Sdílet prostřednictvím

Postupy: Přidání tenanta Azure AD jako zprostředkovatele identity

  • Článek

Aktualizováno: 19. června 2015

Platí pro: Azure

Platí pro

  • Microsoft Azure Active Directory Access Control (označované také jako služba Access Control nebo služba ACS)

Přehled

Toto téma vysvětluje, jak přidat tenanta Azure Active Directory (AD) do seznamu zprostředkovatelů identity ve vašem oboru názvů Access Control. Tato funkce umožňuje použít tenanta jako zprostředkovatele identity pro aplikace přidružené k oboru názvů.

Proces má dva hlavní prvky:

  1. Přidejte obor názvů Access Control do tenanta Azure AD jako webovou aplikaci. To umožňuje oboru názvů (webové aplikaci) přijímat tokeny z Azure AD.

  2. Přidejte tenanta Azure AD do oboru názvů Access Control jako zprostředkovatele identity.

Zbývající kroky jsou společné pro všechny zprostředkovatele identity v ACS. Můžete přidat aplikace a pravidla předávající strany, které určují, které deklarace identity se předávají od zprostředkovatelů identity do aplikací předávající strany.

Požadavky

Pokyny v tomto tématu vyžadují následující:

  1. Předplatné Azure. Další informace najdete v tématu Začínáme s Azure.

  2. Obor názvů Access Control Azure. Nápovědu najdete v tématu Postupy: Vytvoření oboru názvů Access Control.

  3. Visual Studio 2012

Přehled kroků

Pokud chcete přidat tenanta Azure AD jako zprostředkovatele identity, proveďte následující kroky:

  • Krok 1: Vyhledání názvu oboru názvů Access Control

  • Krok 2: Přidání oboru názvů Access Control jako webové aplikace

  • Krok 3: Přidání zprostředkovatele identity tenanta Azure AD do oboru názvů Access Control

  • Krok 4: Použití zprostředkovatele identity tenanta Azure AD s vaší aplikací

Krok 1: Vyhledání názvu oboru názvů Access Control

V tomto kroku zkopírujeme název oboru názvů pro použití v dalším kroku. Název oboru názvů budete potřebovat k označení, že tokeny by se měly odesílat do koncového bodu, který přijímá WS-Federation odpovědi na přihlášení.

Přestože adresa URL oboru názvů je v poli označeném portálem pro správu, tokeny se odesílají do zadaného koncového bodu, ne na portál.

  1. Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)

  2. Chcete-li spravovat obor názvů Access Control, vyberte obor názvů a klepněte na tlačítko Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)

  3. Klikněte na Integraci aplikací.

  4. Zkopírujte hodnotu pole Portál pro správu .

    Adresa URL v poli Portál pro správu má následující formát:

    < https:// Namespace.accesscontrol.windows.net/>

    Uložte hodnotu. Budete ho potřebovat v dalším kroku.

Hodnota pole Portál pro správu je název oboru názvů a adresa URL koncového bodu, který přijímá WS-Federation odpovědi na přihlášení.

Krok 2: Přidání oboru názvů Access Control jako webové aplikace

V tomto kroku použijete funkce portálu pro správu Azure k přidání oboru názvů Access Control jako webové aplikace do Azure AD tenanta. Tenant tak bude příjemcem tokenů, které Azure AD generovat.

  1. Přejděte na portál pro správu Azure a přihlaste se. Klepněte na položku Active Directory, klepněte na položku Adresář, klepněte na položku Aplikace a klepněte na tlačítko Přidat.

    Add an application to an Active Directory tenant

  2. Zadejte název aplikace. V poli Typ vyberte webová aplikace nebo webové rozhraní API (výchozí). Chcete-li přejít, klikněte na šipku.

    Add a name and type for the app

  3. Do textových polí Adresa URL aplikace a identifikátor URI ID aplikace vložte adresu URL, která byla v poli Portál pro správu na stránce Integrace aplikace . Pokračujte kliknutím na šipku.

    Adresa URL aplikace je adresa, na kterou se token odešle, když se uživatel úspěšně ověří. Identifikátor URI ID aplikace je cílová skupina, na kterou je token vymezený. Pokud bychom použili jinou hodnotu než ID entity Access Control oboru názvů, služba ACS by ji interpretovala jako token znovu použitý z útoku man-in-the-middle.

    Při vkládání dávejte pozor, abyste nezahrnuli koncové mezery nebo nadbytečné znaky za posledním lomítkem (/). V opačném případě Azure AD adresu URL označí jako neplatnou.

