Vorgehensweise: Hinzufügen eines Azure AD-Mandanten als Identitätsanbieter

Aktualisiert: 19. Juni 2015

Gilt für: Azure

Gilt für

• Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS)

Übersicht

In diesem Thema wird erläutert, wie Sie der Liste der Identitätsanbieter in Ihrem Access Control-Namespace einen Azure Active Directory -Mandanten (AD) hinzufügen. Mithilfe dieser Funktion können Sie den Mandanten als Identitätsanbieter für Anwendungen verwenden, die dem Namespace zugeordnet sind.

Der Vorgang umfasst zwei wesentliche Elemente:

1. Fügen Sie dem Azure AD-Mandanten den Access Control Namespace als Web-App hinzu. Dadurch kann der Namespace (Webanwendung) Token von Azure Active Directory (AD) erhalten.

2. Fügen Sie den Azure AD-Mandanten zum Access Control Namespace als Identitätsanbieter hinzu.

Die restlichen Schritte sind bei allen Identitätsanbietern in ACS dieselben. Sie können Anwendungen der vertrauenden Seite und Regeln hinzufügen, die bestimmen, welche Identitätsansprüche von Identitätsanbietern an die Anwendungen der vertrauenden Seite übergeben werden.

Anforderungen

Die Anweisungen in diesem Thema erfordern Folgendes:

1. Ein Azure-Abonnement. Weitere Informationen finden Sie unter Erste Schritte mit Azure.

2. Einen Azure Access Controll-Namespace. Hilfe finden Sie unter How to: Create an Access Control Namespace.

3. Visual Studio 2012

Zusammenfassung von Schritten

Führen Sie folgenden Schritte aus, um einen Azure AD-Mandanten als Identitätsanbieter hinzuzufügen:

• Schritt 1: Suchen des Namens des Access Control Namespace

• Schritt 2: Hinzufügen des Access Control Namespaces als Webanwendung

• Schritt 3: Hinzufügen des Azure AD-Mandantenidentitätsanbieters zum Access Control-Namespace

• Schritt 4: Verwenden des Azure AD-Mandantenidentitätsanbieters mit Ihrer App

Schritt 1: Suchen des Namens des Access Control Namespace

In diesem Schritt kopieren wir den Namespacenamen, um ihn im nächsten Schritt zu verwenden. Sie benötigen den Namespacenamen, um anzuzeigen, dass Token an den Endpunkt gesendet werden sollen, der die Antworten auf WS-Verbundanmeldungen empfängt.

Obwohl sich die Namespace-URL in einem Feld mit der Bezeichnung Verwaltungsportal befindet, werden die Token an den angegebenen Endpunkt gesendet.

1. Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Tipp zur Problembehandlung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

3. Klicken Sie auf Anwendungsintegration.

4. Kopieren Sie den Wert im Feld Verwaltungsportal.

   Die URL im Feld Verwaltungsportal besitzt das folgende Format:

   < https:// Namespace.accesscontrol.windows.net/>

   Speichern Sie den Wert. Sie benötigen ihn im nächsten Schritt.

Der Wert des Felds Verwaltungsportal entspricht dem Namespacenamen und der URL des Endpunkts, der die Antworten der WS-Verbundanmeldung erhält.

Schritt 2: Hinzufügen des Access Control Namespaces als Webanwendung

In diesem Schritt verwenden Sie die Features des Azure-Verwaltungsportals, um den Access Control Namespace als Webanwendung im Azure AD-Mandanten hinzuzufügen. Dadurch wird der Mandant zu einem Empfänger der Token, die von Azure AD generiert werden.

1. Wechseln Sie zum Azure-Verwaltungsportal , und melden Sie sich an. Klicken Sie auf Active Directory, klicken Sie auf ein Verzeichnis, klicken Sie auf "Anwendungen", und klicken Sie dann auf "Hinzufügen".

   

2. Geben Sie einen Namen für die App ein. Wählen Sie im Feld Typ die Option Webanwendung und/oder Web-API (Standardeinstellung) aus. Klicken Sie auf den Pfeil, um fortzufahren.

   

3. Fügen Sie in den Textfeldern App-URL und App-ID-URI die URL ein, die sich im Feld Verwaltungsportal auf der Seite Anwendungsintegration befunden hat. Klicken Sie auf den Pfeil, um fortzufahren.

   Die App-URL entspricht der Adresse, an die Token gesendet werden, wenn sich ein Benutzer erfolgreich authentifiziert. Der App-ID-URI entspricht der Zielgruppe, auf die die Token ausgerichtet sind. Wenn wir einen anderen Wert als die Entitäts-ID des Access Control Namespace verwendet haben, würde ACS es als token interpretiert, das von einem Man-in-the-Middle-Angriff wiederverwendet wird.

   Achten Sie beim Einfügen darauf, dass Sie keine nachstehenden Leerzeichen oder zusätzliche Zeichen nach dem abschließenden Schrägstrich (/) einbeziehen. Andernfalls kennzeichnet Azure AD die URL als ungültig.

