Esta documentação foi arquivada e não está sendo atualizada.

Como: Configurar o AD FS 2.0 como um provedor de identidade

Publicado: abril de 2011

Atualizado: junho de 2015

Aplica-se a: Azure

  • Access Control do Active Directory do Microsoft Azure (também conhecido como Access Control Service ou ACS)

  • Serviços de Federação do Active Directory® 2.0

Esse Manual descreve como configurar o como um provedor de identidade. Configurar o como um provedor de identidade para seu aplicativo Web ASP.NET permite aos seus usuários autenticar seu aplicativo Web ASP.NET ao entrar na conta corporativa gerenciada pelo Active Directory.

  • Objetivos

  • Visão geral

  • Resumo de etapas

  • Etapa 1: Adicionar o AD FS 2.0 como um Provedor de Identidade no Portal de Gerenciamento do ACS

  • Etapa 2: Adicionar um certificado ao ACS para descriptografar tokens recebidos do AD FS 2.0 no Portal de Gerenciamento do ACS (opcional)

  • Etapa 3 - Adicionar o seu Namespace do Access Control como parte confiante no AD FS 2.0

  • Etapa 4 - Adicionar regras de declaração para o Namespace do Access Control no AD FS 2.0

  • Configurar confiança entre ACS e .

  • Aprimorar a segurança do token e troca de metadados.

A configuração do como provedor de identidade permite a reutilização de contas existentes gerenciadas pelo Active Directory corporativo para autenticação. Ele elimina a necessidade de criar mecanismos de sincronização de conta complexa ou o desenvolvimento de código personalizado que executa as tarefas de aceitar credenciais de usuário final, validá-las em relação ao armazenamento de credenciais e gerenciar as identidades. A integração do ACS e é conseguida somente por configuração; não é necessário nenhum código personalizado.

  • Etapa 1: Adicionar o AD FS 2.0 como um Provedor de Identidade no Portal de Gerenciamento do ACS

  • Etapa 2: Adicionar um certificado ao ACS para descriptografar tokens recebidos do AD FS 2.0 no Portal de Gerenciamento do ACS (opcional)

  • Etapa 3 - Adicionar o seu Namespace do Access Control como parte confiante no AD FS 2.0

  • Etapa 4 - Adicionar regras de declaração para o Namespace do Access Control no AD FS 2.0

Esta etapa adiciona o como um provedor de identidade no Portal de Gerenciamento do ACS.

  1. Na página principal do Portal de Gerenciamento do ACS, clique em Provedores de Identidade.

  2. Clique em Adicionar Provedor de Identidade.

  3. Ao lado de Microsoft Active Directory Federation Services 2.0, clique em Adicionar.

  4. No campo Nome para exibição, insira um nome para o provedor de identidade. Observe que esse nome será exibido no Portal de Gerenciamento do ACS e nas páginas de logon para seus aplicativos por padrão.

  5. No campo Metadados do WS-Federation, insira a URL para o documento de metadados para a instância ou use a opção Arquivo para carregar uma cópia local do documento de metadados. Ao usar uma URL, o caminho da URL para o documento de metadados pode ser encontrado na seção Serviço\Pontos de Extremidade do Console de Gerenciamento do . As duas etapas a seguir tratam das opções de página de logon para seus aplicativos de terceira parte confiável; elas são opcionais e podem ser ignoradas.

  6. Se você quiser editar o texto que aparece para esse provedor de identidade nas páginas de logon de seus aplicativos, insira o texto desejado no campo Texto do link de logon.

  7. Se você quiser exibir uma imagem desse provedor de identidade nas páginas de logon dos seus aplicativos, insira uma URL para um arquivo de imagem no campo URL da imagem. Idealmente, esse arquivo de imagem deve ser hospedado em um site confiável (usando HTTPS, se possível, para evitar avisos de segurança do navegador) e você deve ter permissão do seu parceiro do para exibir essa imagem. Consulte a ajuda em Páginas de logon e Home Realm Discovery para obter mais orientações sobre as configurações de página de logon.

  8. Se você quiser solicitar que os usuários façam logon usando seu endereço de email em vez de clicar em um link, digite os sufixos de domínio de email que deseja associar a esse provedor de identidade no campo Nomes de domínio de email. Por exemplo, se o provedor de identidade hospeda contas de usuário cujos endereços de email terminam com @contoso.com, digite contoso.com. Use ponto e vírgula para separar a lista de sufixos (por exemplo, contoso.com; fabrikam.com). Consulte a ajuda em Páginas de logon e Home Realm Discovery para obter mais orientações sobre as configurações de página de logon.

