Esta documentação foi arquivada e não está sendo atualizada.

Como: Configurar o Google como um provedor de identidade

Publicado: abril de 2011

Atualizado: junho de 2015

Aplica-se a: Azure

ImportantImportante
A partir de 19 de maio de 2014, os novos namespaces do ACS não podem usar o Google como um provedor de identidade. Os namespaces do ACS que usaram o Google e foram registrados antes dessa data não serão afetados. Para obter mais informações, consulte Notas de versão.

  • Access Control do Active Directory do Microsoft Azure (também conhecido como Access Control Service ou ACS)

Esse Manual explica como configurar o Google como um provedor de identidade do ACS. Configurar o Google como um provedor de identidade para seu aplicativo Web ASP.NET permite aos usuários autenticar o aplicativo Web ASP.NET quando eles entram em suas respectivas contas do Google.

  • Objetivos

  • Visão geral

  • Resumo de etapas

  • Etapa 1 – Criar um namespace

  • Etapa 2 – Configurar o Google como um provedor de identidade

  • Etapa 3 – Configurar a confiança com a terceira parte confiável

  • Etapa 4 – Configurar as regras de transformação do token

  • Etapa 5 – Analisar os pontos de extremidade expostos pelo namespace

  • Criar um namespace e um projeto Microsoft Azure.

  • Configurar um namespace para ser usado com o Google como um provedor de identidade.

  • Configurar a confiança e as regras de transformação do token.

  • Familiarizar-se com a referência do ponto de extremidade, lista de serviços e pontos de extremidade dos metadados.

Configurar o Google como um provedor de identidade elimina a necessidade de criar e gerenciar o mecanismo de gerenciamento de identidade e autenticação. Isso ajuda na experiência do usuário final se houver procedimentos de autenticação conhecidos. Ao utilizar o ACS, é fácil definir uma configuração que permita que o aplicativo consuma a mesma imediatamente e ofereça tal funcionalidade para os usuários finais. Esse Manual explica como realizar essa tarefa. O diagrama a seguir descreve o fluxo geral de configuração de uma terceira parte confiável do ACS para uso.

Fluxo de trabalho do ACS v2

Complete as etapas a seguir para configurar o Google como um provedor de identidade para seu aplicativo :

  • Etapa 1 – Criar um namespace

  • Etapa 2 – Configurar o Google como um provedor de identidade

  • Etapa 3 – Configurar a confiança com a terceira parte confiável

  • Etapa 4 – Configurar as regras de transformação do token

  • Etapa 5 – Analisar os pontos de extremidade expostos pelo namespace

Essa etapa cria um Namespace do Access Control no projeto Azure. Você pode ignorar essa etapa se quiser configurar o Google como um provedor de identidade para um namespace existente.

  1. Vá para o Portal de Gerenciamento do Microsoft Azure(https://manage.WindowsAzure.com), entre e, em seguida, clique em Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou indisponível)

  2. Para criar um namespace do Access Control clique em Novo, clique em Serviços de Aplicativo, clique em Access Control, e depois em Criação Rápida. (Or, clique em Namespaces do Access Control antes de clicar em Novo.)

Essa etapa mostra como configurar o Google como um provedor de identidade para um namespace existente.

  1. Vá para o Portal de Gerenciamento do Microsoft Azure(https://manage.WindowsAzure.com), entre e, em seguida, clique em Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou indisponível)

  2. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

  3. No portal do ACS, clique em Provedores de identidade.

  4. Na página Adicionar provedor de identidade, clique em Adicionar e depois selecione Google.

  5. Na página Adicionar provedor de identidade do Google, clique em Salvar.

Essa etapa mostra como configurar a confiança entre seu aplicativo, chamado de terceira parte confiável e o ACS.

  1. Vá para o Portal de Gerenciamento do Microsoft Azure(https://manage.WindowsAzure.com), entre e, em seguida, clique em Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou indisponível)

  2. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

  3. No portal do ACS, clique em Aplicativos de terceira parte confiável e depois clique em Adicionar.

  4. Na página Adicionar aplicativo de terceira parte confiável, especifique os seguintes valores para os campos a seguir:

    • Nome—Um nome arbitrário de sua escolha.

