Эта документация перемещена в архив и не поддерживается.

Инструкции Настройка доверия между службой ACS и веб-приложениями ASP.NET с использованием сертификатов X.509

Опубликовано: Апрель 2011 г.

Обновлено: Июнь 2015 г.

Назначение: Azure

  • Microsoft Azure Active Directory Access Control (также называется Access Control Service или ACS)

  • ASP.NET

В этом разделе описывается настройка доверия между приложением и Служба управления доступом. Доверие устанавливается с помощью подписи токенов, которыми обмениваются веб-приложения ASP.NET и Служба управления доступом.

  • Цели

  • Обзор

  • Сводка действий

  • Шаг 1. Перейдите в раздел «Сертификаты подписи токена»

  • Шаг 2. Настройка доверия с использованием сертификатов X.509

  • Шаг 3. Просмотрите атрибуты, связанные с доверием в файле web.config и портале управления ACS

  • Ознакомьтесь с разделом управления доверием на портале управления Служба управления доступом.

  • Управление доверием с использованием сертификатов X.509.

  • Проверьте необходимые настройки в файле web.config и на портале управления.

Доверительные отношения необходимы для правильного обмена токенами между приложением и Служба управления доступом. Доверие гарантирует, что токены не подделаны во время передачи и были выданы доверенной стороной. Для веб-приложений ASP.NET управление доверием осуществляется с помощью сертификатов X.509 и основано на настройке портала управления Служба управления доступом и конфигурации web.config.

Для установления отношений доверия между веб-приложением ASP.NET и Служба управления доступом и управления ими выполните следующие действия.

  • Шаг 1. Перейдите в раздел «Сертификаты подписи токена»

  • Шаг 2. Настройка доверия с использованием сертификатов X.509

  • Шаг 3. Просмотрите атрибуты, связанные с доверием в файле web.config и портале управления ACS

Этот шаг показывает, как перейти в раздел управления доверием портала управления Служба управления доступом.

  1. Перейдите на портал управления Microsoft Azure, выполните вход и щелкните Active Directory. (Совет по устранению неполадок. Элемент "Active Directory" отсутствует или недоступен)

  2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

  3. На портале Служба управления доступом щелкните Приложения проверяющей стороны.

  4. Щелкните приложение проверяющей стороны.

  5. На странице Изменение приложения проверяющей стороны прокрутите вниз до раздела Сертификаты подписи токенов.

  6. Выберите сертификат.

Этот шаг показывает, как настроить отношения доверия между Служба управления доступом и веб-приложением ASP.NET и управлять ими с помощью сертификата X.509. Используйте учетные данные подписи сертификата X.509, если в приложении проверяющей стороны используется Windows® Identity Foundation (WIF).

  1. Перейдите на портал управления Microsoft Azure, выполните вход и щелкните Active Directory. (Совет по устранению неполадок. Элемент "Active Directory" отсутствует или недоступен)

  2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

  3. Щелкните Сертификаты и ключи и выберите сертификат X.509.

  4. На странице Изменение токена подписи сертификата или ключа укажите следующие значения.

    • Имя. Произвольное имя по вашему выбору.

    • Тип. Сертификат X.509.

    • Сертификат. Для использования сертификата, который Служба управления доступом создает по умолчанию, никаких действий не требуется. Можно также отправить собственный сертификат X.509.

      Сертификат должен быть защищен паролем. Он обычно имеет расширение .pfx. При отправке собственного сертификата X.509 введите пароль файла pfx в текстовое поле Пароль.

    • Password: Если используется сертификат по умолчанию, никаких действий не требуется. Если вы отправляете сертификат, он должен быть защищен паролем. Введите пароль файла .pfx в текстовое поле Пароль.

  5. Нажмите кнопку Сохранить.

Существует несколько способов получить сертификат X.509 для шифрования или подписи токена. Используемый метод зависит от ваших требований и от инструментов, которые доступны в вашей организации.

Локальный центр сертификации

Если ваша организация развернула центр сертификации (ЦС), например службы сертификатов Active Directory (AD CS), можно запросить сертификат X.509. Может потребоваться обратиться к администратору центра сертификации за инструкциями или разрешениями. Подробнее о службах сертификатов Active Directory см. в разделе Службы сертификатов Active Directory (http://go.microsoft.com/fwlink/?linkid=208371).

Коммерческий центр сертификации

Можно приобрести сертификат X.509 от коммерческого центра сертификации, например Verisign. Поскольку это выпуск Labs, рекомендуется использовать локальный центр сертификации (если доступно) или создать самозаверяющий сертификат (см. ниже).

Создание самозаверяющего сертификата

С помощью программного обеспечения можно создать собственный самозаверяющий сертификат для использования с Служба управления доступом. Хотя обычно это рекомендуется только для целей тестирования, это может сделать любой пользователь без доступа к локальным ЦС и оплаты в коммерческом центре сертификации. При работе с Windows можно загрузить MakeCert.exe как часть пакета Windows SDK (http://go.microsoft.com/fwlink/?linkid=84091) и использовать его для создания сертификата.

Экспорт самозаверяющего сертификата

Инструкции по экспорту самозаверяющего сертификата см. в разделе Сертификаты и ключи.

Этот шаг показывает, как проверить атрибуты конфигурации, связанные с доверием в файле web.config вашего веб-приложения ASP.NET.

  1. Откройте файл web.config для веб-приложения ASP.NET.

  2. Перейдите к узлу audiencesUris и убедитесь, что значение его дочернего узла добавить является таким же, как значение, введенное в поле свойства область на странице Изменение проверяющей стороны портала управления Служба управления доступом.

    1. Перейдите на портал управления Microsoft Azure, выполните вход и щелкните Active Directory. (Совет по устранению неполадок. Элемент "Active Directory" отсутствует или недоступен)

    2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

    3. Щелкните Приложения проверяющей стороны.

    4. На странице Приложения проверяющей стороны щелкните нужное приложение.

    5. На странице Изменение приложения проверяющей стороны просмотрите атрибут область.

См. также

Основные понятия

Инструкции для ACS

Показ: