Была ли эта страница полезной?
Ваш отзыв об этом контенте важен для нас. Расскажите нам о том, что вы думаете.
Дополнительный отзыв?
1500 символов осталось
Инструкции Настройка служб AD FS 2.0 в качестве поставщика удостоверений
Collapse the table of content
Expand the table of content

Инструкции Настройка служб AD FS 2.0 в качестве поставщика удостоверений

Опубликовано: Апрель 2011 г.

Обновлено: Июнь 2015 г.

Назначение: Azure

  • Microsoft Azure Active Directory Access Control (также называется Access Control Service или ACS)

  • Службы федерации Active Directory® 2.0

В данном разделе описывается, как настроить в качестве поставщика удостоверений. Настройка в качестве поставщика удостоверений для веб-приложения ASP.NET даст пользователям возможность проходить проверку подлинности в веб-приложении ASP.NET, входя со своей корпоративной учетной записью, управляемой Active Directory.

  • Цели

  • Обзор

  • Сводка действий

  • Шаг 1. Добавление AD FS 2.0 как поставщика удостоверений на портале управления ACS

  • Шаг 2. Добавление сертификата в ACS для расшифровки токенов, полученных от AD FS 2.0 на портале управления ACS (необязательно)

  • Шаг 3. Добавление Пространство имен Access Control в качестве проверяющей стороны в AD FS 2.0

  • Шаг 4. Добавление правил для утверждений для Пространство имен Access Control в AD FS 2.0

  • Настройка отношения доверия между Служба управления доступом и .

  • Повышение безопасности обмена токенами и метаданными.

Настройка как поставщика удостоверений обеспечивает повторное использование существующих учетных записей, управляемых корпоративной службой Active Directory, для проверки подлинности. Такая настройка устраняет необходимость построения сложных механизмов синхронизации учетных записей или разработки пользовательского кода, выполняющего задачи принятия учетных данных пользователя, проверки их в хранилище учетных данных и управления удостоверениями. Интеграция Служба управления доступом и достигается только путем настройки, пользовательский код не требуется.

  • Шаг 1. Добавление AD FS 2.0 как поставщика удостоверений на портале управления ACS

  • Шаг 2. Добавление сертификата в ACS для расшифровки токенов, полученных от AD FS 2.0 на портале управления ACS (необязательно)

  • Шаг 3. Добавление Пространство имен Access Control в качестве проверяющей стороны в AD FS 2.0

  • Шаг 4. Добавление правил для утверждений для Пространство имен Access Control в AD FS 2.0

На этом шаге выполняется добавление в качестве поставщика удостоверений на портале управления Служба управления доступом.

  1. На главной странице портала управления Служба управления доступом щелкните пункт Поставщики удостоверений.

  2. Щелкните Добавление поставщика удостоверений.

  3. Рядом с пунктом Microsoft Active Directory Federation Services 2.0 нажмите кнопку Добавить.

  4. В поле Отображаемое имя введите отображаемое имя для этого поставщика удостоверений. Обратите внимание, что это имя будет отображаться на портале управления ACS и по умолчанию на страницах входа для приложений.

  5. В поле Метаданные WS-Federation введите URL-адрес документа метаданных для используемого экземпляра или с помощью параметра Файл загрузите локальную копию документа метаданных. Если используется URL-адрес, путь к документу метаданных можно найти в разделе Служба\Конечные точки консоли управления . Следующие два шага связаны с определением параметров страницы входа для приложений проверяющей стороны; они являются необязательными, и их можно пропустить.

  6. Если требуется изменить текст, отображаемый для этого поставщика удостоверений на страницах входа для приложений, введите нужный текст в поле Текст ссылки для входа.

  7. Чтобы отображать на страницах входа для приложений изображение данного поставщика удостоверений, введите URL-адрес файла изображения в поле URL-адрес изображения. В идеальном случае этот файл изображения должен находиться на доверенном сайте (по возможности с использованием HTTPS, чтобы предотвратить предупреждения безопасности браузера), а пользователь должен иметь разрешение от партнера для отображения этого изображения. Дополнительные рекомендации по параметрам страницы входа см. в справке в разделе Страницы входа и обнаружение домашней области.

  8. Если вы хотите предлагать пользователям входить с использованием их адресов электронной почты, а не нажимать ссылку, укажите суффиксы доменов электронной почты, которые должны быть связаны с этим поставщиком удостоверений, в поле Имена доменов электронной почты. Например, если поставщик удостоверений размещает учетные записи пользователей, адреса электронной почты которых заканчиваются на @contoso.com, введите contoso.com. Для разделения суффиксов в списке используйте точку с запятой (например, contoso.com; fabrikam.com). Дополнительные рекомендации по параметрам страницы входа см. в справке в разделе Страницы входа и обнаружение домашней области.