    • Território—O território é a URI na qual os tokens emitidos pelo ACS são válidos.

    • URL de Retorno—A URL de retorno define a URL que o ACS posta o token emitido para um determinado aplicativo de parte confiável.

    • Formato de token—O formato de token define o tipo de token que o ACS emite para um aplicativo de parte confiável.

    • Política de criptografia de token—Opcionalmente, o ACS pode criptografar qualquer token SAML 1.1 ou SAML 2.0 emitido para um aplicativo de parte confiável.

    • Tempo de vida do token—O tempo de vida do token especifica o Time to Live (TTL) para o token emitido pelo ACS para o aplicativo de parte confiável.

    • Provedores de identidade—O campo provedores de identidade permite especificar quais provedores de identidade usar com seu aplicativo de parte confiável. Verifique se o Google está selecionado.

    • Grupos de regras—Grupos de regras contém regras que definem quais declarações de identidade do usuário são transmitidas de provedores de identidade para seu aplicativo de parte confiável.

    • Assinatura de token—ACS assina todos os tokens de segurança que emite usando um certificado X.509 (com uma chave privada) ou uma chave simétrica de 256 bits.

    Para obter mais informações sobre cada campo, consulte Aplicativos de terceira parte confiável.

  5. Clique em Salvar.

Essa etapa mostra como configurar as declarações que serão enviadas pelo ACS para o aplicativo de terceira parte confiável. Por exemplo, o Google, por padrão, não envia email para os usuários. Você precisa configurar o provedor de identidade para fornecer as declarações desejadas para seu aplicativo e como transformá-lo. O procedimento a seguir mostra como adicionar uma regra para passar por um endereço de email no token para que seu aplicativo possa usá-lo.

  1. Vá para o Portal de Gerenciamento do Microsoft Azure(https://manage.WindowsAzure.com), entre e, em seguida, clique em Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou indisponível)

  2. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

  3. No portal do ACS, clique em Grupos de regras e depois clique em Adicionar. Ou você pode editar um grupo de regras existente.

  4. Especifique um nome para seu novo grupo e depois clique em Salvar.

  5. Em Editar grupo de regras, clique em Adicionar.

  6. Na página Adicionar regra de declaração, especifique os valores a seguir:

    • Emissor de declaração: Selecione Provedor de identidade e Google.

    • Tipo de declaração de entrada: Selecione Selecionar tipo e http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.

    • Valor de declaração de entrada: Selecione Qualquer.

    • Tipo de declaração de saída: Selecione Passar pelo tipo de declaração de entrada.

    • Valor da declaração de saída: Selecione Passar através do valor de declaração de entrada.

    • Opcionalmente, em Descrição, adicione uma descrição para a regra.

  7. Nas páginas Editar grupo de regras e Grupos de regras, clique em Salvar.

  8. Clique nos Aplicativos de terceira parte desejados.

  9. Role até a seção Grupos de regras, selecione o novo Grupo de regras e depois clique em Salvar.

Essa etapa familiariza você com os pontos de extremidade que o ACS expõe. Por exemplo, o ACS expõe o ponto de extremidade dos metadados de WS-Federation que são usados pelo FedUtil durante a configuração dos aplicativos Web ASP.NET para autenticação federada.

  1. Vá para o Portal de Gerenciamento do Microsoft Azure(https://manage.WindowsAzure.com), entre e, em seguida, clique em Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou indisponível)

  2. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

  3. No portal do ACS, clique em Integração do aplicativo

  4. Analise a tabela de Referência do ponto de extremidade. Por exemplo, os metadados de WS-Federation expostos pela URL devem ser semelhantes ao que se segue (seu namespace será diferente).

    https://my-namespace1.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml
    

Consulte também

Conceitos

Manuais do ACS

Mostrar: