Questa documentazione è stata archiviata e non viene gestita.

Procedura: configurare ADFS 2.0 come provider di identità

Pubblicato: aprile 2011

Aggiornamento: giugno 2015

Si applica a: Azure

  • Microsoft Azure Active Directory Access Control (anche noto come Servizio di controllo di accesso o ACS)

  • Active Directory® Federation Services 2.0

Questa procedura descrive come configurare come provider di identità. La configurazione di come provider di identità per l'applicazione Web ASP.NET permetterà agli utenti di eseguire l'autenticazione a tale applicazione mediante l'accesso al proprio account aziendale gestito da Active Directory.

  • Obiettivi

  • Informazioni generali

  • Riepilogo dei passaggi

  • Passaggio 1: Aggiungere ADFS 2.0 come provider di identità nel portale di gestione ACS

  • Passaggio 2: Aggiungere un certificato in ACS per la decrittografia dei token ricevuti da ADFS 2.0 nel portale di gestione ACS (facoltativo)

  • Passaggio 3: Aggiungere lo Spazi dei nomi controllo di accesso come relying party in ADFS 2.0

  • Passaggio 4: Aggiungere regole attestazioni per lo Spazi dei nomi controllo di accesso in ADFS 2.0

  • Configurazione dell'attendibilità tra ACS e .

  • Miglioramento della sicurezza dello scambio di token e metadati.

La configurazione di come provider di identità permette di riutilizzare account esistenti gestiti da Active Directory dell'azienda per l'autenticazione. Questo approccio elimina la necessità di creare meccanismi complessi di sincronizzazione degli account o di sviluppare codice personalizzato per l'esecuzione delle attività di accettazione delle credenziali dell'utente finale, convalida di tali credenziali rispetto all'archivio delle credenziali e gestione delle identità. L'integrazione di ACS e viene eseguita tramite configurazione e non è necessario alcun codice personalizzato.

  • Passaggio 1: Aggiungere ADFS 2.0 come provider di identità nel portale di gestione ACS

  • Passaggio 2: Aggiungere un certificato in ACS per la decrittografia dei token ricevuti da ADFS 2.0 nel portale di gestione ACS (facoltativo)

  • Passaggio 3: Aggiungere lo Spazi dei nomi controllo di accesso come relying party in ADFS 2.0

  • Passaggio 4: Aggiungere regole attestazioni per lo Spazi dei nomi controllo di accesso in ADFS 2.0

Questo passaggio permette di aggiungere come provider di identità nel portale di gestione ACS.

  1. Nella pagina principale del portale di gestione ACS fare clic su Identity Providers.

  2. Fare clic su Add Identity Provider.

  3. Accanto a Microsoft Active Directory Federation Services 2.0 fare clic su Add.

  4. Nel campo Display name immettere un nome visualizzato per il provider di identità. Questo nome verrà visualizzato nel portale di gestione ACS e, per impostazione predefinita, nelle pagine di accesso per le applicazioni.

  5. Nel campo WS-Federation metadata immettere l'URL del documento metadati per l'istanza di oppure usare l'opzione File per caricare una copia locale del documento metadati. Quando si usa un URL, il percorso URL del documento metadati è indicato nella sezione Servizio\Endpoint della console di gestione di . I due passaggi successivi riguardano le opzioni della pagina di accesso per le applicazioni relying party e possono essere ignorati perché sono facoltativi.

  6. Se si vuole modificare il testo visualizzato per il provider di identità nelle pagine di accesso per le applicazioni, immettere il testo desiderato nel campo Login link text.

  7. Se si vuole visualizzare un'immagine per il provider di identità nelle pagine di accesso per le applicazioni, immettere un URL di un file di immagine nel campo Image URL. In teoria, questo file di immagine deve essere ospitato in un sito attendibile (tramite HTTPS, se possibile, per evitare gli avvisi di sicurezza del browser) ed è necessario aver ricevuto dal partner le autorizzazioni per visualizzare l'immagine. Per informazioni aggiuntive sulle impostazioni della pagina di accesso, vedere la sezione Pagine di accesso e individuazione dell'area di autenticazione principale della Guida.

  8. Se si vuole richiedere agli utenti di accedere usando l'indirizzo e-mail anziché facendo clic su un collegamento, immettere i suffissi di dominio e-mail da associare a questo provider di identità nel campo Email domain name(s). Ad esempio, se il provider di identità ospita account utente i cui indirizzi e-mail terminano con @contoso.com, immettere contoso.com. Usare un punto e virgola per separare i suffissi nell'elenco, ad esempio, contoso.com; fabrikam.com. Per informazioni aggiuntive sulle impostazioni della pagina di accesso, vedere la sezione Pagine di accesso e individuazione dell'area di autenticazione principale della Guida.