    Add the URL and App ID Uri for the app

  4. Na stránce Přístup k adresáři vyberte výchozí nastavení Jednotné přihlašování. Vzhledem k tomu, že služba ACS nevolá Graph API, nastavení se nepoužívá. Chcete-li proces dokončit, klikněte na značku zaškrtnutí.

    V tuto chvíli váš tenant Azure AD ví o vašem oboru názvů Access Control a může pro něj vydávat tokeny.

    Specify the access requirements of the app

  5. Na poslední stránce zkopírujte adresu URL federačních metadat. Budete ho potřebovat za několik minut.

    Chcete-li se vrátit na tuto stránku:

    • Přejděte na portál pro správu Azure a přihlaste se.

    • Klikněte na adresář Azure.

    • Klikněte na Aplikace.

    • Klikněte na aplikaci.

    Adresa URL federačních metadat je uvedená také na stránce Koncové body aplikace pro aplikaci. Chcete-li zobrazit tuto stránku, klikněte na stránce Aplikace na zobrazit koncové body.

    Page announces that app is added

Krok 3: Přidání zprostředkovatele identity tenanta Azure AD do oboru názvů Access Control

V tomto kroku přidáte službu tokenů zabezpečení (STS) pro tenanta Azure AD do oboru názvů Access Control.

  1. Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)

  2. Chcete-li spravovat obor názvů Access Control, vyberte obor názvů a klepněte na tlačítko Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)

    Tato akce otevře portál pro správu služby ACS pro obor názvů Access Control.

    ACS Management Portal

  3. Klikněte na Zprostředkovatelé identity a potom klikněte na Přidat.

  4. Vyberte WS-Federation zprostředkovatele identity a klepněte na tlačítko Další.

    Add an identity provider

  5. Zadejte zobrazované jméno a text odkazu pro přihlášení. Pro tyto hodnoty neexistují žádné zvláštní požadavky.

  6. V části WS-Federation metadat klikněte na adresu URL a vložte adresu URL federačních metadat, kterou jste zkopírovali ze stránky aplikace. Potom klikněte na Uložit.

    Dalším užitečným polem na této stránce je pole Přihlašovací odkaz na text . Hodnota tohoto pole se zobrazí v seznamu zprostředkovatelů identity nabízených uživatelům při přihlášení k aplikaci.

    Enter the Federation Metadata URL

Krok 4: Použití zprostředkovatele identity tenanta Azure AD s vaší aplikací

Tenant Azure AD je teď zaregistrovaný jako zprostředkovatel identity pro obor názvů Access Control. V nějakém smyslu je náš úkol dokončený. V tomto kroku vám ale ukážeme, jak použít nového zprostředkovatele identity tím, že ho přidáme do nabídky zprostředkovatelů identity pro webovou aplikaci.

Pokud chcete vybrat nového zprostředkovatele identity pro vaši aplikaci, použijte standardní postup:

  1. Spusťte Visual Studio 2012 a otevřete webovou aplikaci.

  2. V Průzkumník řešení klikněte pravým tlačítkem myši na název aplikace a potom klikněte na Položku Identita a Přístup.

  3. Na kartě Zprostředkovatelé klikněte na Použít službu Azure Access Control.

  4. Pokud chcete aplikaci přidružit k Access Control oboru názvů, potřebujete klíč pro správu oboru názvů. Tady je postup, jak ho najít.

    1. Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)

    2. Chcete-li spravovat obor názvů Access Control, vyberte obor názvů a klepněte na tlačítko Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)

    3. Klepněte na tlačítko Správa služby, klepněte na položku Klient pro správu a potom klepněte na tlačítko Symetrický klíč.

    4. Klepněte na tlačítko Zobrazit klíč, zkopírujte hodnotu klíče a potom klepněte na tlačítko Skrýt klíč.

  5. Teď se vraťte do dialogového okna Visual Studio Konfigurovat obor názvů služby ACS, zadejte název oboru názvů Access Control a vložte hodnotu klíče pro správu.

    Enter the namespace name and key in Visual Studio

  6. Pak vyberte Azure AD zprostředkovatele identity tenanta ze seznamu zprostředkovatelů identity v oboru názvů.

    Select the AD Tenant identity provider

  7. Při spuštění aplikace obsahuje dialogové okno přihlášení mezi volby zprostředkovatele identity Azure AD tenanta. (Název, který se zobrazí na této stránce, je definován v poli Text přihlašovacího odkazu na stránce nastavení zprostředkovatele identity.)

    Select an identity provider

  8. Vyberte tenanta Azure AD a přihlaste se pomocí účtu organizace.

    Application sign-in page

Teď máte přístup k aplikaci. Ověřovací tokeny se předávají do tenanta Azure AD jako zprostředkovatele identity.

Viz také

Koncepty

Postupy ACS