Sdílet prostřednictvím

Postupy: Konfigurace vztahu důvěryhodnosti mezi službami ACS a ASP.NET webovými aplikacemi pomocí certifikátů X.509

  • Článek

Aktualizováno: 19. června 2015

Platí pro: Azure

Platí pro

  • Microsoft Azure Active Directory Access Control (označované také jako služba Access Control nebo služba ACS)

  • ASP.NET

Souhrn

Toto téma popisuje, jak nakonfigurovat důvěryhodnost mezi vaší aplikací a službou ACS. Důvěryhodnost se vytváří podepsáním tokenů, které se vyměňují mezi vaší ASP.NET webovou aplikací a službou ACS.

Obsah

  • Cíle

  • Přehled

  • Shrnutí postupu

  • Krok 1 – přechod do části Podpisové certifikáty tokenu

  • Krok 2 : Konfigurace vztahu důvěryhodnosti pomocí certifikátů X.509

  • Krok 3 : Kontrola atributů Trust-Related na web.config a na portálu pro správu služby ACS

Cíle

  • Seznamte se s částí správy důvěryhodnosti na portálu pro správu služby ACS.

  • Správa důvěryhodnosti pomocí certifikátů X.509

  • Ověřte požadovanou konfiguraci v web.config a na portálu pro správu.

Přehled

K správné výměně tokenů mezi vaší aplikací a službou ACS se vyžaduje navázání vztahu důvěryhodnosti. Důvěryhodnost zajišťuje, že tokeny nejsou manipulovány při přenosu a že jsou vystaveny důvěryhodnou stranou. Pro ASP.NET důvěryhodnost webových aplikací se spravuje pomocí certifikátů X.509 a je založená na konfiguraci portálu pro správu služby ACS a konfiguraci web.config.

Přehled kroků

Pokud chcete vytvořit a spravovat vztah důvěryhodnosti mezi webovou aplikací ASP.NET a službou ACS, postupujte takto:

  • Krok 1 – přechod do části Podpisové certifikáty tokenu

  • Krok 2 : Konfigurace vztahu důvěryhodnosti pomocí certifikátů X.509

  • Krok 3 : Kontrola atributů Trust-Related na web.config a na portálu pro správu služby ACS

Krok 1 – přechod do části Podpisové certifikáty tokenu

Tento krok ukazuje, jak přejít do části správa důvěryhodnosti na portálu pro správu služby ACS.

  1. Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)

  2. Chcete-li spravovat obor názvů Access Control, vyberte obor názvů a klepněte na tlačítko Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)

  3. Na portálu služby ACS klikněte na aplikace předávající strany.

  4. Klikněte na aplikaci předávající strany.

  5. Na stránce Upravit aplikaci předávající strany se posuňte dolů do části Podpisové certifikáty tokenu .

  6. Vyberte certifikát.

Krok 2 : Konfigurace vztahu důvěryhodnosti pomocí certifikátů X.509

Tento krok ukazuje, jak nakonfigurovat a spravovat vztah důvěryhodnosti mezi službou ACS a ASP.NET webovou aplikací pomocí certifikátu X.509. Pokud v aplikaci předávající strany používáte Windows ® Identity Foundation (WIF), použijte přihlašovací údaje pro podepisování certifikátů X.509.

Konfigurace a správa důvěryhodnosti pomocí certifikátu X.509

  1. Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)

  2. Chcete-li spravovat obor názvů Access Control, vyberte obor názvů a klepněte na tlačítko Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)

  3. Klikněte na Certifikáty a klíče a vyberte certifikát X.509.

  4. Na stránce Upravit podpisový certifikát tokenu nebo klíč zadejte následující hodnoty:

    • Název: Libovolný název podle vašeho výběru.

    • Typ: Certifikát X.509.

    • Certifikát: Pokud chcete použít certifikát, který služba ACS ve výchozím nastavení vytvoří, není nutná žádná akce. Můžete také nahrát vlastní certifikát X.509.

      Certifikát by měl být chráněný heslem. Obvykle má příponu .pfx. při nahrávání vlastního certifikátu X.509 Zadejte heslo souboru pfx do textového pole Heslo .

    • Heslo: Pokud použijete výchozí certifikát, nevyžaduje se žádná akce. Pokud nahrajete certifikát, měl by být certifikát chráněný heslem. Do textového pole Heslo zadejte heslo souboru .pfx.

  5. Klikněte na Uložit.

Získání certifikátu X.509

Existuje několik způsobů, jak získat certifikát X.509 pro podepisování nebo šifrování tokenů. Metoda, kterou budete používat, závisí na vašich požadavcích a nástrojích dostupných pro vaši organizaci.

Místní certifikační autorita

Pokud vaše organizace nasadila certifikační autoritu (CA), jako je služba Active Directory Certificate Services (AD CS), můžete požádat o certifikát X.509. Možná budete muset požádat správce certifikační autority o pokyny nebo oprávnění. Další informace o službě Active Directory Certificate Services naleznete v tématu Služby Active Directory Certificate Services (https://go.microsoft.com/fwlink/?linkid=208371).

Komerční certifikační autorita

Certifikát X.509 si můžete koupit od komerční certifikační autority, například Verisign. Vzhledem k tomu, že se jedná o verzi Labs, doporučujeme použít místní certifikační autoritu (pokud je k dispozici) nebo vygenerovat certifikát podepsaný svým držitelem (viz níže).

Vygenerování certifikátu Self-Signed

Software můžete použít k vygenerování vlastního certifikátu podepsaného svým držitelem pro použití se službou ACS. I když se to obvykle doporučuje jenom pro účely testování, může to provést kdokoli bez přístupu k místní certifikační autoritě nebo platbě komerční certifikační autoritě. Pokud používáte Windows, můžete si stáhnout MakeCert.exe jako součást sady Windows SDK (https://go.microsoft.com/fwlink/?linkid=84091) a použít ho k vygenerování certifikátu.

Export certifikátu Self-Signed

Pokyny k exportu certifikátu podepsaného svým držitelem najdete v tématu Certifikáty a klíče.

Krok 3 : Kontrola atributů Trust-Related na web.config a na portálu pro správu služby ACS

Tento krok ukazuje, jak ověřit atributy konfigurace související s důvěryhodností v web.config webové aplikace ASP.NET.

  1. Otevřete soubor web.config webové aplikace ASP.NET.

  2. Přejděte na uzel AudiencesUris a ověřte, že hodnota podřízeného uzlu přidání je stejná jako tato hodnota, kterou jste zadali do pole Vlastnosti Sféra na stránce Upravit předávající stranu na portálu pro správu služby ACS.

    1. Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)

    2. Chcete-li spravovat obor názvů Access Control, vyberte obor názvů a klepněte na tlačítko Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)

    3. Klikněte na aplikace předávající strany.

    4. Na stránce Aplikace oddělující strany klikněte na požadovanou aplikaci.

    5. Na stránce Upravit aplikaci předávající strany zkontrolujte atribut Sféra .

Viz také

Koncepty

Postupy ACS