Sdílet prostřednictvím

Migrace oborů názvů ACS na Google OpenID Connect

  • Článek

Toto téma je určené pro vlastníky oborů názvů ACS (Access Control Service) 2.0, které aktuálně používají Google jako zprostředkovatele identity. Služba ACS tuto funkci poskytuje pomocí implementace OpenID 2.0 od Googlu. Google plánuje ukončit podporu OpenID 2.0 do 20. dubna 2015. Obory názvů služby ACS budou dál fungovat s implementací OpenID 2.0 společnosti Google až do 1. června 2015, kdy je potřeba dokončit migraci těchto oborů názvů, abyste mohli používat implementaci OpenID Connect společnosti Google nebo se uživatelé už nebudou moci přihlásit k vaší aplikaci pomocí účtu Google. Migrace oborů názvů ACS na OpenID Connect nezpůsobí výpadek aplikace. S jednou výjimkou (viz následující poznámka) je tato migrace možná beze změny kódu aplikace. Po migraci oborů názvů služby ACS pro použití OpenID Connect budete muset migrovat identifikátory uživatelů v back-endu na identifikátory OpenID Connect. Tuto migraci je potřeba dokončit do 1. ledna 2017. Bude vyžadovat změny kódu v back-endu. Podrobnosti o obou fázích migrace najdete v následující důležité poznámce.

Důležitý

Poznamenejte si následující důležitá data a dokončete akce vyžadované každým datem, abyste zajistili, že vaše obory názvů služby ACS, které používají Google jako zprostředkovatel identity, budou dál fungovat:

  • 1. června 2015 – obory názvů služby ACS přestanou fungovat s implementací OpenID 2.0 od Googlu. K použití Google OpenID Connect do tohoto data je nutné dokončit migraci oboru názvů služby ACS. Před tímto datem se můžete vrátit zpět na OpenID 2.0, pokud během migrace dojde k problémům. U oborů názvů, které nebyly migrovány tímto datem, už se uživatelé nebudou moct přihlásit pomocí účtu Google a zobrazí se stránka s informacemi, že OpenID 2.0 pro účty Google zmizely. Pokud chcete obnovit možnosti přihlašování pomocí účtů Google, budete muset migrovat obor názvů.

    Ve většině případů by se neměly vyžadovat žádné změny kódu aplikace. Pokud máte pravidlo "předávat všechny deklarace identity" pro Google jako zprostředkovatele identity ve skupině pravidel přidružené k vaší aplikaci, možná budete muset provést změny kódu. Důvodem je to, že při migraci bude pro službu ACS od Googlu k dispozici nový typ deklarace identity (Předmět) a možná budete muset provést změny kódu, abyste zajistili, že vaše aplikace bude moct řádně zpracovat přítomnost nového typu deklarace identity. K úspěšnému dokončení migrace nebude nutné zpracovat nový typ deklarace identity ve vaší aplikaci.

  • 1. ledna 2017 – implementace OpenID 2.0 a OpenID Connect společnosti Google používají různé identifikátory k jednoznačné identifikaci uživatelů Google. Při migraci oboru názvů služby ACS služba ACS zpřístupňuje pro vaši aplikaci dva identifikátory– aktuální identifikátor OpenID 2.0 i nový identifikátor OpenID Connect. Identifikátory uživatelů v back-endovém systému musíte do tohoto data přepnout na identifikátory OpenID Connect a začít používat jenom identifikátory OpenID Connect. To vyžaduje změny kódu aplikace.

Dotazy k migraci můžete publikovat na Stack Overflow a označit je pomocí acs-google. Co nejrychleji odpovíme.

Další informace o plánech Společnosti Google naleznete v OpenID 2.0 Průvodce migrací.

Kontrolní seznam pro migraci

Následující tabulka obsahuje kontrolní seznam, který shrnuje kroky potřebné k migraci oboru názvů služby ACS pro použití implementace OpenID Connect od Googlu:

Krok Popis Musí být dokončeno

1

Vytvořte aplikaci Google+ naGoogle Developers Console .

1. června 2015

2

Pokud máte pravidlo "předávat všechny deklarace identity" pro Google jako zprostředkovatele identity ve skupině pravidel přidružené k vaší aplikaci, otestujte aplikaci a ujistěte se, že je připravená k migraci; v opačném případě je tento krok nepovinný.

1. června 2015

3

Pomocí portálu pro správu služby ACS přepněte obor názvů služby ACS na implementaci OpenID Connect od Googlu tak, že ji zadáte pomocí parametrů aplikace Google+ (ID klienta a tajný klíč klienta). Pokud narazíte na problémy s migrací, vraťte se na OpenID 2.0 až do 1. června 2015.

