Procedura: Aggiungere un tenant di Azure AD come provider di identità

Aggiornamento: 19 giugno 2015

Si applica a: Azure

Si applica a

• Microsoft Azure Active Directory Access Control (anche noto come Servizio di controllo di accesso o ACS)

Panoramica

Questo argomento illustra come aggiungere un tenant di Azure Active Directory (AD) all'elenco dei provider di identità nello spazio dei nomi Controllo di accesso. Questa funzionalità consente di usare il tenant come provider di identità per le applicazioni associate allo spazio dei nomi.

Il processo si articola in due fasi principali:

1. Aggiungere lo spazio dei nomi Controllo di accesso al tenant di Azure AD come app Web. Questo consente allo spazio dei nomi (app Web) di ricevere token da Azure AD.

2. Aggiungere il tenant di Azure AD allo spazio dei nomi Controllo di accesso come provider di identità.

I rimanenti passaggi sono uguali per tutti i provider di identità di ACS. È possibile aggiungere applicazioni relying party e regole che determinano quali attestazioni d'identità vengono passate dai provider di identità alle applicazioni relying party.

Requisiti

Per eseguire le istruzioni riportate in questo argomento sono necessari i seguenti elementi:

1. Una sottoscrizione di Azure. Per altre informazioni, vedere Introduzione con Azure.

2. Spazio dei nomi ACS. Per informazioni, vedere Procedura: Creare uno spazio dei nomi Controllo di accesso.

3. Visual Studio 2012

Riepilogo dei passaggi

Per aggiungere un tenant di Azure AD come provider di identità, seguire questa procedura:

• Passaggio 1: Trovare il nome dello spazio dei nomi Controllo di accesso

• Passaggio 2: Aggiungere lo spazio dei nomi Controllo di accesso come applicazione Web

• Passaggio 3: Aggiungere il provider di identità del tenant di Azure AD allo spazio dei nomi Controllo di accesso

• Passaggio 4: Usare il provider di identità del tenant di Azure AD con l'app

Passaggio 1: Trovare il nome dello spazio dei nomi Controllo di accesso

In questo passaggio verrà copiato il nome dello spazio dei nomi, che verrà usato nel passaggio successivo. Il nome dello spazio dei nomi è necessario per indicare che i token devono essere inviati all'endpoint che riceve risposte di accesso WS-Federation.

Anche se l'URL dello spazio dei nomi è riportato nel campo Portale di gestione, i token vengono inviati all'endpoint specificato, non al portale.

1. Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)

2. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

3. Fare clic su Integrazione applicazione.

4. Copiare il valore del campo Portale di gestione.

   L'URL presente nel campo Portale di gestione ha il formato seguente:

   < https:// Namespace.accesscontrol.windows.net/>

   Salvare il valore per usarlo nel passaggio successivo.

Il valore del campo Portale di gestione è il nome dello spazio dei nomi e l'URL dell'endpoint che riceve le risposte di accesso WS-Federation.

Passaggio 2: Aggiungere lo spazio dei nomi Controllo di accesso come applicazione Web

In questo passaggio si useranno le funzionalità del portale di gestione di Azure per aggiungere lo spazio dei nomi Controllo di accesso come applicazione Web nel tenant di Azure AD. In questo modo, il tenant sarà il destinatario dei token generati da Azure AD.

1. Passare al portale di gestione di Azure ed eseguire l'accesso. Fare clic su Active Directory, fare clic su una directory, fare clic su Applicazioni e quindi su Aggiungi.

   

2. Immettere un nome per l'app. Nel campo Tipo selezionare Applicazione Web e/o API Web (impostazione predefinita). Per continuare, fare clic sulla freccia.

   

3. Nelle caselle di testo URL app e URI ID app incollare l'URL riportato nel campo Portale di gestione della pagina Integrazione applicazione. Per continuare, fare clic sulla freccia.

   L'URL dell'app è l'indirizzo a cui vengono inviati i token quando un utente viene autenticato in modo corretto. L'URI ID dell'app indica i destinatari a cui sono diretti i token. Se è stato usato un valore diverso dall'entityID dello spazio dei nomi Controllo di accesso, ACS lo interpreta come token riutilizzato da un attacco man-in-the-middle.

