Freigeben über

Vorgehensweise: Konfigurieren von Google als Identitätsanbieter

  • Artikel

Aktualisiert: 19. Juni 2015

Gilt für: Azure

Wichtig

Ab dem 19. Mai 2014 können neue ACS-Namespaces Google nicht als Identitätsanbieter verwenden. ACS-Namespaces, die Google verwenden und vor diesem Datum registriert wurden, sind nicht betroffen. Weitere Informationen finden Sie unter Versionshinweise.

Gilt für

  • Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS)

Zusammenfassung

In diesem How To wird erläutert, wie Google als Identitätsanbieter ACS konfiguriert wird. Wenn Sie Google als Identitätsanbieter für Ihre ASP.NET-Webanwendung konfigurieren, können sich Benutzer mit Ihrer ASP.NET-Webanwendung authentifizieren, indem sie sich an ihrem Google-Konto anmelden.

Inhalte

  • Ziele

  • Übersicht

  • Zusammenfassung der Schritte

  • Schritt 1 - Erstellen eines Namespaces

  • Schritt 2 – Konfigurieren von Google als Identitätsanbieter

  • Schritt 3 – Konfigurieren der Vertrauensstellung mit der vertrauenden Seite

  • Schritt 4 – Erstellen von Tokentransformationsregeln

  • Schritt 5 – Überprüfen der durch den Namespace bereitgestellten Endpunkte

Ziele

  • Erstellen Sie ein Microsoft Azure Projekt und einen Namespace.

  • Konfigurieren eines Namespaces, der mit Google als Identitätsanbieter verwendet wird.

  • Konfigurieren der Vertrauensstellung und Tokentransformationsregeln.

  • Kennenlernen des Endpunktverweises, der Liste der Dienste und der Metadatenendpunkte.

Übersicht

Wenn Sie Google als Identitätsanbieter konfigurieren, ist es nicht mehr erforderlich die Authentifizierungs- und Identitätsverwaltungsmechanismen zu erstellen und zu verwalten. Die Erfahrung des Endbenutzers wird optimiert, wenn vertraute Authentifizierungsverfahren bereitgestellt werden. Die Verwendung von ACS ist es einfach, eine Konfiguration einzurichten, mit der Ihre Anwendung sie problemlos nutzen und endbenutzern diese Funktionalität anbieten kann. In dieser Vorgehensweise wird erläutert, wie diese Aufgabe gelöst werden kann. Das folgende Diagramm zeigt den gesamten Fluss der Konfiguration einer vertrauenden Seite von ACS für die Verwendung.

ACS v2 Workflow

Zusammenfassung von Schritten

Führen Sie die folgenden Schritte aus, um Google als Identitätsanbieter für Ihre Anwendung zu konfigurieren:

  • Schritt 1 - Erstellen eines Namespaces

  • Schritt 2 – Konfigurieren von Google als Identitätsanbieter

  • Schritt 3 – Konfigurieren der Vertrauensstellung mit der vertrauenden Seite

  • Schritt 4 – Erstellen von Tokentransformationsregeln

  • Schritt 5 – Überprüfen der durch den Namespace bereitgestellten Endpunkte

Schritt 1 - Erstellen eines Namespaces

In diesem Schritt wird ein Access Control Namespace im Azure-Projekt erstellt. Sie können diesen Schritt überspringen, wenn Sie Google als Identitätsanbieter für einen vorhandenen Namespace konfigurieren möchten.

So erstellen Sie einen Access Control Namespace in Ihrem Azure-Projekt

  1. Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Tipp zur Problembehandlung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

  2. Um einen Namespace für die Zugriffssteuerung zu erstellen, klicken Sie auf Neu, auf Anwendungsdienste, auf Zugriffssteuerung und dann auf Schnellerfassung. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung und dann auf Neu.)

Schritt 2 – Konfigurieren von Google als Identitätsanbieter

In diesem Schritt wird gezeigt, wie Sie Google als Identitätsanbieter für einen vorhandenen Namespace konfigurieren können.

So konfigurieren Sie Google als Identitätsanbieter für einen vorhandenen Namespace

  1. Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Tipp zur Problembehandlung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

  2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

  3. Klicken Sie im ACS-Portal auf Identitätsanbieter.

  4. Klicken Sie auf der Seite Identitätsanbieter hinzufügen auf Hinzufügen, und wählen Sie dann Google aus.

  5. Klicken Sie auf der Seite Google-Identitätsanbieter hinzufügen auf Speichern.

Schritt 3 – Konfigurieren der Vertrauensstellung mit der vertrauenden Seite

In diesem Schritt wird gezeigt, wie Sie die Vertrauensstellung zwischen Ihrer Anwendung konfigurieren, die als vertrauende Partei bezeichnet wird, und ACS.

So konfigurieren Sie die Vertrauensstellung

  1. Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Tipp zur Problembehandlung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

  2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

  3. Klicken Sie im ACS-Portal auf "Anwendungen vertrauener Parteien " und dann auf "Hinzufügen".

  4. Geben Sie auf der Seite Anwendung der vertrauenden Seite hinzufügen die folgenden Werte für die folgenden Felder ein:

    • Name - Ein beliebiger Name Ihrer Wahl.

