Création de ma première application ASP.NET prenant en charge les revendications avec ACS
Mise à jour : 19 juin 2015
S’applique à : Azure
Important
Les espaces de noms ACS peuvent migrer leurs configurations de fournisseur d'identité Google d'OpenID 2.0 vers OpenID Connect. La migration doit être terminée avant le 1er juin 2015. Pour obtenir des instructions détaillées, consultez Migration d’espaces de noms ACS vers Google OpenID Connecter. Tant que vous n'avez pas effectué la migration, vous pouvez suivre ce didacticiel en utilisant un autre fournisseur d'identité, tel que Facebook.
S'applique à
- Microsoft Azure Active Directory Access Control (également appelé Access Control Service ou ACS)
Vue d’ensemble
Cette rubrique décrit le scénario d’intégration d’ACS à une application de partie de confiance ASP.NET. En intégrant votre application web à ACS, vous factorisez les fonctionnalités de l’authentification et de l’autorisation hors de votre code. En d’autres termes, ACS fournit le mécanisme d’authentification et d’autorisation des utilisateurs à votre application web.
Dans ce scénario de pratique, ACS authentifie les utilisateurs avec une identité Google dans un test ASP.NET application de partie de confiance.
Procédure d'intégration d'ACS à une application de partie de confiance ASP.NET
Important
Avant d’effectuer les étapes suivantes, assurez-vous que votre système répond à toutes les exigences du .NET Framework et de la plateforme qui sont résumées dans les prérequis ACS.
Pour intégrer ACS à une application de partie de confiance ASP.NET, procédez comme suit :
Étape 1 : création d'un espace de noms Access Control
Étape 2 : lancement du portail de gestion ACS
Étape 3 : ajout de fournisseurs d'identité
Étape 4 – Ajouter une application de partie de confiance
Étape 5 - Créer des règles
Étape 6 : vérification des informations sur l'intégration des applications
Étape 7 : création d'une application de partie de confiance ASP.NET
Étape 8 : configuration de l'approbation entre ACS et votre application de partie de confiance ASP.NET
Étape 9 : test de l'intégration entre ACS et votre application de partie de confiance ASP.NET
Étape 1 : création d'un espace de noms Access Control
Pour obtenir des instructions détaillées sur la création d’un espace de noms Access Control, consultez Guide pratique pour créer un espace de noms Access Control.
Étape 2 : lancement du portail de gestion ACS
Le portail de gestion ACS vous permet de configurer votre espace de noms Access Control en ajoutant des fournisseurs d’identité, en configurant des applications de partie de confiance, en définissant des règles et des groupes de règles et en établissant les informations d’identification approuvées par votre application de partie de confiance.
Pour démarrer le portail de gestion ACS
Accédez au portail de gestion Microsoft Azure (https://manage.WindowsAzure.com), connectez-vous, puis cliquez sur Active Directory. (Conseil de résolution des problèmes : l’élément « Active Directory » est manquant ou non disponible)
Pour gérer un espace de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer. (Ou cliquez sur Espaces de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer.)
Étape 3 : ajout de fournisseurs d'identité
Cette section décrit comment ajouter des fournisseurs d'identité à utiliser avec votre application de partie de confiance en vue de l'authentification. Pour plus d’informations sur les fournisseurs d’identité, consultez Fournisseurs d’identité.
Pour ajouter des fournisseurs d'identité
Dans le portail de gestion ACS, cliquez sur Fournisseurs d’identité dans l’arborescence sur le côté gauche ou cliquez sur le lien Fournisseurs d’identité sous la section Prise en main.
Dans la page Fournisseurs d'identité, cliquez sur Ajouter, sélectionnez Google en tant que fournisseur d'identité, puis cliquez sur Suivant.
La page Ajouter le fournisseur d'identité Google vous invite à entrer le texte du lien de connexion (la valeur par défaut est Google) et une URL d'image. Cette URL pointe vers un fichier d'image pouvant être utilisée comme lien de connexion pour ce fournisseur d'identité. La modification de ces champs est facultative. Dans cet exercice, ne les modifiez pas, cliquez sur Enregistrer.
Étape 4 – Ajouter une application de partie de confiance
Cette section décrit comment ajouter et configurer une application de partie de confiance. Pour plus d’informations sur les applications de partie de confiance, consultez Applications de partie de confiance.
Pour configurer une application de partie de confiance
Dans le portail de gestion ACS, cliquez sur Applications de partie de confiance dans l’arborescence sur le côté gauche ou cliquez sur le lien Applications de partie de confiance sous la section Prise en main.
Dans la page Applications de partie de confiance, cliquez sur Ajouter.
Dans la page Ajouter une application de partie de confiance, procédez comme suit :
Dans la zone Nom, entrez le nom de l'application de partie de confiance. Dans cet exercice, entrez TestApp
Dans la zone Mode, sélectionnez Entrer les paramètres manuellement.
