Questa pagina è stata utile?
I suggerimenti relativi al contenuto di questa pagina sono importanti. Comunicaceli.
Altri suggerimenti?
1500 caratteri rimanenti
Esporta (0) Stampa
Espandi tutto
Espandi Riduci a icona

Procedura: Configurare Google come provider di identità

Pubblicato: aprile 2011

Aggiornamento: giugno 2015

Si applica a: Azure

ImportantImportante
A partire dal 19 maggio 2014 i nuovi spazi dei nomi ACS non potranno più usare Google come provider di identità. Gli spazi dei nomi ACS registrati prima di tale data potranno continuare a usare Google come provider di identità. Per altre informazioni, vedere Note sulla versione.

  • Microsoft Azure Active Directory Access Control (anche noto come Servizio di controllo di accesso o ACS)

Questa procedura descrive come configurare Google come provider di identità in ACS. Configurando Google come provider di identità per l'applicazione Web ASP.NET, gli utenti possono autenticarsi in tale applicazione eseguendo l'accesso al rispettivo account di Google.

  • Obiettivi

  • Panoramica

  • Riepilogo dei passaggi

  • Passaggio 1 - Creare uno spazio dei nomi

  • Passaggio 2 - Configurare Google come provider di identità

  • Passaggio 3 - Configurare i criteri di attendibilità con la relying party

  • Passaggio 4 - Configurare le regole di trasformazione dei token

  • Passaggio 5 - Esaminare gli endpoint esposti dallo spazio dei nomi

  • Creare un progetto e uno spazio dei nomi di Microsoft Azure.

  • Configurare uno spazio dei nomi da usare con Google come provider di identità.

  • Configurare criteri di attendibilità e regole di trasformazione dei token.

  • Acquisire familiarità con i riferimenti agli endpoint, l'elenco dei servizi e gli endpoint dei metadati.

Configurando Google come provider di identità, si elimina la necessità di creare e gestire un meccanismo di autenticazione e gestione delle identità. Se sono disponibili procedure di autenticazione note, l'uso del sistema da parte dell'utente finale risulta ottimizzato. Usando ACS, è facile impostare una configurazione che consenta all'applicazione di avvalersene direttamente e di offrire tale funzionalità agli utenti finali. Questa procedura descrive come eseguire questa attività. Il seguente diagramma illustra il flusso completo per configurare una relying party di ACS per l'uso.

Flusso di lavoro di ACS v2

Per configurare Google come provider di identità per l'applicazione, effettuare i seguenti passaggi:

  • Passaggio 1 - Creare uno spazio dei nomi

  • Passaggio 2 - Configurare Google come provider di identità

  • Passaggio 3 - Configurare i criteri di attendibilità con la relying party

  • Passaggio 4 - Configurare le regole di trasformazione dei token

  • Passaggio 5 - Esaminare gli endpoint esposti dallo spazio dei nomi

Questo passaggio consente di creare uno Spazi dei nomi controllo di accesso all'interno del progetto di Azure. Se si desidera configurare Google come provider di identità per uno spazio dei nomi esistente, è possibile saltare questo passaggio.

  1. Passare al portale di gestione di Microsoft Azure (https://manage.WindowsAzure.com), eseguire l'accesso, quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)

  2. Per creare uno spazio dei nomi di Controllo di accesso, fare clic su Nuovo, Servizi app, Controllo di accesso, quindi su Creazione rapida. Altrimenti, fare clic su Spazi dei nomi controllo di accesso prima di scegliere Nuovo.

Questo passaggio consente di configurare Google come provider di identità per uno spazio dei nomi esistente.

  1. Passare al portale di gestione di Microsoft Azure (https://manage.WindowsAzure.com), eseguire l'accesso, quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)

  2. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

  3. Nel portale ACS fare clic su Identity Providers.

  4. Nella pagina Add Identity Provider fare clic su Add, quindi su Google.

  5. Nella pagina Add Google Identity Provider fare clic su Save.

Questo passaggio consente di configurare i criteri di attendibilità tra l'applicazione, indicata come relying party, e ACS.

