如何:将 AD FS 2.0 配置为标识提供者

  • 项目

更新时间:2015 年 6 月 19 日

适用于:Azure

应用于

  • Microsoft Azure Active Directory 访问控制(也称为访问控制服务或 ACS)

  • Active Directory® 联合身份验证服务 2.0

总结

本操作说明如何配置为标识提供者。 配置为 ASP.NET Web 应用程序的标识提供者将允许用户通过登录到 Active Directory 管理的公司帐户向 ASP.NET Web 应用程序进行身份验证。

目录

  • 目标

  • 概述

  • 步骤摘要

  • 步骤 1 - 在 ACS 管理门户中将 AD FS 2.0 添加为标识提供程序

  • 步骤 2 - 在 ACS 管理门户中将证书添加到 ACS,以解密从 AD FS 2.0 接收的令牌(可选)

  • 步骤 3 - 在 AD FS 2.0 中将访问控制命名空间添加为信赖方

  • 步骤 4 - 在 AD FS 2.0 中添加访问控制命名空间的声明规则

目标

  • 配置 ACS 和 . 之间的信任。

  • 提高令牌和元数据交换的安全性。

概述

配置为标识提供者可以重用由公司 Active Directory 管理的现有帐户进行身份验证。 这就无需构建复杂的帐户同步机制,也无需开发自定义代码来执行接受最终用户凭据、根据凭据存储验证凭据和管理标识的任务。 集成 ACS 并仅通过配置完成 — 无需自定义代码。

步骤摘要

  • 步骤 1 - 在 ACS 管理门户中将 AD FS 2.0 添加为标识提供程序

  • 步骤 2 - 在 ACS 管理门户中将证书添加到 ACS,以解密从 AD FS 2.0 接收的令牌(可选)

  • 步骤 3 - 在 AD FS 2.0 中将访问控制命名空间添加为信赖方

  • 步骤 4 - 在 AD FS 2.0 中添加访问控制命名空间的声明规则

步骤 1 - 在 ACS 管理门户中将 AD FS 2.0 添加为标识提供程序

此步骤在 ACS 管理门户中添加为标识提供者。

将 AD FS 2.0 添加为访问控制命名空间中的标识提供者

  1. 在 ACS 管理门户主页中,单击 “标识提供者”。

  2. 单击“ 添加标识提供者”。

  3. 在“Microsoft Active Directory 联合身份验证服务 2.0”旁,单击“添加”

  4. 在“显示名称”字段中,输入此标识提供程序的显示名称。 请注意,此名称将显示在 ACS 管理门户上,同时默认显示在应用程序的登录页上。

  5. WS 联合元数据 字段中,输入实例元数据文档的 URL,或使用 “文件” 选项上传元数据文档的本地副本。 使用 URL 时,可以在管理控制台的 Service\Endpoints 部分中找到元数据文档的 URL 路径。 下两个步骤处理信赖方应用程序的登录页选项,这些步骤是可选步骤,可以跳过。

  6. 如果你要编辑应用程序登录页上为此标识提供程序显示的文本,请在“登录链接文本”字段中输入所需的文本

  7. 如果你要在应用程序登录页上为此标识提供程序显示图像,请在“图像 URL”字段中输入图像文件的 URL。 理想情况下,此图像文件应托管在受信任的站点, (使用 HTTPS(如果可能),以防止浏览器安全警告) ,并且你应具有合作伙伴显示此图像的权限。 有关登录页设置的其他指南,请参阅 登录页和主页发现 方面的帮助。

  8. 如果你希望提示用户使用其电子邮件地址而不是单击链接进行登录,请在“电子邮件域名”字段中输入与此标识提供程序关联的电子邮件域后缀。 例如,如果标识提供者托管其电子邮件地址结尾 @contoso.com的用户帐户,请输入 contoso.com。 使用分号分隔后缀列表 (,例如,contoso.com;fabrikam.com) 。 有关登录页设置的其他指南,请参阅 登录页和主页发现 方面的帮助。

