Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Como: Configurar confiança entre aplicativos da Web ACS e ASP.NET usando certificados X.509

Publicado: abril de 2011

Atualizado: março de 2015

Aplica-se a: Azure

  • Acess Control do Active Directory do Microsoft Azure (também conhecido como Access Control Service ou ACS)

  • ASP.NET

Este tópico descreve como configurar a confiança entre seu aplicativo e ACS. A confiança é estabelecida através da assinatura dos tokens que são trocados entre o aplicativo da Web ASP.NET e ACS.

  • Objetivos

  • Visão geral

  • Resumo de etapas

  • Etapa 1 – Navegue até a Seção de certificados de autenticação de Token

  • Etapa 2 - Configure a confiança usando certificados X.509

  • Etapa 3 – Reveja os atributos relacionados à confiança no Portal de Gerenciamento do ACS e no web.config

  • Familiarize-se com a seção de gerenciamento de confiança no Portal de Gerenciamento do ACS.

  • Gerencie a confiança usando certificados X.509.

  • Verifique a configuração necessária no Portal de Gerenciamento e no web.config.

Estabelecer confiança é necessário para trocar tokens corretamente entre seu aplicativo e o ACS. A confiança garante que os tokens não sejam alterados em trânsito e que são emitidos por uma terceira parte confiável. Para aplicativos da Web ASP.NET, a confiança é gerenciada usando certificados X.509 e é baseada na configuração do Portal de Gerenciamento e da configuração web.config ACS.

Para estabelecer e gerenciar confiança entre um aplicativo da Web ASP.NET e ACS siga estas etapas:

  • Etapa 1 – Navegue até a Seção de certificados de autenticação de token

  • Etapa 2 - Configure a confiança usando certificados X.509

  • Etapa 3 – Reveja os atributos relacionados à confiança no Portal de Gerenciamento do ACS e no web.config

Esta etapa mostra como navegar até a seção de gerenciamento de confiança do Portal de Gerenciamento do ACS.

  1. Vá para o Portal de Gerenciamento do Microsoft Azure(https://manage.WindowsAzure.com), entre e, em seguida, clique em Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou indisponível)

  2. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

  3. No portal ACS, clique em Aplicativos de terceira parte confiável.

  4. Clique em um aplicativo de terceira parte confiável.

  5. Na página Editar aplicativo de terceira parte confiável, role para baixo até a seção Certificados de Assinatura de Token.

  6. Selecione um certificado.

Esta etapa mostra como configurar e gerenciar a confiança entre ACS e um aplicativo da Web ASP.NET usando um certificado X.509. Use uma credencial de assinatura de certificado X.509 se estiver usando o WIF (Windows® Identity Foundation) em seu aplicativo de terceira parte confiável.

  1. Vá para o Portal de Gerenciamento do Microsoft Azure(https://manage.WindowsAzure.com), entre e, em seguida, clique em Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou indisponível)

  2. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

  3. Clique em Certificados e chaves e, em seguida, selecione um certificado X.509.

  4. Na página Editar chave ou certificado de assinatura de token, forneça os seguintes valores:

    • Nome: Um nome arbitrário de sua escolha.

    • Tipo: Certificado X.509.

    • Certificado: Para usar o certificado que o ACS cria por padrão, nenhuma ação é necessária. Também é possível carregar seu próprio certificado X.509.

      O certificado deve ser protegido por senha. Normalmente, ele tem uma extensão .pfx. Ao carregar seu próprio certificado X.509, forneça a senha do arquivo pfx na caixa de texto Senha

    • Senha: Se usar o certificado padrão, nenhuma ação é necessária. Se você carregar um certificado, o certificado deverá ser protegido por senha. Digite a senha do arquivo .pfx na caixa de texto Senha.

  5. Clique em Salvar.

Há várias maneiras de obter um certificado X.509 para assinatura ou criptografia de token. O método usado depende de suas necessidades e das ferramentas disponíveis em sua organização.

Autoridade de Certificação Local

Se sua organização tiver implantado uma autoridade de certificação (CA), como os serviços de certificados do Active Directory (AD CS), será possível solicitar um certificado X.509. Talvez seja necessário entrar em contato com o administrador de autoridade de certificação para obter instruções ou permissões. Para obter mais informações sobre serviços de certificados do Active Directory, consulte Serviços de certificados do Active Directory (http://go.microsoft.com/fwlink/?linkid=208371).

Autoridade de Certificação Comercial

É possível adquirir um certificado X.509 de uma autoridade de certificação comercial, como a Verisign. Como essa é uma versão de laboratórios, é recomendável usar a autoridade de certificação local (se disponível) ou gerar um certificado autoassinado (veja abaixo).

Gerar um certificado autoassinado

É possível usar o software para gerar seu próprio certificado autoassinado para usar com ACS. Embora normalmente isso seja recomendado apenas para fins de teste, isso pode ser feito por qualquer pessoa sem acesso a uma autoridade de certificação local ou pagamento a uma CA comercial. Se estiver executando o Windows, é possível baixar o MakeCert.exe como parte do SDK do Windows (http://go.microsoft.com/fwlink/?linkid=84091) e usá-lo para gerar um certificado.

Exportar um certificado autoassinado

Para obter instruções sobre como exportar um certificado autoassinado, consulte Certificados e chaves.

Esta etapa mostra como validar os atributos de configuração relacionados à confiança em web.config. do aplicativo da Web ASP.NET.

  1. Abra o arquivo web.config para o aplicativo da Web ASP.NET.

  2. Navegue até o nó audiencesUris e verifique se o valor de seu nó filho adicionar é o mesmo valor inserido no campo de propriedade Realm da página Editar terceira parte confiável do Portal de Gerenciamento ACS.

    1. Vá para o Portal de Gerenciamento do Microsoft Azure(https://manage.WindowsAzure.com), entre e, em seguida, clique em Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou indisponível)

    2. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

    3. Clique em Aplicativos de terceira parte confiável.

    4. Na página Aplicativos de terceira parte confiável, clique no aplicativo desejado.

    5. Na página Editar aplicativo de terceira parte confiável, examine o atributo Realm.

Consulte também

Conceitos

Manuais do ACS

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2015 Microsoft