本頁是否能提供幫助?
您對此內容的意見反應十分重要。 請告訴我們您的想法。
其他意見反應?
剩餘 1500 個字元
匯出 (0) 列印
全部展開
Expand Minimize

作法:將 AD FS 2.0 設定為身分識別提供者

發佈時間: 2011年4月

更新日期: 2015年6月

適用於: Azure

  • Microsoft Azure Active Directory 存取控制服務 (也稱為「存取控制服務」或 ACS)

  • Active Directory® Federation Services 2.0

此「作法」說明如何將 設定為身分識別提供者。將 設定為 ASP.NET Web 應用程式的身分識別提供者,可讓使用者登入 Active Directory 管理的公司帳戶,藉此驗證您的 ASP.NET Web 應用程式。

  • 目標

  • 概觀

  • 步驟摘要

  • 步驟 1 - 新增 AD FS 2.0 成為 ACS 管理入口網站中的身分識別提供者

  • 步驟 2 - 將憑證加入 ACS 用於解密在 ACS 管理入口網站從 AD FS 2.0 收到的權杖 (選擇性)

  • 步驟 3 - 新增您的 存取控制命名空間 成為 AD FS 2.0 中的信賴憑證者

  • 步驟 4 - 在 AD FS 2.0 中加入 存取控制命名空間 的宣告規則

  • 設定 ACS 與 之間的信任。

  • 改善權杖和中繼資料交換的安全性。

設定 作為身分識別提供者可重複使用的公司 Active Directory 所管理的現有帳戶進行驗證。它不需要建置複雜的帳戶同步處理機制,也不需要開發自訂程式碼來執行接受使用者認證、按照認證存放區驗證認證和管理身分識別的工作。整合 ACS 與 只需要透過組態完成,不需要任何自訂程式碼。

  • 步驟 1 - 新增 AD FS 2.0 成為 ACS 管理入口網站中的身分識別提供者

  • 步驟 2 - 將憑證加入 ACS 用於解密在 ACS 管理入口網站從 AD FS 2.0 收到的權杖 (選擇性)

  • 步驟 3 - 新增您的 存取控制命名空間 成為 AD FS 2.0 中的信賴憑證者

  • 步驟 4 - 在 AD FS 2.0 中加入 存取控制命名空間 的宣告規則

這個步驟將加入 成為 ACS 管理入口網站中的身分識別提供者。

  1. 在 ACS 管理入口網站主頁面中,按一下 [身分識別提供者]。

  2. 按一下 [新增身分識別提供者]。

  3. 在 [Microsoft Active Directory Federation Services 2.0] 旁邊,按一下 [新增]。

  4. 在 [顯示名稱] 欄位中,輸入此身分識別提供者的顯示名稱。請注意,這個名稱將出現在 ACS 管理入口網站中,並預設出現在應用程式的登入頁面上。

  5. 在 [WS-Federation 中繼資料] 欄位中,輸入 執行個體的中繼資料文件 URL,或使用 [檔案] 選項上傳中繼資料文件的本機副本。使用 URL 時,可以在 管理主控台的 [服務\端點] 區段中找到中繼資料文件的 URL 路徑。後續兩個步驟將處理信賴憑證者應用程式的登入頁面;這些步驟是選擇性的,可以忽略。

  6. 如果您想要編輯在您的應用程式的登入頁面上對於這個身分識別提供者顯示的文字,請在 [登入連結文字] 欄位中輸入所需的文字。

  7. 如果您要在您的應用程式的登入頁面上顯示此身分識別提供者的影像,請在 [影像 URL] 欄位中輸入影像檔的 URL。在理想的情況下,此映像檔應該位在信任的網站 (如果可能可使用 HTTPS 防止瀏覽器安全性警告),而且您應該取得 合作夥伴授予的權限來顯示此映像。如需登入頁面設定的其他指引,請參閱登入頁面和主領域探索的說明。

  8. 如果您要提示使用者使用其電子郵件地址登入,而不是按一下連結,請在 [電子郵件網域名稱] 欄位中輸入要與此身分識別提供者相關聯的電子郵件網域尾碼。例如,如果身分識別提供者主控電子郵件地址結尾為 @contoso.com 的使用者帳戶,請輸入 contoso.com。請使用分號分隔尾碼清單 (例如,contoso.com; fabrikam.com)。如需登入頁面設定的其他指引,請參閱登入頁面和主領域探索的說明。