  9. 在“信赖方应用程序”字段中,选择要与此标识提供程序关联的任何现有信赖方应用程序。 这可使标识提供程序显示在该应用程序的登录页上,并且它允许从标识提供程序向该应用程序传递声明。 请注意,仍需要将定义要传递的声明的规则添加到该应用程序的规则组。

  10. 单击“ 保存”。

步骤 2 - 在 ACS 管理门户中将证书添加到 ACS,以解密从 AD FS 2.0 接收的令牌(可选)

此步骤添加和配置证书以解密从 接收的令牌。 这是可选步骤,有助于增强安全性。 具体而言,该步骤有助于保护令牌的内容不被查看和篡改。

将证书添加到访问控制命名空间,用于解密从 AD FS 2.0 接收的令牌 (可选)

  2. 如果未使用 Windows Live ID (Microsoft 帐户) 进行身份验证,则需要执行此操作。

  3. 使用 Windows Live ID (Microsoft 帐户) 进行身份验证后,会重定向到Microsoft Azure门户中的“我的项目”页。

  4. 单击“我的项目”页上的所需项目名称。

  5. Project:<<项目名称>>页上,单击所需命名空间旁边的访问控制链接。

  6. 访问控制 设置:<<命名空间>>页上,单击“管理访问控制”链接。

  7. 在 ACS 管理门户主页上,单击“证书和密钥”

  8. 单击“添加令牌解密证书”

  9. 在“名称”字段中,输入证书的显示名称

  10. “证书”字段中,使用私钥 (.pfx 文件浏览 X.509 证书,) 此访问控制命名空间,然后在“密码”字段中输入 .pfx 文件的密码。 如果没有证书,请按照屏幕上的说明生成证书,或查看 有关证书和密钥 的帮助,获取有关获取证书的其他指南。

  11. 单击“ 保存”。

步骤 3 - 在 AD FS 2.0 中将访问控制命名空间添加为信赖方

此步骤有助于将 ACS 配置为信赖方。

将访问控制命名空间添加为 AD FS 2.0 中的信赖方

  1. 在管理控制台中,单击 AD FS 2.0,然后在 “操作 ”窗格中,单击“ 添加信赖方信任 ”以启动“添加信赖方信任向导”。

  2. 在“欢迎使用”页面上,单击“启动”

  3. “选择数据源”页上,单击“导入有关联机发布的信赖方或本地网络上的数据”,键入访问控制命名空间的名称,然后单击“下一步”。

  4. 在“指定显示名称”页上,输入显示名称,然后单击“下一步”

  5. 在“选择颁发授权规则”页上,单击“允许所有用户访问此信赖方”,然后单击“下一步”

  6. 在“已准备好添加信任”页上,检查信赖方信任设置,然后单击“下一步”以保存配置

  7. 在“完成”页上,单击“关闭”以退出该向导。 这也会打开“编辑 WIF 示例应用程序的声明规则”属性页。 使此对话框保持打开状态,然后转到下一步。

步骤 4 - 在 AD FS 2.0 中添加访问控制命名空间的声明规则

此步骤在 中配置声明规则。 这样,可确保所需的声明从 ACS 传递到 ACS。

在 AD FS 2.0 中添加访问控制命名空间的声明规则

  1. 在“编辑声明规则”属性页的“颁发转换规则”选项卡上,单击“添加规则”以启动添加转换声明规则向导

  2. 在“选择规则模板”页上的“声明规则模板”下,在菜单上单击“传递或筛选传入声明”,然后单击“下一步”

  3. 在“配置规则”页上的“声明规则名称”中,键入规则的显示名称

  4. 在“传入声明类型”下拉列表中,选择要传递到应用程序的身份声明类型,然后单击“完成”

  5. 单击“确定”以关闭该属性页并保存对信赖方信任所做的更改

  6. 对要从访问控制命名空间发出的每个声明重复步骤 1-5。

  7. 单击 “确定”