Junto a Servicios de federación de Microsoft Active Directory 2.0, haga clic en Agregar.

  4. En el campo Nombre para mostrar, escriba un nombre para mostrar para este proveedor de identidades. Tenga en cuenta que este nombre aparecerá en el Portal de administración de ACS y, de forma predeterminada, en las páginas de inicio de sesión de las aplicaciones.

  5. En el campo Metadatos de WS-Federation, escriba la dirección URL para el documento de metadatos para la instancia de o utilice la opción Archivo para cargar una copia local del documento de metadatos. Cuando se utiliza una dirección URL, la ruta de acceso de la dirección URL para el documento de metadatos puede encontrarse en la sección Servicio\Extremos de la Consola de administración de . En los dos pasos siguientes se traban las opciones de la página de inicio de sesión para sus aplicaciones de terceros de confianza, aunque son opcionales y pueden omitirse.

  6. Si desea editar el texto que se muestra para este proveedor de identidades en las páginas de inicio de sesión para sus aplicaciones, escriba el texto que desee en el campo Texto del vínculo de inicio de sesión.

  7. Si desea mostrar una imagen para este proveedor de identidades en las páginas de inicio de sesión para sus aplicaciones, escriba una dirección URL a un archivo de imagen en el campo Dirección URL de imagen. Idealmente, este archivo de imagen debe hospedarse en un sitio de confianza (mediante HTTPS, si es posible, para evitar advertencias de seguridad del explorador) y debe tener el permiso de su asociado de para mostrar esta imagen. Consulte la Ayuda sobre las Páginas de inicio de sesión y detección del dominio de inicio para obtener instrucciones adicionales sobre la configuración de la página de inicio de sesión.

  8. Si desea pedir a los usuarios que inicien sesión con su dirección de correo electrónico en lugar de hacer clic en un vínculo, escriba los sufijos de dominio de correo electrónico que desea asociar a este proveedor de identidades en el campo Nombres de dominio de correo electrónico. Por ejemplo, si el proveedor de identidades hospeda cuentas de usuario cuyas direcciones de correo electrónico terminan en @contoso.com, escriba contoso.com. Utilice punto y coma para separar la lista de sufijos (por ejemplo, contoso.com; fabrikam.com). Consulte la Ayuda sobre las Páginas de inicio de sesión y detección del dominio de inicio para obtener instrucciones adicionales sobre la configuración de la página de inicio de sesión.

  9. En el campo Aplicaciones del usuario de confianza, seleccione todas las aplicaciones del usuario de confianza existentes que puede asociar con este proveedor de identidades. Esto hace que el proveedor de identidades aparezca en la página de inicio de sesión de la aplicación y permite la entrega de notificaciones del proveedor de identidades en la aplicación. Tenga en cuenta que las reglas todavía deben agregarse al grupo de reglas de la aplicación que definen las notificaciones para entregar.

  10. Haga clic en Guardar.

Este paso agrega y configura un certificado para descifrar tokens que se reciben de . Se trata de un paso opcional que le ayuda a reforzar la seguridad. Específicamente, ayuda a proteger el contenido del token para que no se pueda ver ni alterar.

  1. Si no se ha autenticado con Windows Live ID (cuenta de Microsoft), se le pedirá que lo haga.

  2. Tras autenticarse con su Windows Live ID (cuenta de Microsoft), se le redirigirá a la página Mis proyectos del portal de Microsoft Azure.

  3. Haga clic en el nombre del proyecto deseado en la página Mi proyecto.

  4. En la página Proyecto:<<nombre del proyecto>>, haga clic en el vínculo Control de acceso que se encuentra junto al espacio de nombres deseado.

  5. En la página Configuración del control de acceso: <<el espacio de nombres>>, haga clic en el vínculo Administrar control de acceso.

  6. En la página principal del Portal de administración de ACS, haga clic en Certificados y claves.

  7. Haga clic en Agregar certificado de descifrado de tokens.

  8. En el campo Nombre, escriba un nombre para mostrar para el certificado.

  9. En el campo Certificado, busque el certificado X.509 con una clave privada (archivo .pfx) para este Espacio de nombres Access Control y, a continuación, escriba la contraseña para el archivo .pfx en el campo Contraseña. Si no tiene un certificado, siga las instrucciones en pantalla para generar uno, o consulte la Ayuda sobre Certificados y claves para obtener orientación adicional acerca de cómo obtener un certificado.

  10. Haga clic en Guardar.

Este paso ayuda a configurar ACS como un usuario de confianza en .

  1. En la Consola de administración de , haga clic en AD FS 2.0 y, a continuación, en el panel Acciones, haga clic en Agregar relación de confianza para usuario autenticado para iniciar el asistente para agregar relaciones de confianza para usuario autenticado.

  2. En la página de bienvenida, haga clic en Inicio.

  3. En la página Seleccionar origen de datos, haga clic en Importar datos sobre el usuario de confianza publicados en línea o en una red local, escriba el nombre del Espacio de nombres Access Control y, a continuación, haga clic en Siguiente.

  4. En la página Especificar nombre para mostrar, escriba un nombre para mostrar y, a continuación, haga clic en Siguiente.

  5. En la página Elegir reglas de autorización de emisión, haga clic en Permitir que todos los usuarios tengan acceso a este usuario de confianza y, a continuación, haga clic en Siguiente.

  6. En la página Listo para agregar confianza, revise la configuración de la relación de confianza para usuario autenticado y, a continuación, haga clic en Siguiente para guardar la configuración.

  7. En la página Finalizar, haga clic en Cerrar para salir del asistente. También se abre la página de propiedades Editar reglas de notificación para la aplicación de ejemplo de WIF. Deje este cuadro de diálogo abierto y, a continuación, vaya al procedimiento siguiente.

Este paso configura reglas de notificaciones en . De este modo, se asegura de que se pasan las notificaciones deseadas de a ACS.

  1. En la página de propiedades Editar reglas de notificación, en la pestaña Reglas de transformación de emisiones, haga clic en Agregar regla para iniciar el asistente para agregar reglas de notificación de transformaciones.

  2. En la página Seleccionar plantillas de regla, en Plantilla de regla de notificación, haga clic en el menú Pasar por o filtrar una notificación entrante en el menú y, a continuación, haga clic en Siguiente.

  3. En la página Configurar regla, en Nombre de la regla de notificación, escriba un nombre para mostrar para la regla.

  4. En la lista desplegable Tipo de notificación entrante, seleccione el tipo de notificación de identidad que desea pasar a la aplicación y, a continuación, haga clic en Finalizar.

  5. Haga clic en Aceptar para cerrar la página de propiedades y guardar los cambios de la relación de confianza para usuario autenticado.

  6. Repita los pasos del 1 al 5 para cada notificación que desea emitir desde al Espacio de nombres Access Control.

  7. Haga clic en Aceptar.

Mostrar: