本文档已存档,并且将不进行维护。

操作方法:将 Google 配置为标识提供程序

发布时间: 2011年4月

更新时间: 2015年6月

应用到: Azure

Important重要提示
从 2014 年 5 月 19 日开始,新的 ACS 命名空间无法使用 Google 作为标识提供程序。使用 Google 并且在此日期之前注册的 ACS 命名空间不受影响。有关详细信息,请参阅发行说明

  • Microsoft Azure Active Directory 访问控制(也称为访问控制服务或 ACS)

本操作指南说明如何将 Google 配置为标识提供程序 ACS。将 Google 配置为 ASP.NET Web 应用程序的标识提供程序后,你的用户即可通过登录到 Google 帐户向 ASP.NET Web 应用程序进行身份验证。

  • 目标

  • 概述

  • 步骤摘要

  • 步骤 1 - 创建命名空间

  • 步骤 2 - 将 Google 配置为标识提供程序

  • 步骤 3 - 配置与信赖方的信任关系

  • 步骤 4 - 配置令牌转换规则

  • 步骤 5 - 查看命名空间公开的终结点

  • 创建 Azure 项目和命名空间。

  • 配置用于 Google 标识提供程序的命名空间。

  • 配置信任和令牌转换规则。

  • 熟悉终结点引用、服务列表和元数据终结点。

将 Google 配置为标识提供程序以后,将无需创建和管理身份验证和标识管理机制。如果有熟悉的身份验证过程,这可帮助最终用户进行体验。使用 ACS,可轻松设置一个可供应用程序使用的配置,并向最终用户提供这种功能。本操作指南说明如何完成此任务。下图描绘了配置可供使用的 ACS 信赖方的总体流程。

ACS v2 工作流

若要将 Google 配置为应用程序的标识提供程序,请完成以下步骤:

  • 步骤 1 - 创建命名空间

  • 步骤 2 - 将 Google 配置为标识提供程序

  • 步骤 3 - 配置与信赖方的信任关系

  • 步骤 4 - 配置令牌转换规则

  • 步骤 5 - 查看命名空间公开的终结点

此步骤将在 Azure 项目中创建 “访问控制”命名空间。如果要将 Google 配置为现有命名空间的标识提供程序,则可以跳过此步骤。

  1. 转到 Microsoft Azure 管理门户 (https://manage.WindowsAzure.com) 并登录,然后单击“Active Directory”。(故障排除提示:“Active Directory”项缺失或不可用

  2. 若要创建访问控制命名空间,请依次单击“新建”、“应用程序服务”和“访问控制”,然后单击“快速创建”。(或者,先单击“访问控制命名空间”,然后单击“新建”。)

此步骤说明如何将 Google 配置为现有命名空间的标识提供程序。

  1. 转到 Microsoft Azure 管理门户 (https://manage.WindowsAzure.com) 并登录,然后单击“Active Directory”。(故障排除提示:“Active Directory”项缺失或不可用

  2. 若要管理访问控制命名空间,请选择该命名空间,然后单击“管理”。(或者,单击“访问控制命名空间”,选择命名空间,然后单击“管理”。)

  3. 在 ACS 门户中,单击“标识提供程序”

  4. “添加标识提供程序”页上,单击“添加”,然后选择 Google

  5. “添加 Google 标识提供程序”页上,单击“保存”

此步骤说明如何配置应用程序(称为信赖方)与 ACS 之间的信任关系。

  1. 转到 Microsoft Azure 管理门户 (https://manage.WindowsAzure.com) 并登录,然后单击“Active Directory”。(故障排除提示:“Active Directory”项缺失或不可用

  2. 若要管理访问控制命名空间,请选择该命名空间,然后单击“管理”。(或者,单击“访问控制命名空间”,选择命名空间,然后单击“管理”。)

  3. 在 ACS 门户中,单击“信赖方应用程序”,然后单击“添加”

  4. “添加信赖方应用程序”页上,为以下字段指定以下值:

    • 名称 - 你选择的任意名称。

    • 领域 - 领域是 ACS 颁发的令牌对其有效的 URI。

    • 返回 URL - 返回 URL 是指 ACS 针对给定信赖方应用程序将颁发的令牌发布到的 URL。

    • 令牌格式 - 令牌格式是指 ACS 颁发给信赖方应用程序的令牌的类型。

    • 令牌加密策略 -(可选)ACS 可以加密颁发给信赖方应用程序的任何 SAML 1.1 或 SAML 2.0 令牌。

    • 令牌生存期 - 令牌生存期是指由 ACS 颁发给信赖方应用程序的令牌的生存时间 (TTL)。

    • 标识提供程序 - 通过“标识提供程序”字段可指定信赖方应用程序要使用哪些标识提供程序。请确保选中 Google。

    • 规则组 - 规则组包含的规则用于定义将哪些用户标识声明从标识提供程序传递给信赖方应用程序。

    • 令牌签名 - ACS 将使用 X.509 证书(带私钥)或 256 位对称密钥为它颁发的所有安全令牌签名。

    有关每个字段的详细信息,请参阅信赖方应用程序

  5. 单击“保存”

此步骤说明如何配置由 ACS 发送给信赖方应用程序的声明。例如,Google 在默认情况下不发送用户的电子邮件。你需要配置标识提供程序,以向应用程序提供所需的声明,以及转换方式。以下过程概述如何添加一条在令牌中传递电子邮件地址的规则,以便你的应用程序可以使用它。

  1. 转到 Microsoft Azure 管理门户 (https://manage.WindowsAzure.com) 并登录,然后单击“Active Directory”。(故障排除提示:“Active Directory”项缺失或不可用

  2. 若要管理访问控制命名空间,请选择该命名空间,然后单击“管理”。(或者,单击“访问控制命名空间”,选择命名空间,然后单击“管理”。)

  3. 在 ACS 门户中,单击“规则组”,然后单击“添加”。也可以编辑现有的规则组。

  4. 为新组指定名称,然后单击“保存”

  5. “编辑规则组”上,单击“添加”

  6. “添加声明规则”页上,指定以下值:

    • 声明颁发者:选择“标识提供程序”“Google”

    • 输入声明类型:选择“选择类型”http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • 输入声明值:选择“任何”

    • 输出声明类型:选择“传递输入声明类型”

    • 输出声明值:选择“传递输入声明值”

    • (可选)在“说明”中,添加规则的说明。

  7. 在“编辑规则组”和“规则组”页上,单击“保存”

  8. 单击所需的“信赖方应用程序”

  9. 向下滚动到“规则组”部分,选择新的“规则组”,然后单击“保存”

此步骤将帮助你熟悉 ACS 公开的终结点。例如,在为联合身份验证配置 ASP.NET Web 应用程序时,ACS 将公开 FedUtil 使用的 WS 联合身份验证元数据终结点。

  1. 转到 Microsoft Azure 管理门户 (https://manage.WindowsAzure.com) 并登录,然后单击“Active Directory”。(故障排除提示:“Active Directory”项缺失或不可用

  2. 若要管理访问控制命名空间,请选择该命名空间,然后单击“管理”。(或者,单击“访问控制命名空间”,选择命名空间,然后单击“管理”。)

  3. 在 ACS 门户中,单击“应用程序集成”

  4. 查看“终结点引用”表。例如,该 URL 公开的 WS 联合身份验证元数据应类似于以下内容(你的命名空间将有所不同)。

    https://my-namespace1.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml
    

另请参阅

显示: