Como configurar o AD FS 2.0 como um provedor de identidade

  • Artigo

Atualizado: 19 de junho de 2015

Aplica-se ao Azure

Aplica-se A

  • Access Control do Active Directory do Microsoft Azure (também conhecido como Access Control Service ou ACS)

  • Serviços de Federação do Active Directory® 2.0

Resumo

Este How To descreve como configurar como um provedor de identidade. A configuração como provedor de identidade para seu aplicativo Web ASP.NET permitirá que os usuários se autentiquem em seu aplicativo Web ASP.NET fazendo logon em sua conta corporativa gerenciada pelo Active Directory.

Sumário

  • Objetivos

  • Visão geral

  • Resumo das etapas

  • Etapa 1: Adicionar o AD FS 2.0 como um Provedor de Identidade no Portal de Gerenciamento do ACS

  • Etapa 2: Adicionar um certificado ao ACS para descriptografar tokens recebidos do AD FS 2.0 no Portal de Gerenciamento do ACS (opcional)

  • Etapa 3 – Adicionar seu namespace Controle de Acesso como uma terceira parte confiável no AD FS 2.0

  • Etapa 4 – Adicionar regras de declaração para o namespace Controle de Acesso no AD FS 2.0

Objetivos

  • Configurando a confiança entre ACS e .

  • Aprimorar a segurança do token e troca de metadados.

Visão geral

Configurar como provedor de identidade permite reutilizar contas existentes gerenciadas pelo Active Directory corporativo para autenticação. Ele elimina a necessidade de criar mecanismos de sincronização de conta complexa ou o desenvolvimento de código personalizado que executa as tarefas de aceitar credenciais de usuário final, validá-las em relação ao armazenamento de credenciais e gerenciar as identidades. A integração do ACS e é realizada somente pela configuração — nenhum código personalizado é necessário.

Resumo das etapas

  • Etapa 1: Adicionar o AD FS 2.0 como um Provedor de Identidade no Portal de Gerenciamento do ACS

  • Etapa 2: Adicionar um certificado ao ACS para descriptografar tokens recebidos do AD FS 2.0 no Portal de Gerenciamento do ACS (opcional)

  • Etapa 3 – Adicionar seu namespace Controle de Acesso como uma terceira parte confiável no AD FS 2.0

  • Etapa 4 – Adicionar regras de declaração para o namespace Controle de Acesso no AD FS 2.0

Etapa 1: Adicionar o AD FS 2.0 como um Provedor de Identidade no Portal de Gerenciamento do ACS

Esta etapa é adicionada como um provedor de identidade no Portal de Gerenciamento do ACS.

Para adicionar o AD FS 2.0 como um provedor de identidade no namespace Controle de Acesso

  1. Na página principal do Portal de Gerenciamento do ACS, clique em Provedores de Identidade.

  2. Clique em Adicionar Provedor de Identidade.

  3. Ao lado de Microsoft Active Directory Federation Services 2.0, clique em Adicionar.

  4. No campo Nome para exibição, insira um nome para o provedor de identidade. Observe que esse nome será exibido no Portal de Gerenciamento do ACS e nas páginas de logon para seus aplicativos por padrão.

  5. No campo de metadados WS-Federation, insira a URL para o documento de metadados da instância ou use a opção Arquivo para carregar uma cópia local do documento de metadados. Ao usar uma URL, o caminho da URL para o documento de metadados pode ser encontrado na seção Service\Endpoints do Console de Gerenciamento. As duas etapas a seguir tratam das opções de página de logon para seus aplicativos de terceira parte confiável; elas são opcionais e podem ser ignoradas.

  6. Se você quiser editar o texto que aparece para esse provedor de identidade nas páginas de logon de seus aplicativos, insira o texto desejado no campo Texto do link de logon.

  7. Se você quiser exibir uma imagem desse provedor de identidade nas páginas de logon dos seus aplicativos, insira uma URL para um arquivo de imagem no campo URL da imagem. Idealmente, esse arquivo de imagem deve ser hospedado em um site confiável (usando HTTPS, se possível, para impedir avisos de segurança do navegador) e você deve ter permissão do seu parceiro para exibir essa imagem. Consulte ajuda em Páginas de Logon e Descoberta de Realm Inicial para obter orientações adicionais sobre as configurações de página de logon.

  8. Se você quiser solicitar que os usuários façam logon usando seu endereço de email em vez de clicar em um link, digite os sufixos de domínio de email que deseja associar a esse provedor de identidade no campo Nomes de domínio de email. Por exemplo, se o provedor de identidade hospedar contas de usuário cujos endereços de email terminam com @contoso.com, insira contoso.com. Use ponto e vírgula para separar a lista de sufixos (por exemplo, contoso.com; fabrikam.com). Consulte ajuda em Páginas de Logon e Descoberta de Realm Inicial para obter orientações adicionais sobre as configurações de página de logon.