1. června 2015

4

Migrujte identifikátory uživatelů v back-endovém systému z aktuálních identifikátorů Google OpenID 2.0 na nové identifikátory Google OpenID Connect. To vyžaduje změny kódu.

1. ledna 2017

Názorný postup migrace

Pokud chcete migrovat obor názvů služby ACS tak, aby používal implementaci OpenID Connect od Googlu, proveďte následující kroky:

  1. Vytvoření aplikace Google+

    Podrobné pokyny k tomuto postupu najdete v části Postupy: Vytvoření aplikace Google+ .

  2. ujistěte se, že je vaše aplikace připravená k migraci

    Pokud máte pravidlo "předání všech deklarací identity" pro Google jako zprostředkovatele identity ve skupině pravidel přidružené k vaší aplikaci, postupujte podle pokynů v části Postupy: Zajištění připravenosti aplikace služby ACS k otestování připravenosti na migraci. Důvodem je to, že při migraci bude pro službu ACS z Googlu k dispozici nový typ deklarace identity (Předmět).

    Poznámka

    Pravidlo "předávání všech deklarací identity" je pravidlo, které Vstupní typ deklarace identity a Vstupní hodnota deklarace identity jsou nastavena na Libovolný a typ výstupní deklarace identity a výstupní hodnota deklarací identity jsou nastavené na Předávat typ první vstupní deklarace identity a Předávat vstupní hodnotu deklarace identity. Pravidlo je uvedené na portálu pro správu služby ACS , jak je znázorněno níže, a sloupec Výstupní deklarace identity nastavený na předávací.

    pravidla předávání

    Pokud jste dříve vygenerovali pravidla nebo přidali pravidla ručně pro Google jako zprostředkovatele identity ve skupině pravidel přidružené k vaší aplikaci, můžete tento krok přeskočit. Důvodem je to, že při migraci nového typu Předmět typu deklarace se do aplikace neodesílají.

    Další informace o těchto možnostech najdete v tématu Skupiny pravidel a pravidla.

  3. přepnutí oboru názvů ACS na použití implementace OpenID Connect od Googlu

    1. Přejděte na portálu pro správu Microsoft Azure, přihlaste se a klikněte na Active Directory . Vyberte obor názvů služby ACS, který je potřeba migrovat, a kliknutím na Spravovat spusťteportálu pro správu služby ACS .

    2. Na portálu pro správu ACSklikněte na Zprostředkovatelé identity ve stromu na levé straně nebo klikněte na odkaz Zprostředkovatelé identity v části Začínáme. Klikněte na Google.

      Dialogové okno Zprostředkovatelé identity služby Řízení přístupu

    3. Na stránce Upravit zprostředkovatele identity Google zaškrtněte Použít openID Connect.

      dialogové okno Upravit zprostředkovatele identity Google

    4. V polích ID klienta a Tajný kód klienta (nyní povoleno) zkopírujte odpovídající hodnoty z vaší aplikace Google+.

      dialogové okno Upravit zprostředkovatele identity Google

      Poznámka

      Pokud v tomto okamžiku kliknete na Uložit, všechny požadavky zprostředkovatele identity Google z vašeho oboru názvů služby ACS budou automaticky používat implementaci OpenID Connect od Googlu. Pokud potřebujete vrátit zpět, můžete zrušit zaškrtnutí políčka PoužítOpenID Connect . ID klienta a tajný klíč klienta zůstanou uložené a můžete ho později znovu použít.

    5. Klikněte na Uložit.

    6. Zkuste se přihlásit pomocí Google ID a ujistěte se, že přechod na použití OpenID Connect proběhl úspěšně. Pokud máte potíže s přihlášením, vraťte se na stránku Upravit zprostředkovatele identity Google a zrušte kontrolu Použití OpenID Connect a vraťte se zpět na OpenID 2.0. Po vrácení zpět zkontrolujte, jestli ID klienta a tajný klíč, které jste zkopírovali z konzoly Google Developer Console, správně zadané pro váš obor názvů; Například zkontrolujte překlepy.

  4. Migrace identifikátorů uživatelů v back-endovém systému z Open ID 2.0 na OpenID Connect

    Identifikátory uživatelů v back-endovém systému musíte migrovat z existujících identifikátorů Google Open ID 2.0 na nové identifikátory Google OpenID Connect před 1. lednem 2017. Tento krok vyžaduje změny kódu. Další informace najdete v tématu Postupy: Migrace existujících identifikátorů Open ID 2.0 uživatelů na nové identifikátory uživatele OpenID Connect

Postupy: Vytvoření aplikace Google+

K provedení následujících kroků budete potřebovat účet Google. pokud ho nemáte, můžete ho získat v https://accounts.google.com/SignUp.

