Procedura: Configurare l'attendibilità tra ACS e applicazioni Web ASP.NET tramite certificati X.509

Aggiornamento: 19 giugno 2015

Si applica a: Azure

Si applica a

• Microsoft Azure Active Directory Access Control (anche noto come Servizio di controllo di accesso o ACS)

• ASP.NET

Riepilogo

Questo argomento descrive come configurare l'attendibilità tra l'applicazione e ACS. L'attendibilità viene stabilita firmando i token che vengono scambiati tra l'applicazione Web ASP.NET e ACS.

Contenuto

• Obiettivi

• Panoramica

• Riepilogo dei passaggi

• Passaggio 1 - Accedere alla sezione relativa ai certificati per la firma di token

• Passaggio 2 - Configurare l'attendibilità usando certificati X.509

• Passaggio 3 - Rivedere gli attributi relativi all'attendibilità in web.config e nel portale di gestione ACS

Obiettivi

• Acquisire familiarità con la sezione gestione attendibilità nel portale di gestione di ACS.

• Gestire l'attendibilità usando certificati X.509.

• Verificare la configurazione necessaria nel file web.config e nel portale di gestione.

Panoramica

La definizione dell'attendibilità è necessaria per scambiare correttamente i token tra l'applicazione e il servizio azure kuberneta. L'attendibilità garantisce che i token non vengano alterati mentre sono in transito e che siano rilasciati da una parte affidabile. Per ASP.NET trust delle applicazioni Web viene gestito usando certificati X.509 ed è basato sulla configurazione del portale di gestione di ACS e sulla configurazione web.config.

Riepilogo dei passaggi

Per stabilire e gestire l'attendibilità tra un'applicazione Web ASP.NET e ACS seguire questa procedura:

• Passaggio 1 - Accedere alla sezione relativa ai certificati per la firma di token

• Passaggio 2 - Configurare l'attendibilità usando certificati X.509

• Passaggio 3 - Rivedere gli attributi relativi all'attendibilità in web.config e nel portale di gestione ACS

Passaggio 1 - Accedere alla sezione relativa ai certificati per la firma di token

Questo passaggio illustra come passare alla sezione gestione attendibilità del portale di gestione di ACS.

Per accedere alla sezione relativa alla gestione dei criteri di attendibilità nel portale di gestione

1. Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: l'elemento "Active Directory" non è disponibile o meno)

2. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

3. Nel portale di ACS fare clic su Applicazioni relying party.

4. Fare clic su un'applicazione relying party.

5. Nella pagina Edit Relying Party Application scorrere verso il basso fino alla sezione Token Signing Certificates.

6. Selezionare un certificato.

Passaggio 2 - Configurare l'attendibilità usando certificati X.509

Questo passaggio illustra come configurare e gestire l'attendibilità tra ACS e un'applicazione Web ASP.NET usando un certificato X.509. Specificare la credenziale di firma del certificato X.509 se nell'applicazione relying party si sta usando Windows® Identity Foundation (WIF).

Per configurare e gestire l'attendibilità usando un certificato X.509

1. Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: l'elemento "Active Directory" non è disponibile o meno)

2. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

3. Fare clic su Certificates and keys e selezionare un certificato X.509.

4. Nella pagina Edit Token Signing Certificate or Key specificare i valori seguenti:

   • Nome: nome arbitrario della propria scelta.

   • Tipo: certificato X.509.

   • Certificato: per usare il certificato creato da ACS per impostazione predefinita, non è necessaria alcuna azione. È anche possibile caricare il proprio certificato X.509.

     Il certificato deve essere protetto da password In genere ha un'estensione pfx. quando si carica il proprio certificato X.509. Specificare la password del file pfx nella casella di testo Password

   • Password: se si usa il certificato predefinito, non è necessaria alcuna azione. Se si carica un certificato, questo deve essere protetto da password. Immettere la password del file PFX nella casella di testo Password.

5. Fare clic su Salva.

Ottenere un certificato X.509

Per ottenere un certificato X.509 per la firma o la crittografia dei token, è possibile procedere in vari modi. Il metodo da usare dipende dai propri requisiti e dagli strumenti disponibili nell'organizzazione.

Autorità di certificazione locale

Se l'organizzazione ha distribuito un'autorità di certificazione (CA), ad esempio Servizi certificati Active Directory, è possibile richiedere un certificato X.509. Per le istruzioni o le autorizzazioni può essere necessario contattare l'amministratore dell'autorità di certificazione. Per altre informazioni su Servizi certificati Active Directory, vedere Servizi certificati Active Directory (https://go.microsoft.com/fwlink/?linkid=208371).

Autorità di certificazione commerciale

È possibile acquistare un certificato X.509 da un'autorità di certificazione commerciale, ad esempio Verisign. Poiché questa è una versione Labs, è consigliabile usare la propria autorità di certificazione locale (se disponibile) oppure generare un certificato autofirmato (vedere di seguito).

Generare un certificato Self-Signed

È possibile usare il software per generare un certificato autofirmato da usare con ACS. Anche se questo metodo in genere è consigliato soltanto a scopo di testing, può essere usato da chiunque non disponga dell'accesso a un'autorità di certificazione locale o non desideri pagare un'autorità di certificazione commerciale. Se si esegue Windows, è possibile scaricare MakeCert.exe come parte dell'SDK Windows (https://go.microsoft.com/fwlink/?linkid=84091) e usarlo per generare un certificato.

Esportare un certificato autofirmato

Per istruzioni su come esportare un certificato autofirmato, vedere Certificati e chiavi.

Passaggio 3 - Rivedere gli attributi relativi all'attendibilità in web.config e nel portale di gestione ACS

Questo passaggio illustra come convalidare gli attributi di configurazione relativi all'attendibilità nel file web.config dell'applicazione Web ASP.NET.

Per verificare le configurazioni relative all'attendibilità nel file web.config dell'applicazione Web ASP.NET

1. Aprire il file web.config dell'applicazione Web ASP.NET.

2. Passare al nodo audiencesUris e verificare che il valore del relativo nodo di aggiunta figlio sia uguale a quello immesso nel campo proprietà Realm della pagina Modifica relying party del portale di gestione ACS.

   1. Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: l'elemento "Active Directory" non è disponibile o meno)

   2. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

   3. Fare clic su Relying party applications.

   4. Nella pagina Replying Party Applications fare clic sull'applicazione desiderata.

   5. Nella pagina Edit Relying Party Application rivedere l'attributo Realm.

Vedere anche

Concetti

Procedure di ACS