  1. Passare al portale di gestione di Microsoft Azure (https://manage.WindowsAzure.com), eseguire l'accesso, quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)

  2. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

  3. Nel portale ACS fare clic su Relying Party Applications, quindi su Add.

  4. Nella pagina Add Relying Party Application specificare i valori per i seguenti campi:

    • Name - Un nome arbitrario di propria scelta.

    • Realm - L'area di autenticazione è l'URI per cui sono validi i token rilasciati da ACS.

    • Return URL - L'URL restituito definisce l'URL in cui ACS inserisce il token rilasciato per una determinata applicazione relying party.

    • Token format - Il formato del token definisce il tipo di token rilasciato da ACS a un'applicazione relying party.

    • Token encryption policy - Facoltativamente, ACS può crittografare qualsiasi token SAML 1.1 o SAML 2.0 rilasciato a un'applicazione relying party.

    • Token lifetime - Questo campo specifica la durata (TTL) del token rilasciato da ACS all'applicazione relying party.

    • Identity providers - Questo campo consente di specificare quali provider di identità usare con l'applicazione relying party. Accertarsi che sia selezionato Google.

    • Rule groups - Questi gruppi contengono le regole che definiscono quali attestazioni di identità utente vengono passate dai provider di identità all'applicazione relying party.

    • Token signing - ACS firma tutti i token di sicurezza che rilascia usando un certificato X.509 (con una chiave privata) oppure una chiave simmetrica a 256 bit.

    Per altre informazioni sui campi, vedere Applicazioni relying party.

  5. Fare clic su Salva.

Questo passaggio consente di configurare le attestazioni che ACS deve inviare all'applicazione relying party. Google ad esempio non invia l'indirizzo e-mail dell'utente per impostazione predefinita. È pertanto necessario configurare il provider di identità in modo che fornisca all'applicazione le attestazioni desiderate e specificare in che modo devono essere trasformate. La seguente procedura descrive come aggiungere una regola per passare un indirizzo e-mail nel token, in modo che l'applicazione possa usarlo.

  1. Passare al portale di gestione di Microsoft Azure (https://manage.WindowsAzure.com), eseguire l'accesso, quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)

  2. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

  3. Nel portale ACS fare clic su Rule Groups e quindi su Add. In alternativa, è possibile modificare il gruppo di regole esistente.

  4. Specificare un nome per il nuovo gruppo, quindi fare clic su Save.

  5. Nella pagina Edit Rule Group fare clic su Add.

  6. Nella pagina Add Claim Rule specificare i seguenti valori:

    • Claim Issuer: selezionare Identity provider e Google.

    • Input claim type: selezionare Select type e http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.

    • Input claim value: selezionare Any.

    • Output claim type: selezionare Pass through the input claim type.

    • Output claim value: selezionare Pass through the input claim value.

    • Facoltativamente, è possibile aggiungere una descrizione nella casella Description.

  7. Nelle pagine Edit Rule Group e Rule Groups fare clic su Save.

  8. Fare clic sull'applicazione relying partydesiderata.

  9. Scorrere verso il basso fino alla sezione Rule Groups, selezionare il nuovo gruppo di regole , quindi fare clic su Save.

Questo passaggio consente di acquisire familiarità con gli endpoint esposti da ACS. ACS ad esempio espone l'endpoint dei metadati WS-Federation usato da FedUtil durante la configurazione delle applicazioni Web ASP.NET per l'autenticazione federativa.

  1. Passare al portale di gestione di Microsoft Azure (https://manage.WindowsAzure.com), eseguire l'accesso, quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)

  2. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

  3. Nel portale ACS fare clic su Application integration.

  4. Esaminare la tabella Endpoint Reference. I metadati WS-Federation esposti mediante l'URL ad esempio dovrebbero essere simili ai seguenti (il proprio spazio dei nomi sarà diverso).

    https://my-namespace1.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml
    

Vedere anche

Concetti

Procedure di ACS

Aggiunte alla community

AGGIUNGI
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2015 Microsoft