  9. Nel campo Relying party applications selezionare tutte le applicazioni relying party esistenti da associare al provider di identità. In questo modo, il provider di identità viene visualizzato nella pagina di accesso per l'applicazione e le attestazioni possono essere recapitate dal provider di identità all'applicazione. È comunque necessario aggiungere regole al gruppo di regole dell'applicazione per definire le attestazioni da recapitare.

  10. Fare clic su Save.

Questo passaggio permette di aggiungere e configurare un certificato per decrittografare i token ricevuti da . Si tratta di un passaggio facoltativo che contribuisce a rafforzare la sicurezza. In particolare, questo passaggio aiuta a proteggere il contenuto del token dalla visualizzazione e dalla manomissione.

  1. Se non è ancora stata eseguita l'autenticazione con Windows Live ID (account Microsoft), verrà richiesto di farlo ora.

  2. Dopo l'autenticazione con Windows Live ID (account Microsoft), viene visualizzata la pagina My Projects del portale di Microsoft Azure.

  3. Fare clic sul nome di progetto desiderato nella pagina My Project.

  4. Nella pagina Project:<<nome del progetto>> fare clic sul collegamento Access Control accanto allo spazio dei nomi desiderato.

  5. Nella pagina Access Control Settings: <<spazio dei nomi>> fare clic sul collegamento Manage Access Control.

  6. Nella pagina principale del portale di gestione ACS fare clic su Certificates and Keys.

  7. Fare clic su Add Token Decryption Certificate.

  8. Nel campo Name immettere un nome visualizzato per il certificato.

  9. Nel campo Certificate selezionare il certificato x. 509 con una chiave privata (file con estensione pfx) per questo Spazi dei nomi controllo di accesso e quindi immettere la password per il file con estensione pfx nel campo Password. Se non si dispone di un certificato, seguire le istruzioni visualizzate per generarne uno oppure vedere la sezione Certificati e chiavi della Guida per informazioni aggiuntive su come ottenere un certificato.

  10. Fare clic su Save.

Questo passaggio permette di configurare ACS come relying party in .

  1. Nella console di gestione di fare clic su ADFS 2.0, quindi nel riquadro Azioni fare clic su Add Relying Party Trust per avviare la procedura guidata per l'aggiunta dell'attendibilità della relying party.

  2. Nella pagina di benvenuto fare clic su Inizio.

  3. Nella pagina Select Data Source fare clic su Import data about the relying party published online or on a local network, digitare il nome dello Spazi dei nomi controllo di accesso e quindi fare clic su Next.

  4. Nella pagina Specify Display Name immettere un nome visualizzato e quindi fare clic su Next.

  5. Nella pagina Choose Issuance Authorization Rules fare clic su Permit all users to access this Relying Party e quindi fare clic su Next.

  6. Nella pagina Ready to Add Trust controllare le impostazioni di attendibilità della relying party e quindi fare clic su Next per salvare la configurazione.

  7. Nella pagina Finish fare clic su Close per chiudere la procedura guidata. Verrà anche visualizzata la pagina delle proprietà Edit Claim Rules for WIF Sample App. Lasciare aperta questa finestra di dialogo e quindi passare alla procedura successiva.

Questo passaggio permette di configurare regole attestazioni in . In questo modo, è possibile fare in modo che le attestazioni desiderate vengano passate da a ACS.

  1. Nella scheda Issuance Transform Rules della pagina delle proprietà Edit Claim Rules fare clic su Add Rule per avviare la procedura guidata per l'aggiunta di regole attestazioni di trasformazione.

  2. In Claim rule template nella pagina Select Rule Template scegliere Pass Through or Filter an Incoming Claim dal menu e quindi fare clic su Avanti.

  3. In Claim rule name nella pagina Configure Rule digitare un nome visualizzato per la regola.

  4. Nell'elenco a discesa Incoming claim type selezionare il tipo di attestazione di identità di cui si vuole eseguire il pass-through all'applicazione e quindi fare clic su Finish.

  5. Fare clic su OK per chiudere la pagina delle proprietà e salvare le modifiche apportate all'attendibilità della relying party.

  6. Ripetere i passaggi da 1 a 5 per ogni attestazione che si vuole rilasciare da nello Spazi dei nomi controllo di accesso.

  7. Fare clic su OK.

Mostra: