本文档已存档,并且将不进行维护。

操作方法:将 AD FS 2.0 配置为标识提供程序

发布时间: 2011年4月

更新时间: 2015年6月

应用到: Azure

  • Microsoft Azure Active Directory 访问控制(也称为访问控制服务或 ACS)

  • Active Directory® 联合身份验证服务 2.0

本操作指南说明如何将 配置为标识提供程序。将 配置为 ASP.NET Web 应用程序的标识提供程序后,你的用户即可通过登录到其受 Active Directory 管理的企业帐户,向 ASP.NET Web 应用程序进行身份验证。

  • 目标

  • 概述

  • 步骤摘要

  • 步骤 1 - 在 ACS 管理门户中将 AD FS 2.0 添加为标识提供程序

  • 步骤 2 - 在 ACS 管理门户中将证书添加到 ACS,以解密从 AD FS 2.0 接收的令牌(可选)

  • 步骤 3 - 在 AD FS 2.0 中将 “访问控制”命名空间添加为信赖方

  • 步骤 4 - 在 AD FS 2.0 中为 “访问控制”命名空间添加声明规则

  • 配置 ACS 与 之间的信任。

  • 提高令牌和元数据交换的安全性。

将 配置为标识提供程序可以重复使用企业 Active Directory 管理的现有帐户进行身份验证。这就无需构建复杂的帐户同步机制,也无需开发自定义代码来执行接受最终用户凭据、根据凭据存储验证凭据和管理标识的任务。仅由配置完成 ACS 和 的集成,而无需自定义代码。

  • 步骤 1 - 在 ACS 管理门户中将 AD FS 2.0 添加为标识提供程序

  • 步骤 2 - 在 ACS 管理门户中将证书添加到 ACS,以解密从 AD FS 2.0 接收的令牌(可选)

  • 步骤 3 - 在 AD FS 2.0 中将 “访问控制”命名空间添加为信赖方

  • 步骤 4 - 在 AD FS 2.0 中为 “访问控制”命名空间添加声明规则

此步骤在 ACS 管理门户中将 添加为标识提供程序。

  1. 在 ACS 管理门户主页上,单击“标识提供程序”。

  2. 单击“添加标识提供程序”。

  3. 在“Microsoft Active Directory 联合身份验证服务 2.0”旁,单击“添加”。

  4. 在“显示名称”字段中,输入此标识提供程序的显示名称。请注意,此名称将显示在 ACS 管理门户上,同时默认显示在应用程序的登录页上。

  5. 在“WS 联合身份验证元数据”字段中,输入 实例的元数据文档的 URL,或使用“文件”选项上传元数据文档的本地副本。使用 URL 时,可以在 管理控制台的“服务\终结点”部分中找到元数据文档的 URL 路径。下两个步骤处理信赖方应用程序的登录页选项,这些步骤是可选步骤,可以跳过。

  6. 如果你要编辑应用程序登录页上为此标识提供程序显示的文本,请在“登录链接文本”字段中输入所需的文本。

  7. 如果你要在应用程序登录页上为此标识提供程序显示图像,请在“图像 URL”字段中输入图像文件的 URL。理想情况下,该图像文件应承载在受信任站点上(尽可能使用 HTTPS,以防止出现浏览器安全警告),并且你应拥有 合作伙伴授予的权限以显示此图像。有关登录页设置的其他指南,请参阅登录页与主领域发现上的帮助。

  8. 如果你希望提示用户使用其电子邮件地址而不是单击链接进行登录,请在“电子邮件域名”字段中输入与此标识提供程序关联的电子邮件域后缀。例如,如果标识提供程序承载的用户帐户电子邮件地址以 @contoso.com 结尾,则输入 contoso.com。使用分号分隔后缀列表(例如 contoso.com; fabrikam.com)。有关登录页设置的其他指南,请参阅登录页与主领域发现上的帮助。

  9. 在“信赖方应用程序”字段中,选择要与此标识提供程序关联的任何现有信赖方应用程序。这可使标识提供程序显示在该应用程序的登录页上,并且它允许从标识提供程序向该应用程序传递声明。请注意,仍需要将定义要传递的声明的规则添加到该应用程序的规则组。

  10. 单击“保存”

此步骤添加和配置证书以解密从 接收的令牌。这是可选步骤,有助于增强安全性。具体而言,该步骤有助于保护令牌的内容不被查看和篡改。

  1. 如果你未使用 Windows Live ID(Microsoft 帐户) 进行身份验证,系统将要求你执行此操作。

  2. 使用 Windows Live ID(Microsoft 帐户) 进行身份验证后,你会重定向到 Azure 门户上的“我的项目”页。

  3. 单击“我的项目”页上的所需项目名称。

  4. 在“项目:<<你的项目名称>>”页上,单击所需命名空间旁边的“访问控制”链接。

  5. “访问控制设置:<<你的命名空间>>”页上,单击“管理访问控制”链接。

  6. 在 ACS 管理门户主页上,单击“证书和密钥”。

  7. 单击“添加令牌解密证书”。

  8. 在“名称”字段中,输入证书的显示名称。

  9. 在“证书”字段中,浏览带有私钥(.pfx 文件)的 X.509 证书以用于此 “访问控制”命名空间,然后在“密码”字段中输入该 .pfx 文件的密码。如果你没有证书,则按照屏幕上的说明生成一个证书,或查看证书和密钥上的帮助,了解有关获取证书的其他指南。

  10. 单击“保存”

此步骤帮助在 中将 ACS 配置为信赖方。

  1. 在 管理控制台中,单击“AD FS 2.0”,然后在“操作”窗格中,单击“添加信赖方信任”以启动添加信赖方信任向导。

  2. “欢迎”页上,单击“启动”

  3. 在“选择数据源”页上,单击“导入有关联机或在本地网络上发布的信赖方的数据”,键入 “访问控制”命名空间的名称,然后单击“下一步”。

  4. 在“指定显示名称”页上,输入显示名称,然后单击“下一步”。

  5. 在“选择颁发授权规则”页上,单击“允许所有用户访问此信赖方”,然后单击“下一步”。

  6. 在“已准备好添加信任”页上,检查信赖方信任设置,然后单击“下一步”以保存配置。

  7. 在“完成”页上,单击“关闭”以退出该向导。这也会打开“编辑 WIF 示例应用程序的声明规则”属性页。使此对话框保持打开状态,然后转到下一步。

此步骤在 中配置声明规则。这样,你可以确保从 向 ACS 传递所需的声明。

  1. 在“编辑声明规则”属性页的“颁发转换规则”选项卡上,单击“添加规则”以启动添加转换声明规则向导。

  2. 在“选择规则模板”页上的“声明规则模板”下,在菜单上单击“传递或筛选传入声明”,然后单击“下一步”。

  3. 在“配置规则”页上的“声明规则名称”中,键入规则的显示名称。

  4. 在“传入声明类型”下拉列表中,选择要传递到应用程序的身份声明类型,然后单击“完成”。

  5. 单击“确定”以关闭该属性页并保存对信赖方信任所做的更改。

  6. 为要从 颁发给 “访问控制”命名空间的每个声明重复步骤 1-5。

  7. 单击“确定”。

显示: