Практическое руководство. Настройка AD FS 2.0 в качестве поставщика удостоверений

  • Статья

Обновлено: 19 июня 2015 г.

Область применения: Azure

Применяется к

  • Microsoft Azure Active Directory Access Control (также называется Access Control Service или ACS)

  • Службы федерации Active Directory® 2.0

Сводка

В этом разделе описывается настройка в качестве поставщика удостоверений. Настройка в качестве поставщика удостоверений для веб-приложения ASP.NET позволит пользователям проходить проверку подлинности в веб-приложении ASP.NET, войдите в свою корпоративную учетную запись, управляемую Active Directory.

Содержимое

  • Задачи

  • Обзор

  • Сводка действий

  • Шаг 1. Добавление AD FS 2.0 как поставщика удостоверений на портале управления ACS

  • Шаг 2. Добавление сертификата в ACS для расшифровки токенов, полученных от AD FS 2.0 на портале управления ACS (необязательно)

  • Шаг 3. Добавление пространства имен контроль доступа в качестве проверяющей стороны в AD FS 2.0

  • Шаг 4. Добавление правил утверждений для пространства имен контроль доступа в AD FS 2.0

Задачи

  • Настройка доверия между ACS и .

  • Повышение безопасности обмена токенами и метаданными.

Обзор

Настройка в качестве поставщика удостоверений позволяет повторно использовать существующие учетные записи, управляемые корпоративным Active Directory для проверки подлинности. Такая настройка устраняет необходимость построения сложных механизмов синхронизации учетных записей или разработки пользовательского кода, выполняющего задачи принятия учетных данных пользователя, проверки их в хранилище учетных данных и управления удостоверениями. Интеграция ACS и выполняется только с помощью конфигурации — пользовательский код не требуется.

Сводка действий

  • Шаг 1. Добавление AD FS 2.0 как поставщика удостоверений на портале управления ACS

  • Шаг 2. Добавление сертификата в ACS для расшифровки токенов, полученных от AD FS 2.0 на портале управления ACS (необязательно)

  • Шаг 3. Добавление пространства имен контроль доступа в качестве проверяющей стороны в AD FS 2.0

  • Шаг 4. Добавление правил утверждений для пространства имен контроль доступа в AD FS 2.0

Шаг 1. Добавление AD FS 2.0 как поставщика удостоверений на портале управления ACS

Этот шаг добавляется в качестве поставщика удостоверений на портале управления ACS.

Добавление AD FS 2.0 в качестве поставщика удостоверений в пространство имен контроль доступа

  1. На главной странице портала управления ACS щелкните "Поставщики удостоверений".

  2. Щелкните Добавление поставщика удостоверений.

  3. Рядом с пунктом Microsoft Active Directory Federation Services 2.0 нажмите кнопку Добавить.

  4. В поле Отображаемое имя введите отображаемое имя для этого поставщика удостоверений. Обратите внимание, что это имя будет отображаться на портале управления ACS и по умолчанию на страницах входа для приложений.

  5. В поле метаданных WS-Federation введите URL-адрес документа метаданных для экземпляра или используйте параметр "Файл " для отправки локальной копии документа метаданных. При использовании URL-адреса путь к документу метаданных можно найти в разделе Service\Endpoints консоли управления. Следующие два шага связаны с определением параметров страницы входа для приложений проверяющей стороны; они являются необязательными, и их можно пропустить.

  6. Если требуется изменить текст, отображаемый для этого поставщика удостоверений на страницах входа для приложений, введите нужный текст в поле Текст ссылки для входа.

  7. Чтобы отображать на страницах входа для приложений изображение данного поставщика удостоверений, введите URL-адрес файла изображения в поле URL-адрес изображения. В идеале этот файл изображения должен размещаться на доверенном сайте (по возможности с помощью ПРОТОКОЛА HTTPS, чтобы предотвратить предупреждения системы безопасности браузера), и у партнера должно быть разрешение на отображение этого изображения. Дополнительные сведения о параметрах страниц входа и обнаружения домашней области см. в справке по параметрам страницы входа.

  8. Если вы хотите предлагать пользователям входить с использованием их адресов электронной почты, а не нажимать ссылку, укажите суффиксы доменов электронной почты, которые должны быть связаны с этим поставщиком удостоверений, в поле Имена доменов электронной почты. Например, если поставщик удостоверений размещает учетные записи пользователей, адреса электронной почты которых заканчиваются @contoso.com, введите contoso.com. Используйте точку с запятой для разделения списка суффиксов (например, contoso.com; fabrikam.com). Дополнительные сведения о параметрах страниц входа и обнаружения домашней области см. в справке по параметрам страницы входа.