  9. 在 [信賴憑證者應用程式] 欄位中,選取要與此身分識別提供者建立關聯的任何現有信賴憑證者應用程式。這將使得身分識別提供者出現在該應用程式的登入頁面上,並且從身分識別提供者傳遞宣告至應用程式。請注意,規則仍需要加入定義哪些宣告需要傳遞的應用程式規則群組。

  10. 按一下 [儲存]

此步驟新增並設定將從 收到的權杖解密的憑證。這是選擇性步驟,有助於加強安全性。具體來說,這有助於防止他人檢視和竄改權杖的內容。

  1. 若未使用 Windows Live ID (Microsoft 帳戶) 執行驗證,您必須這麼做。

  2. 使用 Windows Live ID (Microsoft 帳戶) 驗證後,系統會將您重新導向至 Microsoft Azure 入口網站的 [我的專案] 頁面。

  3. 在 [我的專案] 頁面上按一下所要的專案名稱。

  4. 在 [專案:<<您的專案名稱>>] 頁面上,按一下所需的命名空間旁邊的 [存取控制] 連結。

  5. 在 [存取控制設定:<<您的命名空間>>] 頁面上,按一下 [管理存取控制] 連結。

  6. 在 ACS 管理入口網站主頁面上,按一下 [憑證和金鑰]。

  7. 按一下 [新增權杖解密憑證]。

  8. 在 [名稱] 欄位中,輸入憑證的顯示名稱。

  9. 在 [憑證] 欄位中,瀏覽具有此 存取控制命名空間 私密金鑰 (.pfx 檔) 的 X.509 憑證,然後在 [密碼] 欄位中輸入 .pfx 檔案的密碼。如果您沒有憑證,則遵循螢幕上的指示產生一個憑證,或參閱憑證和金鑰的說明了解取得憑證的其他指引。

  10. 按一下 [儲存]

此步驟將協助在 中設定 ACS 成為信賴憑證者。

  1. 在 管理主控台中,按一下 [AD FS 2.0],然後在 [動作] 窗格中,按一下 [加入信賴憑證者信任] 啟動 [加入信賴憑證者信任精靈]。

  2. [歡迎使用] 頁面上,按一下 [開始]

  3. 在 [選取資料來源] 頁面上,按一下 [匯入線上或在區域網路上發行的信賴憑證者相關的資料],並輸入您 存取控制命名空間 的名稱,然後按 [下一步]。

  4. 在 [指定顯示名稱] 頁面上,輸入顯示名稱,然後按 [下一步]。

  5. 在 [選擇發佈授權規則] 頁面上,按一下 [允許所有使用者存取此信賴憑證者],然後按 [下一步]。

  6. 在 [準備加入信任] 頁面上,檢閱信賴憑證者信任設定,然後按 [下一步] 儲存設定。

  7. 在 [完成] 頁面上,按一下 [關閉] 結束精靈。這也會開啟 [編輯 WIF 範例應用程式的宣告規則] 屬性頁面。使此對話方塊維持開啟,然後進行下一個程序。

此步驟將設定 中的宣告規則。如此一來,您即可確定所需的宣告從 傳遞至 ACS。

  1. 在 [編輯宣告規則] 屬性頁面的 [發佈轉換規則] 索引標籤上,按一下 [加入規則] 啟動 [加入轉換宣告規則精靈]。

  2. 在 [選取規則範本] 頁面的 [宣告規則範本] 下,按一下 [傳遞或篩選傳入宣告] 上的功能表,然後按 [下一步]。

  3. 在 [設定規則] 頁面的 [宣告規則名稱] 中,輸入規則的顯示名稱。

  4. 在 [傳入宣告類型] 下拉式清單中,選取要傳遞至應用程式的身分識別宣告類型,然後按一下 [完成]。

  5. 按一下 [確定] 關閉屬性頁,並將變更儲存至信賴憑證者信任。

  6. 對於要從 發佈到 存取控制命名空間 的各個宣告,請重複步驟 1 至 5。

  7. 按一下 [確定]

社群新增項目

新增
顯示:
© 2015 Microsoft