   Quando si incolla l'URL, fare attenzione a non includere spazi finali o altri caratteri dopo la barra finale (/). In caso contrario, Azure AD contrassegnerà l'URL come non valido.

   

4. Nella pagina Accesso alla directory selezionare l'impostazione predefinita Single Sign-On. Poiché ACS non chiama l'API Graph, l'impostazione non viene usata. Per completare il processo, fare clic sul segno di spunta.

   A questo punto, il tenant di Azure AD conosce lo spazio dei nomi Controllo di accesso e può rilasciare token.

   

5. Nella pagina finale copiare l'URL dei metadati di federazione per usarlo nel passaggio successivo.

   Per visualizzare di nuovo questa pagina:

   • Passare al portale di gestione di Azure ed eseguire l'accesso.

   • Fare clic su una directory di Azure.

   • Fare clic su Applicazioni.

   • Fare clic sull'applicazione.

   L'URL dei metadati di federazione è elencato anche nella pagina Endpoint dell'app relativa all'applicazione. Per visualizzare questa pagina, nella pagina Applicazione fare clic su Visualizza endpoint.

   

Passaggio 3: Aggiungere il provider di identità del tenant di Azure AD allo spazio dei nomi Controllo di accesso

In questo passaggio si aggiungerà il servizio token di sicurezza (STS) per il tenant di Azure AD allo spazio dei nomi Controllo di accesso.

1. Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)

2. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

   Questa azione apre il portale di gestione ACS per lo spazio dei nomi Controllo di accesso.

   

3. Fare clic su Provider di identità, quindi su Aggiungi.

4. Selezionare Provider di identità WS-Federation, quindi fare clic su Avanti.

   

5. Immettere un nome visualizzato e il testo del collegamento di accesso. Per questi valori non esistono requisiti particolari.

6. Nella sezione relativa ai metadati WS-Federation fare clic su URL, quindi incollare l'URL dei metadati di federazione copiato dalla pagina dell'applicazione. Fare quindi clic su Salva.

   Un altro campo utile di questa pagina è Testo collegamento di accesso. Il valore di questo campo è incluso nell'elenco dei provider di identità disponibili per gli utenti quando accedono all'applicazione.

   

Passaggio 4: Usare il provider di identità del tenant di Azure AD con l'app

Il tenant di Azure AD è ora registrato come provider di identità per lo spazio dei nomi Controllo di accesso. Per alcuni versi, l'attività è completata. In questo passaggio, tuttavia, verrà mostrato come usare il nuovo provider di identità aggiungendolo all'offerta di provider di identità per un'applicazione Web.

Per selezionare il nuovo provider di identità per l'app, seguire la procedura standard:

1. Avviare Visual Studio 2012 e aprire un'applicazione Web.

2. In Esplora soluzioni fare clic con il pulsante destro del mouse sul nome dell'app, quindi fare clic su Identità e accesso.

3. Nella scheda Provider fare clic sull'opzione per l'uso del Servizio di controllo di accesso di Azure.

4. Per associare l'app allo spazio dei nomi ACS, è necessario disporre della chiave di gestione dello spazio dei nomi. Per individuare tale chiave, seguire le istruzioni riportate di seguito.

   1. Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)

   2. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

   3. Fare clic su Management Service, quindi su Management client e infine su Symmetric key.

   4. Fare clic su Show Key, copiare il valore della chiave, quindi fare clic su Hide Key.

5. Tornare alla finestra di dialogo di Visual Studio per la configurazione dello spazio dei nomi ACS, immettere il nome dello spazio dei nomi ACS e incollare il valore della chiave di gestione.

   

6. Selezionare quindi il provider di identità del tenant di Azure AD dall'elenco dei provider di identità presente nello spazio dei nomi.

   

7. Quando si esegue l'app, viene visualizzata una finestra di dialogo di accesso in cui, tra i provider di identità disponibili, è incluso alche quello del tenant di Azure AD. (Il nome visualizzato in questa pagina è definito nel campo Testo collegamento di accesso della pagina relativa alle impostazioni del provider di identità).

   

8. Selezionare il tenant di Azure AD e accedere con l'account aziendale.

   

È ora possibile accedere all'applicazione. I token di autenticazione vengono inoltrati al tenant di Azure AD come provider di identità.

Vedere anche

Concetti

Procedure di ACS