Sdílet prostřednictvím

Nasazení federovaných aplikací a služeb ACS do Azure

  • Článek

Platí pro

  • Microsoft Azure Active Directory Access Control (označované také jako služba Access Control nebo služba ACS)

  • Windows Identity Foundation (WIF)

  • Microsoft Azure

Souhrn

Toto téma konsoliduje pokyny, které byste měli vzít v úvahu při vývoji aplikací a služeb, které používají službu ACS a které se nasadí do Azure.

Cíle

  1. Dynamické vygenerované porty můžete obejít pomocí výpočetního Emulator.

  2. Nasaďte modul runtime Windows Identity Foundation (WIF) do Azure.

  3. Zašifrujte soubory cookie pomocí RSA.

  4. Nakonfigurujte sestavení vyvolaná reflexí, která se mají nasadit do Azure.

Dynamické vygenerované porty s výpočetním Emulator

Tato část je relevantní při vytváření webových aplikací. Při vytváření webových služeb to není relevantní. Výpočetní Emulator je součástí nástrojů sady Azure SDK. Můžete ji použít ke spuštění, testování, ladění a vyladění aplikace před nasazením jako hostované služby do Azure. Ve výpočetním Emulator není možné přidělit jedinečnou IP adresu. Výpočetní Emulator se pokusí přiřadit požadovaný port. Pokud tento port není dostupný, přidělí další nejlepší dostupné číslo portu. To znamená, že ve výpočetním Emulator může být vaší službě přiřazeno jiné číslo portu než číslo portu, které jste zadali v definičním souboru. Další informace o výpočetních Emulator najdete v tématu Přehled Windows Emulator služby Azure Compute (https://go.microsoft.com/fwlink/?LinkId=221212).

Pokud výpočetní Emulator přidělí IP adresu jinou než IP adresu nakonfigurovanou jako zpáteční adresu URL na portálu pro správu služby ACS, služba ACS přesměruje ověřené požadavky na adresu URL nakonfigurovanou v poli Zpáteční adresa URL konfigurace předávající strany, ale v této adrese URL nebude existovat žádná odpovídající stránka. V důsledku toho se zobrazí prázdná stránka.

Pokud chcete toto chování obejít, nakonfigurujte veřejný port koncového bodu cloudové webové aplikace na port, který je dostupný na vašem počítači. Výpočetní Emulator pak nepřiřazuje náhodný port, aby nedošlo ke kolizi.

Konfigurace koncového bodu pro použití dostupného portu

  1. Chcete-li otevřít příkazový řádek, klepněte na tlačítko Start, zadejte cmd a stiskněte Klávesu Enter.

  2. Spuštěním následujícího příkazu zobrazte seznam IP adres místního hostitele s použitými porty: netstat –a –n | findstr 127.0.0.1

  3. Projděte si seznam a zjistěte port, který se aktuálně nepoužívá. Tento port použijete v následujících krocích.

  4. V Průzkumník řešení poklikejte na svou roli, která se nachází ve složce Role v cloudovém projektu. Otevře se stránka vlastností role.

  5. Na stránce Vlastnosti webové role klikněte na kartu Koncové body .

  6. V souboru **Veřejný port ** zadejte hodnotu portu, kterou jste identifikovali v kroku 3.

  7. Pokud chcete práci uložit, stiskněte Ctrl+S.

Nasazení modulu runtime Windows Identity Foundation do Windows Azure

Windows Identity Foundation (WIF) je neskladný modul runtime, který musí být nainstalovaný v počítači, aby ji vaše aplikace pracující s deklaracemi mohl používat. WiF není ve výchozím nastavení nainstalovaný v instancích Azure. Pokud chcete spustit aplikaci pracující s deklaracemi identity v cloudu, musíte v instanci Azure zpřístupnit modul runtime WIF. Nejjednodušším způsobem je zahrnout sestavení WIF do balíčku pro nasazení.

Zahrnutí sestavení WIF do balíčku nasazení Windows Azure

  1. V Průzkumník řešení vyhledejte aplikaci pracující s deklaracemi.

  2. Rozbalte složku Reference .

  3. Vyhledejte sestavení Microsoft.IdentityModel ve složce Reference .

  4. Klepněte pravým tlačítkem myši na sestavení a klepněte na příkaz Vlastnosti.

  5. V okně vlastností zadejte **Kopírovat místní ** jako true a specific version as False.

Šifrování souborů cookie pomocí RSA

Tato část je relevantní při vytváření webových aplikací. WiF ve výchozím nastavení chrání soubory cookie kryptograficky pomocí aplikačních programovacích rozhraní ochrany dat (DPAPI). DpAPI není v Azure k dispozici. Abyste měli jistotu, že webová aplikace pracující s deklaracemi identity v cloudu funguje správně, když je nasazená do Azure, musíte pomocí RSA přidat funkce šifrování souborů cookie.

Šifrování souborů cookie pomocí RSA

  1. V Průzkumník řešení vyhledejte webovou aplikaci podporující cloudové deklarace identity.

  2. Otevřete soubor global.asax.cs, což je kód za souborem global.asax v editoru Visual Studio.

  3. Přidejte následující deklarace:

    using Microsoft.IdentityModel.Tokens;
using Microsoft.IdentityModel.Web;
using Microsoft.IdentityModel.Web.Configuration;

  4. Přidejte následující kód:

    void OnServiceConfigurationCreated(object sender, ServiceConfigurationCreatedEventArgs e)
{
    //
    // Use the <serviceCertificate> to protect the cookies that are
    // sent to the client.
    //
    List<CookieTransform> sessionTransforms =
        new List<CookieTransform>(new CookieTransform[] {
        new DeflateCookieTransform(), 
        new RsaEncryptionCookieTransform(e.ServiceConfiguration.ServiceCertificate),
        new RsaSignatureCookieTransform(e.ServiceConfiguration.ServiceCertificate)  });
    SessionSecurityTokenHandler sessionHandler = new SessionSecurityTokenHandler(sessionTransforms.AsReadOnly());
    e.ServiceConfiguration.SecurityTokenHandlers.AddOrReplace(sessionHandler);
}

void Application_Start(object sender, EventArgs e)
{
    FederatedAuthentication.ServiceConfigurationCreated += OnServiceConfigurationCreated;

    Poznámka

    Pokud jste již přidali obslužnou rutinu události Application_Start, můžete ji aktualizovat tak, aby zahrnovala tento kód.

  5. Uložte svou práci.

Konfigurace sestavení vyvolaná reflexí, která se mají nasadit do Windows Azure

V některých případech jsou sestavení vyvolána reflexí, například při vývoji služeb WCF služby Representational State Transfer (REST) nebo HttpModules, které kontrolují příchozí tokeny SWT. Abyste měli jistotu, že jsou tato sestavení nasazená do Azure, musíte provést další kroky pro jejich přidání do balíčku pro nasazení.

Přidání sestavení, která jsou vyvolána reflexí do balíčku nasazení Windows Azure

  1. Rozbalte složku přihrádky webové aplikace nebo služby pracující s deklaracemi identity v cloudu.

  2. Klepněte pravým tlačítkem myši na sestavení a potom klepněte na tlačítko Zahrnout do Project.

  3. Klepněte pravým tlačítkem myši na stejnou knihovnu a klepněte na příkaz Vlastnosti.

  4. V okně Vlastnosti klepněte na tlačítko Kopírovat, pokud je novější pro kopírovat do výstupního adresáře.

Viz také

Koncepty

Index pokynů služby ACS