    • Bereich – Der Bereich ist der URI, für den Token gültig sind, die von ACS ausgestellt wurden.

    • Rückgabe-URL – Die Rückgabe-URL definiert die URL, die ACS das ausgestellte Token für eine bestimmte anwendung vertrauende Seite postet.

    • Tokenformat – Das Tokenformat definiert den Typ der Token-ACS-Probleme für eine vertrauende Parteianwendung.

    • Tokenverschlüsselungsrichtlinie – Optional kann ACS jedes SAML 1.1- oder SAML 2.0-Token verschlüsseln, das an eine vertrauende Parteianwendung ausgestellt wurde.

    • Tokenlebensdauer – Die Tokenlebensdauer gibt die Zeit für Live (TTL) für das token an, das von ACS für die Anwendung der vertrauenden Partei ausgestellt wurde.

    • Identitätsanbieter - Im Feld Identitätsanbieter können Sie angeben, welche Identitätsanbieter mit Ihrer Anwendung der vertrauenden Seite verwendet werden sollen. Stellen Sie sicher, dass Google ausgewählt ist.

    • Regelgruppen - Regelgruppen enthalten Regeln, die definieren, welche Benutzeridentitätsansprüche von Identitätsanbietern an Ihre Anwendung der vertrauenden Seite übergeben werden.

    • Tokensignatur – ACS signiert alle Sicherheitstoken, die es mit einem X.509-Zertifikat (mit einem privaten Schlüssel) oder einem symmetrischen 256-Bit-Schlüssel gibt.

    Weitere Informationen zu jedem Feld finden Sie unter "Anwendungen für vertrauende Parteien".

  5. Klicken Sie auf Speichern.

Schritt 4 – Erstellen von Tokentransformationsregeln

In diesem Schritt wird gezeigt, wie Ansprüche konfiguriert werden, die von ACS an die Anwendung der vertrauenden Seite gesendet werden. Google sendet z. B. E-Mail-Nachrichten von Benutzern nicht standardmäßig. Sie müssen den Identitätsanbieter konfigurieren, der die gewünschten Ansprüche für Ihre Anwendung bereitstellen soll, und angeben, wie die Transformation erfolgen soll. Im folgenden Verfahren wird beschrieben, wie eine Pass-Through-Regel für eine E-Mail-Adresse im Token hinzugefügt wird, damit dieses von Ihrer Anwendung verwendet werden kann.

So konfigurieren Sie Transformationsregeln für Tokenansprüche

  1. Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Tipp zur Problembehandlung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

  2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

  3. Klicken Sie im ACS-Portal auf Regelgruppen , und klicken Sie dann auf "Hinzufügen". Sie können optional auch eine vorhandene Regelgruppe bearbeiten.

  4. Geben Sie einen Namen für die neue Gruppe an, und klicken Sie dann auf Speichern.

  5. Klicken Sie für Regelgruppe bearbeiten auf Hinzufügen.

  6. Geben Sie auf der Seite Anspruchsregel hinzufügen die folgenden Werte an:

    • Anspruchsherausgeber: Identitätsanbieter und Google auswählen.

    • Eingabeanspruchstyp: Select type and https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.

    • Eingabeanspruchswert: Wählen Sie "Beliebige" aus.

    • Ausgabeanspruchstyp: Wählen Sie "Pass through the input claim type" aus.

    • Ausgabeanspruchswert: Wählen Sie "Pass through the input claim value" aus.

    • Optional: Fügen Sie unter Beschreibung eine Beschreibung der Regel hinzu.

  7. Klicken Sie auf den Seiten Regelgruppe bearbeiten und Regelgruppen auf Speichern.

  8. Klicken Sie auf die gewünschten Anwendungen der vertrauenden Seite.

  9. Führen Sie einen Bildlauf nach unten bis zum Abschnitt Regelgruppen aus, wählen Sie die neue Regelgruppe aus, und klicken Sie dann auf Speichern.

Schritt 5 – Überprüfen der durch den Namespace bereitgestellten Endpunkte

In diesem Schritt werden Sie mit den Endpunkten vertraut gemacht, die ACS verfügbar macht. AcS macht beispielsweise den WS-Federation Metadatenendpunkt verfügbar, der von FedUtil beim Konfigurieren ASP.NET Webanwendungen für die Verbundauthentifizierung verwendet wird.

So überprüfen Sie die von ACS bereitgestellten Endpunkte

  1. Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Tipp zur Problembehandlung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

  2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

  3. Klicken Sie im ACS-Portal auf "Anwendungsintegration"

  4. Überprüfen Sie die Tabelle Endpunktverweis. Die von WS-Verbund über die URL bereitgestellten Metadaten sollten den folgenden Daten ähneln (Sie verwenden einen anderen Namespace).

    https://my-namespace1.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml

Weitere Informationen

Konzepte

ACS – Vorgehensweisen