  9. No campo Aplicativos de terceira parte confiável, selecione todos os aplicativos de terceira parte confiável existentes que você queira associar a esse provedor de identidade. Isso faz com que o provedor de identidade apareça na página de logon para o aplicativo e possibilita que as declarações sejam entregues do provedor de identidade para o aplicativo. Observe que as regras ainda precisam ser adicionadas ao grupo de regras do aplicativo que definem quais declarações entregar.

  10. Clique em Salvar.

Etapa 2: Adicionar um certificado ao ACS para descriptografar tokens recebidos do AD FS 2.0 no Portal de Gerenciamento do ACS (opcional)

Esta etapa adiciona e configura um certificado para descriptografar tokens recebidos de . Esta é uma etapa opcional que ajuda a reforçar a segurança. Especificamente, ela ajuda a evitar que o conteúdo do token seja exibido e violado.

Para adicionar um certificado ao namespace Controle de Acesso para descriptografar tokens recebidos do AD FS 2.0 (opcional)

  2. Se você não tiver sido autenticado usando Windows Live ID (conta da Microsoft), será necessário fazer isso.

  3. Depois de ser autenticado com sua Windows ID Dinâmica (conta da Microsoft), você será redirecionado para a página Meus Projetos no portal Microsoft Azure.

  4. Clique no nome do projeto desejado na página Meu Projeto.

  5. Na página Project:<<nome do projeto>>, clique no link Controle de Acesso ao lado do namespace desejado.

  6. Na Controle de Acesso Configurações: <<sua página de namespace>>, clique no link Gerenciar Controle de Acesso.

  7. Na página principal do Portal de Gerenciamento do ACS, clique em Certificados e Chaves.

  8. Clique em Adicionar Certificado de Descriptografia de Token.

  9. No campo Nome, insira o nome para exibição do seu certificado.

  10. No campo Certificado, procure o certificado X.509 com uma chave privada (arquivo.pfx) para esse namespace Controle de Acesso e insira a senha do arquivo .pfx no campo Senha. Se você não tiver um certificado, siga as instruções na tela para gerar um ou consulte a ajuda em Certificados e Chaves para obter orientações adicionais sobre como obter um certificado.

  11. Clique em Salvar.

Etapa 3 – Adicionar seu namespace Controle de Acesso como uma terceira parte confiável no AD FS 2.0

Esta etapa ajuda a configurar o ACS como uma terceira parte confiável em .

Para adicionar o namespace Controle de Acesso como uma terceira parte confiável no AD FS 2.0

  1. No console de Gerenciamento, clique no AD FS 2.0 e, no painel Ações , clique em Adicionar Confiança de Terceira Parte Confiável para iniciar o Assistente para Adicionar Confiança de Terceira Parte Confiável.

  2. Na página Bem-vindo, clique em Iniciar.

  3. Na página Selecionar Fonte de Dados, clique em Importar dados sobre a terceira terceira parte confiável publicada online ou em uma rede local, digite o nome do namespace Controle de Acesso e clique em Avançar.

  4. Na página Especificar Nome para Exibição, insira um nome para exibição e clique em Avançar.

  5. Na página Escolher Regras de Autorização de Emissão, clique em Permitir que todos os usuários acessem esta Terceira Parte Confiável e clique em Avançar.

  6. Na página Pronto para Adicionar Confiança, examine as configurações de confiança da terceira parte confiável e clique em Avançar para salvar a configuração.

  7. Na página Concluir, clique em Fechar para sair do assistente. Isso também abre a página de propriedades Editar Regras de Declaração para o Aplicativo de Exemplo WIF. Deixe essa caixa de diálogo aberta e vá para o próximo procedimento.

Etapa 4 – Adicionar regras de declaração para o namespace Controle de Acesso no AD FS 2.0

Esta etapa configura regras de declarações no . Dessa forma, você garante que as declarações desejadas sejam passadas para o ACS.

Para adicionar regras de declaração para o namespace Controle de Acesso no AD FS 2.0

  1. Na página de propriedades Editar Regras de Declaração, na guia Regras de Transformação de Emissão, clique em Adicionar Regra para iniciar o Assistente Adicionar Regra de Transformação de Declaração.

  2. Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, clique em Passar ou Filtrar uma Declaração de Entrada no menu e clique em Avançar.

  3. Na página Configurar Regra, em Nome da regra de declaração, digite um nome de exibição para a regra.

  4. Na lista suspensa Tipo de declaração de entrada, selecione o tipo de declaração de identidade que deseja passar para o aplicativo e clique em Concluir.

  5. Clique em OK para fechar a página de propriedades e salvar as alterações para confiança da terceira parte confiável.

  6. Repita as etapas 1 a 5 para cada declaração que você deseja emitir no namespace Controle de Acesso.

  7. Clique em OK.