  9. No campo Aplicativos de terceira parte confiável, selecione todos os aplicativos de terceira parte confiável existentes que você queira associar a esse provedor de identidade. Isso faz com que o provedor de identidade apareça na página de logon para o aplicativo e possibilita que as declarações sejam entregues do provedor de identidade para o aplicativo. Observe que as regras ainda precisam ser adicionadas ao grupo de regras do aplicativo que definem quais declarações entregar.

  10. Clique em Salvar.

Esta etapa adiciona e configura um certificado para descriptografar tokens recebidos de . Esta é uma etapa opcional que ajuda a reforçar a segurança. Especificamente, ela ajuda a evitar que o conteúdo do token seja exibido e violado.

  1. Se você não foi autenticado com o Windows Live ID (conta da Microsoft)., terá que fazê-lo.

  2. Após ser autenticado no Windows Live ID (conta da Microsoft)., você será redirecionado à página Meus Projetos no portal do Microsoft Azure.

  3. Clique no nome do projeto desejado na página Meu Projeto.

  4. Na página Projeto:<<nome do seu projeto>>, clique no link Controle de Acesso ao lado do namespace desejado.

  5. Nas Configurações de Controle de Acesso: na página <<seu namespace>>, clique no link Gerenciar Controle de Acesso.

  6. Na página principal do Portal de Gerenciamento do ACS, clique em Certificados e Chaves.

  7. Clique em Adicionar Certificado de Descriptografia de Token.

  8. No campo Nome, insira o nome para exibição do seu certificado.

  9. No campo Certificado, procure o certificado X.509 com uma chave privada (arquivo .pfx) para este Namespace do Access Control e digite a senha para o arquivo .pfx no campo Senha. Se você não tiver um certificado, siga as instruções na tela para gerar um, ou consulte a ajuda em Certificados e chaves para obter mais orientações sobre como obter um certificado.

  10. Clique em Salvar.

Essa etapa ajuda a configurar o ACS como terceira parte confiável no .

  1. No Console de Gerenciamento do , clique em AD FS 2.0 e no painel Ações, clique em Adicionar Confiança de Terceira Parte Confiável para iniciar o Assistente de Confiança de Terceira Parte Confiável.

  2. Na página de Boas-vindas, clique em Iniciar.

  3. Na página Selecionar Fonte de Dados, clique em Importar dados sobre a terceira parte confiável publicados online ou em uma rede local, digite o nome do seu Namespace do Access Control e clique em Avançar.

  4. Na página Especificar Nome para Exibição, insira um nome para exibição e clique em Avançar.

  5. Na página Escolher Regras de Autorização de Emissão, clique em Permitir que todos os usuários acessem esta Terceira Parte Confiável e clique em Avançar.

  6. Na página Pronto para Adicionar Confiança, examine as configurações de confiança da terceira parte confiável e clique em Avançar para salvar a configuração.

  7. Na página Concluir, clique em Fechar para sair do assistente. Isso também abre a página de propriedades Editar Regras de Declaração para o Aplicativo de Exemplo WIF. Deixe essa caixa de diálogo aberta e vá para o próximo procedimento.

Esta etapa configura regras de declarações no . Assim você garante que as declarações desejadas são passadas do para o ACS.

  1. Na página de propriedades Editar Regras de Declaração, na guia Regras de Transformação de Emissão, clique em Adicionar Regra para iniciar o Assistente Adicionar Regra de Transformação de Declaração.

  2. Na página Selecionar Modelo de Regra, em Modelo de regra de declaração, clique em Passar ou Filtrar uma Declaração de Entrada no menu e clique em Avançar.

  3. Na página Configurar Regra, em Nome da regra de declaração, digite um nome de exibição para a regra.

  4. Na lista suspensa Tipo de declaração de entrada, selecione o tipo de declaração de identidade que deseja passar para o aplicativo e clique em Concluir.

  5. Clique em OK para fechar a página de propriedades e salvar as alterações para confiança da terceira parte confiável.

  6. Repita as etapas de 1 a 5 para cada declaração que deseja emitir do para o Namespace do Access Control.

  7. Clique em OK.

Mostrar: