Cette page vous a-t-elle été utile ?
Votre avis sur ce contenu est important. N'hésitez pas à nous faire part de vos commentaires.
Vous avez d'autres commentaires ?
1500 caractères restants
MSDN Library

Configuration d'AD FS 2.0 en tant que fournisseur d'identité

Publication: avril 2011

Mis à jour: juin 2015

S'applique à: Azure

  • Microsoft Azure Active Directory Access Control (également appelé Access Control Service ou ACS)

  • Services ADFS (Active Directory® Federation Services)

Cette procédure décrit comment configurer en tant que fournisseur d'identité. En configurant comme fournisseur d'identité pour votre application web ASP.NET, vous permettez à vos utilisateurs de s'authentifier auprès de celle-ci en se connectant à leur compte d'entreprise géré par Active Directory.

  • Objectifs

  • Vue d'ensemble

  • Résumé des étapes

  • Étape 1 : ajouter AD FS 2.0 en tant que fournisseur d'identité dans le portail de gestion du service de contrôle d'accès (ACS)

  • Étape 2 : ajouter un certificat à ACS pour le déchiffrement des jetons reçus d'AD FS 2.0 dans le portail de gestion ACS (facultatif)

  • Étape 3 : ajouter votre espace de noms Access Control en tant que partie de confiance dans AD FS 2.0

  • Étape 4 : ajouter des règles de revendication pour l'espace de noms Access Control dans AD FS 2.0

  • Configurer l'approbation entre ACS et

  • Améliorer la sécurité de l'échange de jetons et de métadonnées

La configuration d' en tant que fournisseur d'identité permet de réutiliser des comptes existants gérés par l'annuaire Active Directory d'entreprise à des fins d'authentification. Elle élimine la nécessité de créer des mécanismes complexes de synchronisation des comptes, ou de développer un code personnalisé qui exécute les tâches d'acceptation des informations d'identification des utilisateurs finaux, de validation de ces informations par rapport à la banque d'informations d'identification, et de gestion des identités. L'intégration d'ACS et d' s'effectue uniquement via une configuration. Aucun code personnalisé n'est nécessaire.

  • Étape 1 : ajouter AD FS 2.0 en tant que fournisseur d'identité dans le portail de gestion du service de contrôle d'accès (ACS)

  • Étape 2 : ajouter un certificat à ACS pour le déchiffrement des jetons reçus d'AD FS 2.0 dans le portail de gestion ACS (facultatif)

  • Étape 3 : ajouter votre espace de noms Access Control en tant que partie de confiance dans AD FS 2.0

  • Étape 4 : ajouter des règles de revendication pour l'espace de noms Access Control dans AD FS 2.0

Cette étape ajoute en tant que fournisseur d'identité dans le portail de gestion ACS.

  1. Dans la page principale du portail de gestion ACS, cliquez sur Fournisseurs d'identité.

  2. Cliquez sur Ajouter un fournisseur d'identité.

  3. En regard de Microsoft Active Directory Federation Services 2.0, cliquez sur Ajouter.

  4. Dans le champ Nom d'affichage, entrez un nom pour ce fournisseur d'identité. Notez que ce nom apparaît dans le portail de gestion ACS et, par défaut, sur les pages de connexion à vos applications.

  5. Dans le champ Métadonnées WS-Federation, entrez l'URL du document de métadonnées pour votre instance , ou utilisez l'option Fichier pour télécharger une copie locale du document de métadonnées. Si vous utilisez une URL, le chemin d'accès à celle du document de métadonnées figure dans la section Service\Points de terminaison de la Console de gestion . Les deux étapes suivantes ont trait aux options de la page de connexion pour vos applications par partie de confiance. Elles sont facultatives et peuvent être ignorées.

  6. Si vous souhaitez éditer le texte affiché pour ce fournisseur d'identité dans les pages de connexion pour vos applications, entrez le texte souhaité dans le champ Texte du lien de connexion.

  7. Si vous souhaitez afficher une image de ce fournisseur d'identité dans les pages de connexion pour vos applications, entrez l'URL d'un fichier image dans le champ URL de l'Image. Idéalement, ce fichier image doit être hébergé sur un site de confiance (utilisant, si possible, le protocole HTTPS afin d'éviter l'affichage d'avertissements de sécurité dans le navigateur), et votre partenaire doit vous avoir autorisé à afficher cette image. Pour obtenir des instructions supplémentaires concernant les paramètres de la page de connexion, consultez l'aide de la rubrique Pages de connexion et découverte d'accueil de domaine.

  8. Si vous souhaitez inviter des utilisateurs à se connecter à l'aide de leur adresse de messagerie plutôt qu'en cliquant sur un lien, entrez les suffixes de domaine de messagerie que vous voulez associer à ce fournisseur d'identité dans le champ Nom(s) de domaine de messagerie. Par exemple, si le fournisseur d'identité héberge des comptes d'utilisateurs dont l'adresse de messagerie se termine par @contoso.com, entrez contoso.com. Utilisez des points-virgules pour séparer les suffixes dans la liste (par exemple, contoso.com; fabrikam.com). Pour obtenir des instructions supplémentaires concernant les paramètres de la page de connexion, consultez l'aide de la rubrique Pages de connexion et découverte d'accueil de domaine.

