Sdílet prostřednictvím

Postupy: Vytvoření první aplikace s podporou deklarací ASP.NET identity pomocí služby ACS

  • Článek

Aktualizováno: 19. června 2015

Platí pro: Azure

Důležité

Obory názvů služby ACS můžou migrovat konfigurace zprostředkovatele identity Google z OpenID 2.0 do Připojení OpenID. Migrace musí být dokončena před 1. června 2015. Podrobné pokyny najdete v tématu Migrace oborů názvů ACS do Připojení Google OpenID. Dokud neprovedete migraci, můžete tento kurz dokončit pomocí jiného zprostředkovatele identity, jako je Facebook.

Platí pro

  • Microsoft Azure Active Directory Access Control (označované také jako služba Access Control nebo služba ACS)

Přehled

Toto téma popisuje scénář integrace služby ACS s aplikací předávající strany ASP.NET. Integrací webové aplikace se službou ACS začleníte funkce ověřování a autorizace mimo kód. Jinými slovy, služba ACS poskytuje mechanismus pro ověřování a autorizaci uživatelů ve webové aplikaci.

V tomto praktickém scénáři služba ACS ověřuje uživatele pomocí identity Google do testovací ASP.NET aplikace předávající strany.

Postup integrace služby ACS s aplikací předávající strany ASP.NET

Důležité

Před provedením následujících kroků se ujistěte, že váš systém splňuje všechny požadavky rozhraní .NET Framework a platformy, které jsou shrnuté v požadavcích služby ACS.

Pokud chcete integrovat službu ACS s aplikací předávající strany ASP.NET, proveďte následující kroky:

  • Krok 1 – vytvoření oboru názvů Access Control

  • Krok 2 – Spuštění portálu pro správu služby ACS

  • Krok 3 – Přidání zprostředkovatelů identity

  • Krok 4 – Přidání aplikace předávající strany

  • Krok 5 – Vytvoření pravidel

  • Krok 6 – Kontrola informací o integraci aplikací

  • Krok 7 – vytvoření aplikace předávající strany ASP.NET

  • Krok 8 – Konfigurace vztahu důvěryhodnosti mezi službou ACS a aplikací předávající strany ASP.NET

  • Krok 9 – otestování integrace mezi službou ACS a aplikací předávající strany ASP.NET

Krok 1 – vytvoření oboru názvů Access Control

Podrobné pokyny k vytvoření oboru názvů Access Control najdete v tématu Postupy: Vytvoření oboru názvů Access Control.

Krok 2 – Spuštění portálu pro správu služby ACS

Portál pro správu služby ACS umožňuje nakonfigurovat obor názvů Access Control přidáním zprostředkovatelů identity, konfigurací aplikací předávající strany, definováním pravidel a skupinami pravidel a vytvořením přihlašovacích údajů, které důvěřuje aplikacím předávající strany.

Spuštění portálu pro správu služby ACS

  1. Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)

  2. Pokud chcete spravovat Access Control obor názvů, vyberte obor názvů a klikněte na Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)

Krok 3 – Přidání zprostředkovatelů identity

Tato část popisuje, jak přidat zprostředkovatele identit, které se mají použít s aplikací předávající strany k ověřování. Další informace o zprostředkovatelech identit najdete v tématu Zprostředkovatelé identit.

Přidání zprostředkovatelů identit

  1. Na portálu pro správu služby ACS klikněte na zprostředkovatele identit ve stromu na levé straně nebo klikněte na odkaz Zprostředkovatele identit v části Začínáme.

  2. Na stránce Zprostředkovatelé identit klikněte na Přidat, vyberte Google jako zprostředkovatele identity a potom klikněte na Další.

  3. Na stránce Přidat zprostředkovatele identity Google se zobrazí výzva k zadání textu přihlašovacího odkazu (výchozí hodnota je Google) a adresy URL obrázku. Tato adresa URL odkazuje na soubor obrázku, který lze použít jako přihlašovací odkaz pro tohoto zprostředkovatele identity. Úprava těchto polí je volitelná. V tomto cvičení je neupravujte, klikněte na Uložit.

Krok 4 – Přidání aplikace předávající strany

Tato část popisuje, jak přidat a nakonfigurovat aplikaci předávající strany. Další informace o aplikacích předávající strany najdete v tématu Aplikace předávající strany.

Nastavení aplikace předávající strany

  1. Na portálu pro správu služby ACS klikněte na aplikace předávající strany ve stromu na levé straně nebo klikněte na odkaz Aplikace předávající strany v části Začínáme.

  2. Na stránce Aplikace předávající strany klikněte na přidat.

  3. Na stránce Přidat aplikaci předávající strany proveďte následující akce:

    • Do pole Název zadejte název aplikace předávající strany. V tomto cvičení zadejte TestApp.

    • V režimu vyberte ručně zadat nastavení.

    • Do sféry zadejte identifikátor URI, na který se vztahuje token zabezpečení vydaný službou ACS. Pro toto cvičení zadejte https://localhost:7777/.