  1. V okně prohlížeče přejděte na konzolu Google Developers Console a přihlaste se pomocí svých přihlašovacích údajů k účtu Google.

  2. Klikněte na Vytvořit projekta zadejte název projektu a id projektu. Zaškrtněte políčko Podmínky služby. Potom klikněte na Vytvořit. Tím se aplikace zaregistruje u Googlu.

    dialogové okno Nový projekt Google Developer Console

  3. V levém podokně klikněte na rozhraní API & ověřování. A potom klikněte na Pověření. V části OAuthklikněte na Vytvořit nové ID klienta. Vyberte webové aplikace a klikněte na Konfigurovatobrazovky pro vyjádření souhlasu . Zadejte název produktu a klikněte na Uložit.

    obrazovce souhlasu konzoly pro vývojáře Google

  4. V levém podokně klikněte na rozhraní API & ověřování. A potom klikněte na rozhraní API. V části Procházet rozhraní APIvyhledejte a najděte rozhraní API Google+ . Nastavte stavu na ZAPNUTO.

    rozhraní API pro procházení konzoly Google Developer Console

  5. V dialogovém okně Vytvořit ID klienta vyberte webová aplikace jakotyp aplikace .

    Do pole Autorizované zdroje JavaScriptu zadejte plně kvalifikovanou adresu URL názvu domény (FQDN) vašeho oboru názvů, včetně počátečního "HTTPS://" a koncového čísla portu; například https://contoso.accesscontrol.windows.net:443.

    V poli identifikátory URI autorizovaného přesměrování zadejte identifikátor URI, který obsahuje plně kvalifikovaný název domény (FQDN) vašeho oboru názvů, včetně počátečního "HTTPS://" a koncového čísla portu, za kterým následuje "/v2/openid"; například https://contoso.accesscontrol.windows.net:443/v2/openid.

    Klikněte na Vytvořit ID klienta.

    obrazovka Vytvořit ID klienta

  6. Poznamenejte si hodnoty ID klienta a Tajný klíč klienta ze stránky ID klienta pro webovou aplikaci. Budete je potřebovat ke konfiguraci implementace OpenID Connect společnosti Google na portálu pro správu ACS.

    ID klienta konzoly pro vývojáře Google pro webovou aplikaci

    Důležitý

    tajný klíč klienta je důležitými přihlašovacími údaji zabezpečení. Uchovávejte ho v tajnosti.

Postupy: Migrace existujících identifikátorů Open ID 2.0 uživatelů na nové identifikátory uživatelů OpenID Connect

Po úspěšné migraci oboru názvů služby ACS pro použití implementace OpenID Connect od Googlu do 1. ledna 2017 (podle OpenID 2.0 Průvodce migrací Od Googlu) budete moct migrovat identifikátory uživatelů v back-endovém systému z aktuálních identifikátorů OpenID 2.0 na nové identifikátory OpenID Connect.

Následující tabulka uvádí typy deklarací identity, které se zpřístupní službě ACS od Googlu po migraci oboru názvů služby ACS za účelem použití implementace OpenID Connect od Googlu:

Typ deklarace identity Identifikátor uri Popis Dostupnost protokolu

Identifikátor názvu

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Jedinečný identifikátor uživatelského účtu, který poskytuje Google. Toto je (existující) identifikátor OpenID 2.0.

OpenID 2.0, OpenID Connect

Předmět

https://schemas.microsoft.com/identity/claims/subject

Jedinečný identifikátor uživatelského účtu, který poskytuje Google. Toto je (nový) identifikátor OpenID Connect.

OpenID Connect

Jméno

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Zobrazovaný název uživatelského účtu, který poskytuje Google.

OpenID 2.0, OpenID Connect

(viz poznámka níže)

E-mailová adresa

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

E-mailová adresa uživatelského účtu poskytnutého Googlem

OpenID 2.0, OpenID Connect

Zprostředkovatel identity

https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Deklarace identity poskytovaná službou ACS, která říká aplikaci předávající strany, že se uživatel ověřil pomocí výchozího zprostředkovatele identity Google. Hodnota této deklarace identity je viditelná na portálu pro správu služby ACS prostřednictvím pole Sféra na stránce Upravit zprostředkovatele identity.

OpenID 2.0, OpenID Connect

Poznámka

Pro uživatele Google, který nemá (zaregistrovaný) profil Google+ je hodnota typu deklarace identity Název stejná jako hodnota e-mailové adresy typu deklarace identity OpenID Connect.