  9. В поле Приложения проверяющей стороны укажите все имеющиеся приложения проверяющей стороны, которые следует связать с данным поставщиком удостоверений. В результате на странице входа такого приложения будет отображаться этот поставщик удостоверений, при этом становится возможной доставка утверждений от поставщика удостоверений в приложение. Обратите внимание, что по-прежнему необходимо добавлять в группу правил приложения правила, которые определяют, какие утверждения должны доставляться.

  10. Выберите команду Сохранить.

Шаг 2. Добавление сертификата в ACS для расшифровки токенов, полученных от AD FS 2.0 на портале управления ACS (необязательно)

На этом шаге выполняется добавление и настройка сертификата для расшифровки токенов, полученных от . Это необязательный шаг, который помогает повысить безопасность. В частности, это помогает защищать содержимое токенов от просмотра и подделки.

Добавление сертификата в пространство имен контроль доступа для расшифровки маркеров, полученных от AD FS 2.0 (необязательно)

  2. Если вы не прошли проверку подлинности с помощью Windows Live ID (учетная запись Майкрософт), это потребуется сделать.

  3. После проверки подлинности с помощью Windows Live ID (учетная запись Майкрософт) вы будете перенаправлены на страницу "Мои проекты" на портале Microsoft Azure.

  4. Щелкните имя нужного проекта на странице Мой проект.

  5. На странице Project:<<имя>> проекта щелкните ссылку контроль доступа рядом с нужным пространством имен.

  6. На странице контроль доступа Параметры: <<страница пространства имен>> щелкните ссылку "Управление контроль доступа".

  7. На главной странице портала управления ACS щелкните пункт Сертификаты и ключи.

  8. Нажмите Добавить сертификат расшифровки токена.

  9. В поле Имя введите отображаемое имя для сертификата.

  10. В поле "Сертификат" найдите сертификат X.509 с закрытым ключом (PFX-файл) для этого контроль доступа пространства имен, а затем введите пароль для PFX-файла в поле "Пароль". Если у вас нет сертификата, следуйте инструкциям на экране, чтобы создать сертификат, или обратитесь к справке по сертификатам и ключам , чтобы получить сертификат.

  11. Выберите команду Сохранить.

Шаг 3. Добавление пространства имен контроль доступа в качестве проверяющей стороны в AD FS 2.0

Этот шаг помогает настроить ACS в качестве проверяющей стороны.

Добавление пространства имен контроль доступа в качестве проверяющей стороны в AD FS 2.0

  1. В консоли управления щелкните AD FS 2.0, а затем в области действий щелкните "Добавить доверие проверяющей стороны ", чтобы запустить мастер добавления доверия проверяющей стороны.

  2. На странице приветствия нажмите кнопку Начать.

  3. На странице "Выбор источника данных" щелкните "Импорт данных о проверяющей стороне, опубликованной в Интернете или в локальной сети", введите имя пространства имен контроль доступа и нажмите кнопку "Далее".

  4. На странице Укажите отображаемое имя введите отображаемое имя и нажмите кнопку Далее.

  5. На странице Выбор правил авторизации выдачи сертификатов установите флажок Разрешить всем пользователям доступ к этой проверяющей стороне, а затем нажмите кнопку Далее.

  6. На странице готовности добавить отношение доверия просмотрите параметры отношения доверия проверяющей стороны и нажмите кнопку Далее, чтобы сохранить конфигурацию.

  7. На странице Готово нажмите кнопку Закрыть, чтобы завершить работу мастера. В результате этого действия также открывается страница свойств Изменение правил утверждений для примера приложения WIF. Оставьте это диалоговое окно открытым и перейдите к следующей процедуре.

Шаг 4. Добавление правил утверждений для пространства имен контроль доступа в AD FS 2.0

На этом шаге выполняется настройка правил для утверждений в . Таким образом, вы гарантируете, что требуемые утверждения передаются из ACS.

Добавление правил утверждений для пространства имен контроль доступа в AD FS 2.0

  1. На странице свойств изменения правил утверждений перейдите на вкладку Правила преобразования выдачи и нажмите Добавить правило, чтобы запустить мастер добавления правил утверждений для преобразования.

  2. На странице Выбор шаблона правила в разделе Шаблон правил утверждений выберите в меню Передача или фильтрация входящего утверждения, а затем нажмите кнопку Далее.

  3. На странице Настройка правила в поле Имя правила утверждения введите отображаемое имя для правила.

  4. В раскрывающемся списке Тип входящего утверждения выберите тип утверждения для удостоверения, которое должно передаваться в приложение, и нажмите кнопку Готово.

  5. Нажмите кнопку ОК, чтобы закрыть страницу свойств и сохранить изменения в отношении доверия с проверяющей стороной.

  6. Повторите шаги 1–5 для каждого утверждения, которое вы хотите выдать из контроль доступа пространства имен.

  7. Нажмите кнопку ОК.