    • Do návratové adresy URL zadejte adresu URL, do které služba ACS vrátí token zabezpečení. Pro toto cvičení zadejte https://localhost:7777/.

    • Do adresy URL chyby (volitelné) zadejte adresu URL, do které může služba ACS publikovat, pokud dojde k chybě při přihlášení. V tomto cvičení ponechte toto pole prázdné.

    • Ve formátu tokenu vyberte formát tokenu pro službu ACS, který se má použít při vydávání tokenů zabezpečení pro tuto aplikaci předávající strany. V tomto cvičení vyberte SAML 2.0. Další informace o tokenech a formátech tokenů najdete v tématu Formáty tokenů podporované v ACS a Formát tokenů v aplikacích předávající strany.

    • V zásadách šifrování tokenů vyberte zásadu šifrování pro tokeny vydané službou ACS pro tuto aplikaci předávající strany. V tomto cvičení přijměte výchozí hodnotu None( Žádné). Další informace o zásadách šifrování tokenů najdete v tématu Zásady šifrování tokenů v aplikacích předávající strany.

    • V období životnosti tokenů (s) zadejte dobu, po kterou token zabezpečení vydaný službou ACS zůstane platný. V tomto cvičení přijměte výchozí hodnotu 600. Další informace najdete v tématu Životnost tokenu v aplikacích předávající strany.

    • V zprostředkovatelích identit vyberte zprostředkovatele identity, které se mají použít s touto aplikací předávající strany. V tomto cvičení přijměte zaškrtnuté výchozí hodnoty (Google a Windows Live ID).

    • Ve skupinách pravidel vyberte skupiny pravidel pro tuto aplikaci předávající strany, které se mají použít při zpracování deklarací identity. V tomto cvičení přijměte možnost Vytvořit novou skupinu pravidel , která je ve výchozím nastavení zaškrtnutá. Další informace o skupinách pravidel najdete v tématu Skupiny pravidel a pravidla.

    • V části Podpis tokenů Nastavení vyberte, jestli chcete podepsat tokeny SAML pomocí certifikátu pro Access Control obor názvů nebo vlastní certifikát specifický pro tuto aplikaci. V tomto cvičení přijměte výchozí hodnotu certifikátu oboru názvů služby Use (standard). Další informace o podepisování tokenů najdete v tématu Podepisování tokenů v aplikacích předávající strany.

  4. Klikněte na Uložit.

Krok 5 – Vytvoření pravidel

Tato část popisuje, jak definovat pravidla, která určují, jak se deklarace identity předávají od zprostředkovatelů identity do aplikace předávající strany. Další informace o pravidlech a skupinách pravidel najdete v tématu Skupiny pravidel a pravidla.

Vytvoření pravidel

  1. Na domovské stránce portálu pro správu služby ACS klikněte na skupiny pravidel ve stromu na levé straně nebo klikněte na odkaz Skupiny pravidel v části Začínáme.

  2. Na stránce Skupiny pravidel klikněte na výchozí skupinu pravidel pro TestApp (protože jste pojmenovali aplikaci Předávající strany TestApp).

  3. Na stránce Upravit skupinu pravidel klikněte na Tlačítko Generovat.

  4. Na stránce Generovat pravidla: Výchozí skupina pravidel pro TestApp přijměte zprostředkovatele identit vybrané ve výchozím nastavení (v tomto cvičení Google a Windows Live ID) a potom klikněte na tlačítko Generovat.

  5. Na stránce Upravit skupinu pravidel klikněte na uložit.

Krok 6 – Kontrola informací o integraci aplikací

Všechny informace a kód potřebné k úpravě aplikace předávající strany můžete najít na stránce Integrace aplikace služby ACS na portálu pro správu služby ACS.

Kontrola informací o integraci aplikací

  • Na domovské stránce portálu pro správu služby ACS klikněte na Integraci aplikací ve stromu na levé straně nebo klikněte na odkaz Integrace aplikace v části Začínáme.

    Identifikátory URI služby ACS zobrazené na stránce Integrace aplikace jsou jedinečné pro váš obor názvů Access Control.

    V tomto cvičení doporučujeme zachovat tuto stránku otevřenou, abyste mohli provést zbývající kroky rychle.

Krok 7 – vytvoření aplikace předávající strany ASP.NET

Tato část popisuje, jak vytvořit ASP.Net aplikaci předávající strany, kterou chcete nakonec integrovat s ACS.

Vytvoření aplikace předávající strany ASP.NET

  1. Chcete-li spustit Visual Studio 2010, klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte následující text a stiskněte Enter:
    devenv.exe

  2. V Visual Studio klepněte na tlačítko Soubor a klepněte na tlačítko Nový Project.

  3. V okně Nový Project vyberte šablonu Visual Basic nebo Visual C# a pak vyberte ASP.NET webovou aplikaci MVC 2.

  4. Do pole Název zadejte následující text a klepněte na tlačítko OK:
    Testapp

  5. V části Vytvořit test jednotek Project vyberte Ne, nevytvořte projekt testu jednotek a klikněte na tlačítko OK.

  6. V Průzkumník řešení klikněte pravým tlačítkem na TestApp a pak vyberte Vlastnosti.

  7. V okně Vlastnosti aplikace TestApp vyberte kartu Web v části Použít Visual Studio Vývojový server klikněte na konkrétní port a změňte hodnotu na 7777.