Dans Le domaine, tapez l’URI auquel le jeton de sécurité émis par ACS s’applique. Pour cet exercice, tapez https://localhost:7777/.
Dans l’URL de retour, tapez l’URL vers laquelle ACS retourne le jeton de sécurité. Pour cet exercice, tapez https://localhost:7777/.
Dans l’URL d’erreur (facultatif) , entrez l’URL à laquelle ACS peut publier si une erreur se produit lors de la connexion. Pour cet exercice, laissez ce champ vide.
Au format jeton, sélectionnez un format de jeton pour ACS à utiliser lors de l’émission de jetons de sécurité à cette application de partie de confiance. Dans cet exercice, sélectionnez SAML 2.0. Pour plus d’informations sur les jetons et les formats de jeton, consultez Formats de jeton pris en charge dans ACS et « Format de jeton » dans les applications de partie de confiance.
Dans la stratégie de chiffrement de jeton, sélectionnez une stratégie de chiffrement pour les jetons émis par ACS pour cette application de partie de confiance. Dans cet exercice, acceptez la valeur par défaut Aucune. Pour plus d’informations sur la stratégie de chiffrement de jeton, consultez « Stratégie de chiffrement de jeton » dans les applications de partie de confiance.
Dans la zone Durée de vie des jetons (en secondes), spécifiez la durée de validité d'un jeton de sécurité émis par ACS. Dans cet exercice, acceptez la valeur par défaut 600. Pour plus d’informations, consultez « Durée de vie des jetons » dans les applications de partie de confiance.
Dans la zone Fournisseurs d'identité, sélectionnez les fournisseurs d'identité à utiliser avec cette application de partie de confiance. Pour cet exercice, acceptez les valeurs par défaut vérifiées (Google et Windows LIVE ID).
Dans la zone Groupes de règles, sélectionnez les groupes de règles utilisés par cette application de partie de confiance lors du traitement des revendications. Dans cet exercice, acceptez l'option sélectionnée par défaut Créer un groupe de règles. Pour plus d’informations sur les groupes de règles, consultez Groupes de règles et règles.
Dans la section Signature de jetons Paramètres, sélectionnez s’il faut signer des jetons SAML avec le certificat de l’espace de noms Access Control ou avec un certificat personnalisé spécifique à cette application. Dans cet exercice, acceptez la valeur par défaut Utiliser le certificat de l'espace de noms de service (standard). Pour plus d’informations sur la signature de jeton, consultez « Signature de jeton » dans les applications de partie de confiance.
Cliquez sur Enregistrer.
Étape 5 - Créer des règles
Cette section décrit comment définir des règles déterminant la façon dont les revendications sont transmises entre les fournisseurs d'identité à votre application de partie de confiance. Pour plus d’informations sur les règles et les groupes de règles, consultez Groupes de règles et règles.
Pour créer des règles
Dans la page d’accueil du portail d’administration ACS, cliquez sur Groupes de règles dans l’arborescence du côté gauche ou cliquez sur le lien Groupes de règles sous la section Prise en main.
Dans la page Groupes de règles, cliquez sur Groupe de règles par défaut pour TestApp (car vous avez nommé votre application de partie de confiance TestApp).
Dans la page Modifier le groupe de règles, cliquez sur Générer.
Dans la page Générer des règles : groupe de règles par défaut pour TestApp, acceptez les fournisseurs d’identité sélectionnés par défaut (dans cet exercice, Google et Windows ID en direct), puis cliquez sur le bouton Générer.
Dans la page Modifier le groupe de règles, cliquez sur Enregistrer.
Étape 6 : vérification des informations sur l'intégration des applications
Vous trouverez toutes les informations et le code nécessaires pour modifier votre application de partie de confiance pour travailler avec ACS sur la page Intégration de l’application du portail de gestion ACS.
Pour vérifier les informations sur l'intégration des applications
Dans la page d’accueil du portail de gestion ACS, cliquez sur Intégration d’applications dans l’arborescence située à gauche ou cliquez sur le lien Intégration d’application sous la section Prise en main.
Les URI ACS affichés dans la page Intégration d’application sont uniques à votre espace de noms Access Control.
Pour cet exercice, il est recommandé de conserver cette page ouverte afin d’effectuer rapidement les étapes restantes.
Étape 7 : création d'une application de partie de confiance ASP.NET
Cette section explique comment créer une application de partie de confiance ASP.Net que vous souhaitez intégrer éventuellement à ACS.
Pour créer une application de partie de confiance ASP.NET
Pour exécuter Visual Studio 2010, cliquez sur Démarrer, cliquez sur Exécuter, tapez le texte suivant, puis appuyez sur Entrée :
devenv.exeDans Visual Studio, cliquez sur Fichier, puis sur Nouveau projet.