  9. Dans le champ Applications par partie de confiance, sélectionnez toutes les applications par partie de confiance existantes, que vous souhaitez associer à ce fournisseur d'identité. Cela a pour effet d'afficher le fournisseur d'identité dans la page de connexion pour ces applications, et de permettre la remise de revendications du fournisseur d'identité à l'application. Notez qu'il faut encore ajouter au groupe de règles de l'application, des règles qui définissent les revendications à remettre.

  10. Cliquez sur Enregistrer.

Cette étape ajoute et configure un certificat pour le déchiffrement des jetons reçus d'. Il s'agit d'une étape facultative permettant de renforcer la sécurité. Elle permet en particulier de protéger le contenu du jeton contre l'affichage et la falsification.

  1. Si vous ne vous êtes pas authentifié à l'aide d'un Windows Live ID (compte Microsoft), vous devez le faire.

  2. Une fois authentifié avec votre Windows Live ID (compte Microsoft), vous êtes redirigé vers la page Mes projets du portail Microsoft Azure.

  3. Dans la page Mes projets, cliquez sur le nom de projet souhaité.

  4. Dans la page Projet :<<nom de votre projet>>, cliquez sur le lien Contrôle d'accès en regard de l'espace de noms souhaité.

  5. Dans la page Paramètres de contrôle d'accès :<<votre espace de noms>>, cliquez sur le lien Gérer le contrôle d'accès.

  6. Dans la page principale du portail de gestion ACS, cliquez sur Certificats et clés.

  7. Cliquez sur Ajouter un certificat de déchiffrement de jeton.

  8. Dans le champ Nom, entrez un nom d'affichage pour le certificat.

  9. Dans le champ Certificat, accédez au certificat X.509 avec une clé privée (fichier .pfx) pour cet espace de noms Access Control, puis, dans le champ Mot de passe, entrez le mot de passe du fichier .pfx. Si vous n'avez pas de certificat, suivez les instructions affichées à l'écran pour en générer un, ou consultez l'aide sur les Certificats et clés pour obtenir des instructions supplémentaires concernant l'obtention d'un certificat.

  10. Cliquez sur Enregistrer.

Cette étape permet de configurer ACS en tant que partie de confiance dans .

  1. Dans la Console de gestion , cliquez sur AD FS 2.0, puis, dans le volet Actions, cliquez sur Ajouter l'approbation de la partie de confiance pour démarrer l'Assistant Ajout d'une partie de confiance.

  2. Dans la page Bienvenue, cliquez sur Démarrer.

  3. Dans la page Sélectionner la source de données, cliquez sur Importer les données relatives à la partie de confiance publiées en ligne ou sur un réseau local, tapez le nom de votre espace de noms Access Control, puis cliquez sur Suivant.

  4. Dans la page Spécifier le nom d'affichage, entrez un nom d'affichage, puis cliquez sur Suivant.

  5. Dans la page Choisir les règles d'autorisation d'émission, cliquez sur Autoriser tous les utilisateurs à accéder à cette partie de confiance, puis sur Suivant.

  6. Dans la page Prêt pour ajouter l'approbation, passez en revue les paramètres d'approbation de la partie de confiance, puis cliquez sur Suivant pour enregistrer la configuration.

  7. Dans la page Terminer, cliquez sur Fermer pour quitter l'Assistant. Cela a pour effet d'ouvrir également la page de propriétés Modifier les règles de revendication pour l'exemple d'application WIF. Laissez cette boîte de dialogue ouverte, puis passez à la procédure suivante.

Cette étape configure des règles de revendication dans . Elle vous permet de vous assurer que les revendications souhaitées sont transférées d' à ACS.

  1. Dans la page de propriétés Modifier les règles de revendication, sous l'onglet Règles de transformation d'émission, cliquez sur Ajouter une règle pour démarrer l'Assistant Ajout d'une règle de revendication de transformation.

  2. Dans la page Sélectionner un modèle de règle, sous l'onglet Modèle de règle de revendication, dans le menu, cliquez sur Transférer ou filtrer une revendication entrante, puis sur Suivant.

  3. Dans la page Configurer une règle, dans Nom de la règle de revendication, tapez un nom d'affichage pour la règle.

  4. Dans la liste déroulante Type de revendication entrante, sélectionnez le type de revendication d'identifié à transférer à l'application, puis cliquez sur Terminer.

  5. Cliquez sur OK pour fermer la page de propriétés et enregistrer les modifications apportées à l'approbation de la partie de confiance.

  6. Répétez les étapes 1 à 5 pour chaque revendication à émettre d' vers votre espace de noms Access Control.

  7. Cliquez sur OK.

Ajouts de la communauté

Afficher:
© 2015 Microsoft