  8. Aplikaci, kterou jste právě vytvořili, spustíte a ladíte stisknutím klávesy F5. Pokud nebyly nalezeny žádné chyby, prohlížeč vykreslí prázdný projekt MVC.

    Chcete-li dokončit další krok, nechte Visual Studio 2010 otevřený.

Krok 8 – Konfigurace vztahu důvěryhodnosti mezi službou ACS a aplikací předávající strany ASP.NET

Tato část popisuje, jak integrovat službu ACS s aplikací předávající strany ASP.NET, kterou jste vytvořili v předchozím kroku.

Konfigurace vztahu důvěryhodnosti mezi aplikací předávající strany ASP.NET a službou ACS

  1. V Visual Studio 2010 klikněte v Průzkumník řešení pro TestApp pravým tlačítkem myši na TestApp a pak vyberte Přidat referenční informace ke službě STS.

  2. V průvodci federačním nástrojem proveďte následující akce:

    1. Na stránce Průvodce federačním nástrojem v identifikátoru URI aplikace zadejte identifikátor URI aplikace a klepněte na tlačítko Další. V této ukázce je https://localhost:7777/identifikátor URI aplikace .

      Poznámka

      Koncové lomítko je důležité, protože odpovídá hodnotě, kterou jste zadali na portálu pro správu služby ACS pro aplikaci předávající strany. Další informace najdete v kroku 4 – Přidání aplikace předávající strany.

    2. Zobrazí se upozornění: ID 1007: Aplikace není hostovaná na zabezpečeném připojení https. Chcete pokračovat? V této ukázce klikněte na tlačítko Ano.

      Poznámka

      V produkčním prostředí je toto upozornění týkající se použití protokolu SSL platné a nemělo by být zamítnuto.

    3. Na stránce Služby tokenů zabezpečení vyberte Použít existující službu zabezpečení, zadejte adresu URL WS-Federation metadat publikovaná službou ACS a klikněte na tlačítko Další.

      Poznámka

      Hodnotu adresy URL metadat WS-Federation najdete na stránce Integrace aplikace na portálu pro správu služby ACS. Další informace najdete v kroku 6 – Kontrola informací o integraci aplikací.

    4. Na stránce s chybou ověřování řetězu podpisových certifikátů služby STS klikněte na tlačítko Další.

    5. Na stránce Šifrování tokenu zabezpečení klepněte na tlačítko Další.

    6. Na stránce Nabízené deklarace identity klepněte na tlačítko Další.

    7. Na stránce Souhrn klikněte na Dokončit.

    Jakmile úspěšně dokončíte spuštění průvodce federačním nástrojem, přidá odkaz na sestavení Microsoft.IdentityModel.dll a zapíše hodnoty do souboru Web.config, který konfiguruje Windows Identity Foundation ve webové aplikaci ASP.NET MVC 2 (TestApp).

  3. Otevřete Web.config a vyhledejte hlavní element system.web. Může to vypadat takto:

    <system.web>
    <authorization>
      <deny users="?" />
    </authorization>

    Upravte Web.config tak, aby povolte ověření požadavku přidáním následujícího kódu do hlavního elementu system.web:

        <!--set this value-->
    <httpRuntime requestValidationMode="2.0"/>

    Po provedení aktualizace musí výše uvedený fragment kódu vypadat takto:

    
   <system.web>
    <!--set this value-->
    <httpRuntime requestValidationMode="2.0"/>
    <authorization>
    <deny users="?" />
    </authorization>

Krok 9 – otestování integrace mezi službou ACS a aplikací předávající strany ASP.NET

Tato část popisuje, jak můžete otestovat integraci mezi aplikací předávající strany a službou ACS.

Testování integrace mezi aplikací předávající strany ASP.NET a službou ACS

  1. Udržování Visual Studio 2010 otevřené, stisknutím klávesy F5 spusťte ladění aplikace ASP.NET předávající strany.

    Pokud se nenašly žádné chyby, místo otevření výchozí aplikace MVC se váš prohlížeč přesměruje na stránku zjišťování domovské sféry hostované službou ACS, která vás vyzve k výběru zprostředkovatele identity.

  2. Vyberte Google.

    Prohlížeč pak načte přihlašovací stránku Google.

  3. Zadejte svoje testovací přihlašovací údaje Google a přijměte uživatelské rozhraní souhlasu zobrazené na webu Google.

    Prohlížeč pak publikuje zpátky do služby ACS, ACS vydává token a publikuje tento token na web MVC.

Viz také

Koncepty

Postupy ACS