Dans la fenêtre Nouveau projet, sélectionnez le modèle Visual Basic ou Visual C#, puis sélectionnez Application web ASP.NET MVC 2.
Dans la zone Nom, entrez le texte suivant, puis cliquez sur OK :
TestAppDans la zone Créer un projet de test unitaire, sélectionnez Non, ne pas créer de projet de test unitaire, puis cliquez sur OK.
Dans l'Explorateur de solutions, cliquez avec le bouton droit sur TestApp et sélectionnez Propriétés.
Dans la fenêtre Propriétés de TestApp, sous l'onglet Web, sous Utiliser le serveur Visual Studio Development Server, cliquez sur Port spécifique, puis remplacez la valeur par 7777.
Pour exécuter et déboguer l'application que vous venez de créer, appuyez sur F5. Si aucune erreur n'est détectée, votre navigateur affiche un projet MVC vide.
Laissez Visual Studio 2010 ouvert pour réaliser l'étape suivante.
Étape 8 : configuration de l'approbation entre ACS et votre application de partie de confiance ASP.NET
Cette section explique comment intégrer ACS à l’application de partie de confiance ASP.NET que vous avez créée à l’étape précédente.
Pour configurer l'approbation entre l'application de partie de confiance ASP.NET et ACS
Dans Visual Studio 2010, dans l'Explorateur de solutions associé à TestApp, cliquez avec le bouton droit sur TestApp, puis sélectionnez Ajouter une référence au service d'émission de jeton de sécurité.
Dans l'Assistant Utilitaire de fédération, procédez comme suit :
Dans la page Bienvenue dans l'Assistant Utilitaire de fédération, dans URI d'application, entrez l'URI de l'application, puis cliquez sur Suivant. Dans cette démonstration, l’URI de l’application est https://localhost:7777/.
Notes
La barre oblique de fin est importante, car elle correspond à la valeur que vous avez entrée dans le portail de gestion ACS pour votre application de partie de confiance. Pour plus d’informations, consultez l’étape 4 : Ajouter une application de partie de confiance.
Un avertissement s’affiche : ID 1007 : L’application n’est pas hébergée sur une connexion https sécurisée. Voulez-vous continuer ? Pour cette démonstration, cliquez sur Oui.
Notes
Dans un environnement de production, cet avertissement sur l'utilisation d'une connexion SSL est valide et ne doit pas être ignoré.
Dans la page Service de jeton de sécurité , sélectionnez Utiliser stS existant, entrez l’URL de métadonnées WS-Federation publiée par ACS, puis cliquez sur Suivant.
Notes
Vous trouverez la valeur de l’URL des métadonnées WS-Federation sur la page Intégration d’application du portail de gestion ACS. Pour plus d’informations, consultez l’étape 6 : passez en revue les informations d’intégration d’application.
Dans la page Erreur de validation de la chaîne des certificat de signature du service d'émission de jeton de sécurité, cliquez sur Suivant.
Dans la page Chiffrement des jetons de sécurité, cliquez sur Suivant.
Dans la page Revendications proposées, cliquez sur Suivant.
Dans la page Résumé, cliquez sur Terminer.
Au terme de son exécution, l'Assistant Utilitaire de fédération ajoute une référence à l'assembly Microsoft.IdentityModel.dll et renseigne des valeurs dans votre fichier Web.config qui configure Windows Identity Foundation dans votre application web ASP.NET MVC 2 (TestApp).
Ouvrez le fichier Web.config et recherchez l'élément system.web principal. Il peut se présenter comme ceci :
<system.web> <authorization> <deny users="?" /> </authorization>Modifiez le fichier Web.config afin d'activer la validation des demandes en ajoutant le code suivant sous l'élément system.web principal :
<!--set this value--> <httpRuntime requestValidationMode="2.0"/>Une fois la modification effectuée, le fragment de code ci-dessus doit se présenter ainsi :
<system.web> <!--set this value--> <httpRuntime requestValidationMode="2.0"/> <authorization> <deny users="?" /> </authorization>
Étape 9 : test de l'intégration entre ACS et votre application de partie de confiance ASP.NET
Cette section décrit comment tester l’intégration entre votre application de partie de confiance et ACS.
Pour tester l'intégration entre l'application de partie de confiance ASP.NET et ACS
Avec Visual Studio 2010 ouvert, appuyez sur F5 pour commencer le débogage de votre application de partie de confiance ASP.NET.
Si aucune erreur n’est trouvée, au lieu d’ouvrir l’application MVC par défaut, votre navigateur est redirigé vers une page de découverte du domaine d’accueil hébergée par ACS qui vous demande de choisir un fournisseur d’identité.
Sélectionnez Google.
Le navigateur charge la page de connexion de Google.
Entrez vos informations d'identification Google de test et acceptez l'interface utilisateur de consentement du site web de Google.
Le navigateur publie ensuite vers ACS, ACS émet un jeton et publie ce jeton sur votre site MVC.