Sdílet prostřednictvím

Postupy: Konfigurace Google jako zprostředkovatele identity

  • Článek

Aktualizováno: 19. června 2015

Platí pro: Azure

Důležité

Od 19. května 2014 nemůžou nové obory názvů služby ACS používat Google jako zprostředkovatele identity. Obory názvů služby ACS, které používaly Google a byly zaregistrovány před tímto datem, nejsou ovlivněné. Další informace najdete v poznámkách k verzi.

Platí pro

  • Microsoft Azure Active Directory Access Control (označované také jako služba Access Control nebo služba ACS)

Souhrn

Tento postup vysvětluje, jak nakonfigurovat Google jako zprostředkovatele identity ACS. Konfigurace Google jako zprostředkovatele identity pro vaši ASP.NET webovou aplikaci umožňuje uživatelům ověřit se ve vaší ASP.NET webové aplikaci přihlášením ke svému účtu Google.

Obsah

  • Cíle

  • Přehled

  • Shrnutí postupu

  • Krok 1 – Vytvoření oboru názvů

  • Krok 2 – Konfigurace Google jako zprostředkovatele identity

  • Krok 3 – Konfigurace vztahu důvěryhodnosti s předávající stranou

  • Krok 4 – Konfigurace pravidel transformace tokenu

  • Krok 5 – Kontrola koncových bodů vystavených oborem názvů

Cíle

  • Vytvořte Microsoft Azure projekt a obor názvů.

  • Nakonfigurujte obor názvů, který se má používat s Googlem jako zprostředkovatel identity.

  • Nakonfigurujte pravidla důvěryhodnosti a transformace tokenů.

  • Seznamte se s referenčními informacemi o koncových bodech, seznamem služeb a koncovými body metadat.

Přehled

Konfigurace Googlu jako zprostředkovatele identity eliminuje nutnost vytvářet a spravovat mechanismus ověřování a správy identit. Pomůže to koncovému uživateli, pokud existují známé ověřovací postupy. Pomocí služby ACS je snadné nastavit konfiguraci, která umožňuje aplikaci snadno využívat a nabízet takové funkce koncovým uživatelům. Tento How-To vysvětluje, jak tuto úlohu provést. Následující diagram znázorňuje celkový tok konfigurace předávající strany služby ACS pro použití.

ACS v2 Workflow

Přehled kroků

Pokud chcete google nakonfigurovat jako zprostředkovatele identity pro vaši aplikaci, postupujte takto:

  • Krok 1 – Vytvoření oboru názvů

  • Krok 2 – Konfigurace Google jako zprostředkovatele identity

  • Krok 3 – Konfigurace vztahu důvěryhodnosti s předávající stranou

  • Krok 4 – Konfigurace pravidel transformace tokenu

  • Krok 5 – Kontrola koncových bodů vystavených oborem názvů

Krok 1 – Vytvoření oboru názvů

Tento krok vytvoří v projektu Azure obor názvů Access Control. Tento krok můžete přeskočit, pokud chcete Google nakonfigurovat jako zprostředkovatele identity pro existující obor názvů.

Vytvoření oboru názvů Access Control v projektu Azure

  1. Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)

  2. Chcete-li vytvořit obor názvů Access Control, klikněte na tlačítko Nový, klikněte na App Services, klikněte na Access Control a potom klikněte na Rychlé vytvoření. (Nebo klikněte na Access Control Obory názvů před kliknutím na Tlačítko Nový.)

Krok 2 – Konfigurace Google jako zprostředkovatele identity

Tento krok ukazuje, jak nakonfigurovat Google jako zprostředkovatele identity pro existující obor názvů.

Konfigurace Google jako zprostředkovatele identity pro existující obor názvů

  1. Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)

  2. Chcete-li spravovat obor názvů Access Control, vyberte obor názvů a klepněte na tlačítko Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)

  3. Na portálu služby ACS klikněte na Zprostředkovatelé identity.

  4. Na stránce Přidat zprostředkovatele identity klikněte na Přidat a pak vyberte Google.

  5. Na stránce Přidat zprostředkovatele identity Google klikněte na Uložit.

Krok 3 – Konfigurace vztahu důvěryhodnosti s předávající stranou

Tento krok ukazuje, jak nakonfigurovat vztah důvěryhodnosti mezi vaší aplikací, označovanou jako předávající strana a služba ACS.