   

4. Wählen Sie auf der Verzeichniszugriffsseite die Standardeinstellung, Einmalige Anmeldung, aus. Da ACS die Graph-API nicht aufruft, wird diese Einstellung nicht verwendet. Klicken Sie auf das Häkchen, um den Vorgang abzuschließen.

   An diesem Punkt weiß Ihr Azure AD-Mandant über Ihren Access Control Namespace und kann Token dafür ausgeben.

   

5. Auf der letzten Seite kopieren Sie die Verbundmetadaten-URL. Sie benötigen sie in wenigen Minuten.

   So kehren Sie zu dieser Seite zurück

   • Wechseln Sie zum Azure-Verwaltungsportal , und melden Sie sich an.

   • Klicken Sie auf ein Azure-Verzeichnis.

   • Klicken Sie auf Anwendungen.

   • Klicken Sie auf die Anwendung.

   Die Verbundmetadaten-URL wird auf der Seite Anwendungsendpunkte für die Anwendung aufgelistet. Klicken Sie zum Anzeigen dieser Seite auf der Anwendungsseite auf Endpunkte anzeigen.

   

Schritt 3: Hinzufügen des Azure AD-Mandantenidentitätsanbieters zum Access Control-Namespace

In diesem Schritt fügen Sie dem Access Control Namespace den Sicherheitstokendienst (STS) für den Azure AD-Mandanten hinzu.

1. Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Tipp zur Problembehandlung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

   Diese Aktion öffnet das ACS-Verwaltungsportal für den Access Control Namespace.

   

3. Klicken Sie auf Identitätsanbieter, und klicken Sie dann auf Hinzufügen.

4. Wählen Sie WS-Verbundidentitätsanbieter aus, und klicken Sie dann auf Weiter.

   

5. Geben Sie einen Anzeigenamen und den Text für den Anmeldelink ein. Für diese Werte gelten keine besonderen Anforderungen.

6. Klicken Sie im Bereich der WS-Verbundmetadaten auf URL, und fügen Sie dann die Verbundmetadaten-URL ein, die Sie auf der Anwendungsseite kopiert haben. Klicken Sie dann auf Speichern.

   Ein weiteres hilfreiches Feld auf dieser Seite ist das Feld Anmeldelinktext. Der Wert dieses Felds wird in der Liste der Identitätsanbieter angezeigt und Benutzern angeboten, wenn diese sich bei der Anwendung anmelden.

   

Schritt 4: Verwenden des Azure AD-Mandantenidentitätsanbieters mit Ihrer App

Der Azure AD-Mandant wird jetzt als Identitätsanbieter für den Access Control-Namespace registriert. In gewisser Hinsicht ist unsere Aufgabe abgeschlossen. In diesem Schritt zeigen wir Ihnen jedoch, wie Sie den neuen Identitätsanbieter verwenden, indem Sie ihn zum Angebot von Identitätsanbietern für eine Webanwendung hinzufügen.

So wählen Sie den neuen Identitätsanbieter für Ihre App über das Standardverfahren aus

1. Starten Sie Visual Studio 2012, und öffnen Sie eine Webanwendung.

2. Klicken Sie im Projektmappen-Explorer mit der rechten Maustaste auf den Anwendungsnamen, und klicken Sie dann auf Identität und Zugriff.

3. Klicken Sie auf der Registerkarte Anbieter auf Azure Access Control Service verwenden.

4. Sie benötigen einen Verwaltungsschlüssel für den Namespace, um die App zu einem Access Control-Namespace hinzuzufügen. Gehen Sie folgendermaßen vor, um ihn zu finden.

   1. Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Tipp zur Problembehandlung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

   2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

   3. Klicken Sie auf Verwaltungsdienst, Verwaltungsclient, und klicken Sie dann auf Symmetrischer Schlüssel.

   4. Klicken Sie auf Schlüssel anzeigen, kopieren Sie den Schlüsselwert, und klicken Sie dann auf Schlüssel ausblenden.

5. Geben Sie dann in Visual Studio im Dialogfeld ACS-Namespace konfigurieren den Namen des Access Control-Namespace ein, und fügen Sie anschließend den Verwaltungsschlüsselwert ein.

   

6. Wählen Sie den Identitätsanbieter des Azure AD-Mandanten aus der Liste der Identitätsanbieter im Namespace aus.

   

7. Wenn Sie die App ausführen, enthält das Dialogfeld für die Anmeldung den Identitätsanbieter des Azure AD-Mandanten zusammen mit der restlichen Auswahl an Identitätsanbietern. (Der auf dieser Seite angezeigte Name wird im Feld Anmeldelinktext auf der Einstellungsseite des Identitätsanbieters angezeigt.)

   

8. Wählen Sie den Azure AD-Mandanten aus, und melden Sie sich dann mit Ihrem Unternehmenskonto an.

   

Jetzt können Sie auf Ihre Anwendung zugreifen. Die Authentifizierungstoken werden an den Azure AD-Mandanten als Identitätsanbieter weitergeleitet.

Weitere Informationen

Konzepte

ACS – Vorgehensweisen