Identifikátor názvu a typy deklarací identity předmětu lze použít ke sledování a přepínání jedinečných identifikátorů stávajících uživatelů v back-endu mapováním (starých) identifikátorů OpenID 2.0 na (nové) identifikátory OpenID Connect.

Pokud máte pravidlo "předávat všechny deklarace identity" pro Google jako zprostředkovatele identity ve skupině pravidel přidružené vaší aplikaci, aplikace automaticky začne přijímat typ deklarace identity Předmět.

Pokud jste dříve vygenerovali pravidla nebo přidali pravidla ručně pro Google jako zprostředkovatele identity ve skupině pravidel přidružené k vaší aplikaci, budete muset přidat typ deklarace identity Předmět ručně. Další informace o tom, jak to provést, naleznete v tématu skupiny pravidel a pravidla.

konfigurace vstupní deklarace identity

Pokud jste například dříve vygenerovali pravidla pro Google jako zprostředkovatele identity ve skupině pravidel a pak přidali nový typ deklarace identity Předmět (jak je uvedeno výše), zobrazí se následující informace.

deklarací identity google passthrough

Aplikace, která používá tuto skupinu pravidel, obdrží typ deklarace identity Předmět spolu s dalšími typy deklarací identity.

Poznámka

Když Google po 1. lednu 2017 ukončí podporu mapování identifikátorů, služba ACS naplní NameIdentifier i typy deklarací identity subjektu stejným identifikátorem uživatele OpenID Connect.

Postupy: Zajištění připravenosti aplikace služby ACS na migraci

S jednou výjimkou je možné migrovat obor názvů služby ACS tak, aby používal implementaci OpenID Connect společnosti Google beze změny kódu aplikace. Případ výjimky je v případě, že máte pravidlo "předávat všechny deklarace identity" pro Google jako zprostředkovatele identity ve skupině pravidel přidružené k vaší aplikaci. Důvodem je to, že při migraci nového typu deklarace identity (Předmět) se do aplikace automaticky odešle.

Tato část popisuje doporučený postup změny a testování, podle kterého můžete zajistit, aby každá aplikace, na kterou bude migrace mít vliv, byla připravena zpracovat nový typ deklarace identity.

Pro účely tohoto postupu předpokládejme, že jste vlastníkem oboru názvů služby ACS s názvem ns-contoso a že aplikace v produkčním prostředí se nazývá ProdContosoApp. Také předpokládejme, že tato aplikace používá Google jako zprostředkovatele identity a má povolené pravidlo "předávat všechny deklarace identity" pro Google.

Sestava

  1. Začněte tak, že přejdete na portálu pro správu Microsoft Azure, přihlásíte se a potom kliknete na Active Directory . Vyberte obor názvů služby ACS (ns-contoso) a potom kliknutím na Spravovat spusťteportál u pro správu služby ACS.

  2. Na portálu pro správu služby ACSklikněte na Aplikace předávající strany ve stromu na levé straně nebo klikněte na odkaz Aplikace předávající strany v části Začínáme. Pak klikněte na produkční aplikaci (ProdContosoApp).

  3. Poznamenejte si vlastnosti ProdContosoApp, budete je potřebovat později.

    dialogové okno Upravit aplikaci předávající strany

  4. Kliknutím na Výchozí skupina pravidel pro prodContosoApp v části Skupiny pravidel ověřte, že má povolené pravidlo "předávat všechny deklarace identity" pro Google.

    deklarace identity google passthrough

Krok 1: Nastavení testovací instance aplikace v produkčním oboru názvů služby ACS

Nastavte testovací instanci vaší aplikace, TestContosoApp, na jiném kořenovém identifikátoru URI; například https://contoso-test.com:7777/. Budete ho muset zaregistrovat jako aplikaci předávající strany (aplikace předávající strany) v oboru názvů ns-contoso.

  1. Na portálu pro správu služby ACSklikněte na Aplikace předávající strany ve stromu na levé straně nebo klikněte na odkaz Aplikace předávající strany v části Začínáme. Potom klikněte na Přidat na stránce aplikace předávající strany.

  2. Na stránce Přidat aplikaci přijímající strany postupujte takto:

    • Do pole Názevzadejte název testovací aplikace. Tady je TestContosoApp.

    • V režimuvyberte Zadat nastavení ručně.

    • Do sféryzadejte identifikátor URI testovací aplikace. Tady je to https://contoso-test.com:7777/.

    • Pro účely tohoto postupu můžete ponechat adresu URL chyby (volitelné) prázdné.