Konfigurace vztahu důvěryhodnosti

  1. Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)

  2. Chcete-li spravovat obor názvů Access Control, vyberte obor názvů a klepněte na tlačítko Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)

  3. Na portálu služby ACS klikněte na aplikace předávající strany a potom klikněte na Přidat.

  4. Na stránce Přidat aplikaci předávající strany zadejte následující hodnoty pro následující pole:

    • Název – libovolný název podle vašeho výběru.

    • Sféra – sféra je identifikátor URI, pro který jsou tokeny vydané službou ACS platné.

    • Zpáteční adresa URL – Zpáteční adresa URL definuje adresu URL, do které služba ACS publikuje vystavený token pro danou aplikaci předávající strany.

    • Formát tokenu – Formát tokenu definuje typ problémů služby ACS tokenu pro aplikaci předávající strany.

    • Zásady šifrování tokenů – Volitelně může ACS šifrovat libovolný token SAML 1.1 nebo SAML 2.0 vydaný pro aplikaci předávající strany.

    • Životnost tokenu – Životnost tokenu určuje hodnotu TTL (Time to Live) tokenu vydaného službou ACS pro aplikaci předávající strany.

    • Zprostředkovatelé identity – Pole zprostředkovatelů identity umožňuje určit, které zprostředkovatele identit se mají používat s aplikací předávající strany. Ujistěte se, že je vybraný Google.

    • Skupiny pravidel – skupiny pravidel obsahují pravidla, která definují, které deklarace identity uživatele se předávají od zprostředkovatelů identity do aplikace předávající strany.

    • Podepisování tokenů – ACS podepíše všechny tokeny zabezpečení, které vydává, pomocí certifikátu X.509 (s privátním klíčem) nebo 256bitového symetrického klíče.

    Další informace o jednotlivých polích najdete v tématu Aplikace předávající strany.

  5. Klikněte na Uložit.

Krok 4 – Konfigurace pravidel transformace tokenu

Tento krok ukazuje, jak nakonfigurovat deklarace identity odeslané službou ACS do aplikace předávající strany. Google například ve výchozím nastavení neodesílá e-mail uživatele. Zprostředkovatel identity musíte nakonfigurovat tak, aby do vaší aplikace dodávejte požadované deklarace identity a jak ho transformovat. Následující postup popisuje, jak přidat pravidlo pro předání e-mailové adresy v tokenu, aby ji vaše aplikace mohl použít.

Konfigurace pravidel transformace deklarací identity tokenů

  1. Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)

  2. Chcete-li spravovat obor názvů Access Control, vyberte obor názvů a klepněte na tlačítko Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)

  3. Na portálu služby ACS klepněte na tlačítko Skupiny pravidel a potom klepněte na tlačítko Přidat. Nebo můžete upravit existující skupinu pravidel.

  4. Zadejte název nové skupiny a klepněte na tlačítko Uložit.

  5. Ve skupině Upravit pravidlo klikněte na Přidat.

  6. Na stránce Přidat pravidlo deklarace identity zadejte následující hodnoty:

    • Vystavitel deklarace identity: Vyberte zprostředkovatele identity a Google.

    • Typ vstupní deklarace: Vyberte typ a https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.

    • Vstupní hodnota deklarace identity: Vyberte libovolnou.

    • Výstupní typ deklarace identity: Vyberte Předávat vstupní typ deklarace identity.

    • Výstupní hodnota deklarace identity: Vyberte Předat vstupní hodnotu deklarace identity.

    • Volitelně můžete v popisu přidat popis pravidla.

  7. Na stránce Upravit skupinu pravidel a skupiny pravidel klepněte na tlačítko Uložit.

  8. Klikněte na požadované aplikace předávající strany.

  9. Posuňte se dolů do části Skupiny pravidel , vyberte novou skupinu pravidel a klikněte na tlačítko Uložit.

Krok 5 – Kontrola koncových bodů vystavených oborem názvů

Tento krok vás seznámí s koncovými body, které služba ACS zveřejňuje. Služba ACS například zveřejňuje koncový bod metadat WS-Federation, který používá FedUtil při konfiguraci ASP.NET webových aplikací pro federované ověřování.

Kontrola koncových bodů vystavených službou ACS

  1. Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)

  2. Chcete-li spravovat obor názvů Access Control, vyberte obor názvů a klepněte na tlačítko Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)

  3. Na portálu ACS klikněte na Integrace aplikace.

  4. Zkontrolujte tabulku s referenčními informacemi o koncových bodech . Například metadata WS-Federation vystavená adresou URL by měla být podobná následujícímu (váš obor názvů bude jiný).

    https://my-namespace1.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml

Viz také

Koncepty

Postupy ACS