  9. В поле Приложения проверяющей стороны укажите все имеющиеся приложения проверяющей стороны, которые следует связать с данным поставщиком удостоверений. В результате на странице входа такого приложения будет отображаться этот поставщик удостоверений, при этом становится возможной доставка утверждений от поставщика удостоверений в приложение. Обратите внимание, что по-прежнему необходимо добавлять в группу правил приложения правила, которые определяют, какие утверждения должны доставляться.

  10. Нажмите кнопку Сохранить.

На этом шаге выполняется добавление и настройка сертификата для расшифровки токенов, полученных от . Это необязательный шаг, который помогает повысить безопасность. В частности, это помогает защищать содержимое токенов от просмотра и подделки.

  1. Если проверка подлинности с помощью Идентификатор Windows Live ID (учетная запись Майкрософт) еще не пройдена, потребуется это сделать.

  2. После проверки подлинности с помощью Идентификатор Windows Live ID (учетная запись Майкрософт) вы будете перенаправлены на страницу Мои проекты на портале Microsoft Azure.

  3. Щелкните имя нужного проекта на странице Мой проект.

  4. На странице Проект:<<имя_проекта>> щелкните ссылку Access Control рядом с нужным пространством имен.

  5. На странице Параметры Access Control: <<пространство_имен>> щелкните ссылку Access Control.

  6. На главной странице портала управления ACS щелкните пункт Сертификаты и ключи.

  7. Нажмите Добавить сертификат расшифровки токена.

  8. В поле Имя введите отображаемое имя для сертификата.

  9. В поле Сертификат найдите сертификат X.509 с закрытым ключом (PFX-файлом) для данного Пространство имен Access Control, а затем введите пароль для PFX-файла в поле Пароль. Если сертификат отсутствует, следуйте инструкциям на экране по его созданию или прочитайте дополнительные рекомендации по получению сертификата в справке в разделе Сертификаты и ключи.

  10. Нажмите кнопку Сохранить.

На этом шаге выполняется настройка Служба управления доступом в качестве проверяющей стороны в .

  1. В консоли управления выберите AD FS 2.0, а затем в панели действий щелкните пункт Добавить отношение доверия с проверяющей стороной, чтобы запустить мастер добавления отношения доверия с проверяющей стороной

  2. На странице Добро пожаловать нажмите кнопку Пуск.

  3. На странице Выбор источника данных щелкните Импорт данных о проверяющей стороне, опубликованных в Интернете или локальной сети, введите имя Пространство имен Access Control и нажмите кнопку Далее.

  4. На странице Укажите отображаемое имя введите отображаемое имя и нажмите кнопку Далее.

  5. На странице Выбор правил авторизации выдачи сертификатов установите флажок Разрешить всем пользователям доступ к этой проверяющей стороне, а затем нажмите кнопку Далее.

  6. На странице готовности добавить отношение доверия просмотрите параметры отношения доверия проверяющей стороны и нажмите кнопку Далее, чтобы сохранить конфигурацию.

  7. На странице Готово нажмите кнопку Закрыть, чтобы завершить работу мастера. В результате этого действия также открывается страница свойств Изменение правил утверждений для примера приложения WIF. Оставьте это диалоговое окно открытым и перейдите к следующей процедуре.

На этом шаге выполняется настройка правил для утверждений в . Таким способом можно обеспечить передачу требуемых утверждений из в Служба управления доступом.

  1. На странице свойств изменения правил утверждений перейдите на вкладку Правила преобразования выдачи и нажмите Добавить правило, чтобы запустить мастер добавления правил утверждений для преобразования.

  2. На странице Выбор шаблона правила в разделе Шаблон правил утверждений выберите в меню Передача или фильтрация входящего утверждения, а затем нажмите кнопку Далее.

  3. На странице Настройка правила в поле Имя правила утверждения введите отображаемое имя для правила.

  4. В раскрывающемся списке Тип входящего утверждения выберите тип утверждения для удостоверения, которое должно передаваться в приложение, и нажмите кнопку Готово.

  5. Нажмите кнопку ОК, чтобы закрыть страницу свойств и сохранить изменения в отношении доверия с проверяющей стороной.

  6. Повторите шаги 1—5 для каждого утверждения, которое требуется выдать из в Пространство имен Access Control.

  7. Нажмите кнопку ОК.

Добавления сообщества

ДОБАВИТЬ
Показ:
© 2015 Microsoft