    • Proformát tokenu , zásady šifrování tokenua Životnost tokenu (s) vlastnosti a Nastavení podepisování tokenů oddíl použijte stejné hodnoty, které jste použili pro ProdContosoApp.

    • Ujistěte se, že jste jakozprostředkovatele identity vybrali Google .

    • V části Skupiny pravidelvyberte Vytvořit novou skupinu pravidel.

    dialogové okno Přidat aplikaci předávající strany

  3. Klikněte na Uložit v dolní části stránky.

Krok 2: Vytvoření skupiny pravidel, která simuluje formát tokenu ACS, který aplikace obdrží po migraci oboru názvů pro použití implementace OpenID Connect od Googlu

  1. Na portálu pro správu služby ACSklikněte na Skupiny pravidel ve stromu na levé straně nebo klikněte na odkaz Skupina pravidel v části Začínáme. Potom klikněte na Přidat na stránce skupiny pravidel .

  2. Na stránce Přidat skupinu pravidel zadejte název nové skupiny pravidel, například ManualGoogleRuleGroup. Klikněte na Uložit.

    dialogové okno Přidat skupinu pravidel

  3. Na stránce Upravit skupinu pravidel klikněte na odkaz Přidat.

    dialogové okno Upravit skupinu pravideldialogové okno Upravit skupinu pravidel

  4. Na stránce Přidat pravidlo deklarace identity zkontrolujte, zda jsou splněny následující hodnoty, a klikněte na Uložit. Tím se vygeneruje pravidlo "předávat všechny deklarace identity" pro Google.

    • Oddíl:

      • zprostředkovatele identity je google.

      • Typ vstupní deklarace identity výběr je Libovolný.

      • Vstupní hodnota deklarace identity je Libovolný.

    • pak oddíl:

      • typ výstupní deklarace identity je Předávat první typ deklarace identity.

      • výstupní hodnota deklarace identity je Předat první vstupní hodnotu deklarace identity.

    • informace o pravidlech oddílu:

      • Pole Description (volitelné) ponechte prázdné pole.

    dialogové okno Přidat pravidlo deklarace identity

  5. Na stránce Upravit skupinu pravidel klikněte znovu na odkaz Přidat.

  6. Na stránce Přidat pravidlo deklarace identity zkontrolujte, zda jsou splněny následující hodnoty, a klikněte na tlačítko Uložit. Tím se vygeneruje "statické" pravidlo deklarace identity pro Google, které simuluje přidání nového typu deklarace identity, Předmět, což je nový identifikátor OpenID Connect uživatele, který Google odešle aplikaci po migraci.

    • Oddíl:

      • zprostředkovatele identity je google.

      • Typ vstupní deklarace identity výběr je Libovolný.

      • Vstupní hodnota deklarace identity je Libovolný.

    • pak oddíl:

    • informace o pravidlech oddílu:

      • Pole Description (volitelné) ponechte prázdné pole.

    dialogové okno Přidat rull deklarace identity

  7. Na stránce Upravit skupinu pravidel klikněte na Uložit.

Krok 3: Přidružení nové skupiny pravidel k testovací instanci aplikace

  1. Na portálu pro správu služby ACSklikněte na Aplikace předávající strany ve stromu na levé straně nebo klikněte na odkaz Aplikace předávající strany v části Začínáme. Potom klikněte na TestContosoApp na stránce aplikace předávající strany.

  2. Na stránce Upravit předávající strany vyberte ManualGoogleRuleGroup v části Nastavení ověřování a klikněte na Uložit.

    nastavení ověřovánínastavení ověřování

V tomto okamžiku budou všechny žádosti o přihlášení Google do testovacích aplikací zahrnovat nový typ deklarace identity.

Krok 4: Testování, abyste zajistili, že vaše aplikace dokáže zpracovat přidání typu deklarace subjektu

Otestujte aplikaci, abyste měli jistotu, že dokáže řádně zpracovat přítomnost nového typu deklarace identity (Předmět). Za normálních okolností by dobře napsaná aplikace měla být robustní pro nové typy deklarací, které se přidávají do tokenu. Vyhledejte a opravte všechny problémy. Volitelně můžete také postupovat podle postupu: Migrace existujících identifikátorů Open ID 2.0 uživatelů do nového oddílu identifikátorů uživatele OpenID Connect za účelem mapování identifikátorů uživatele.

Krok 5: Migrace produkčního prostředí

Opětovné sestavení a nasazení produkční aplikace (ProdContosoApp). Migrujte obor názvů (ns-contoso) tak, aby používal implementaci OpenID Connect společnosti Google pomocí kroků v návodu k migraci. Ověřte, že ProdContosoApp funguje podle očekávání.