Gewusst wie: Erstellen meiner ersten anspruchsfähigen ASP.NET Anwendung mithilfe von ACS
Aktualisiert: 19. Juni 2015
Gilt für: Azure
Wichtig
ACS-Namespaces können ihre Google-Identitätsanbieterkonfigurationen von OpenID 2.0 zu OpenID Connect migrieren. Die Migration muss vor dem 1. Juni 2015 abgeschlossen sein. Ausführliche Anleitungen finden Sie unter Migrieren von ACS-Namespaces zu Google OpenID Verbinden. Bis Sie die Migration ausführen, können Sie dieses Lernprogramm mithilfe eines anderen Identitätsanbieters abschließen, z. B. mit Facebook.
Gilt für
- Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS)
Übersicht
In diesem Thema wird das Szenario der Integration von ACS in eine ASP.NET vertrauende Parteianwendung beschrieben. Indem Sie Ihre Webanwendung in ACS integrieren, müssen Sie die Features der Authentifizierung und Autorisierung aus Ihrem Code abgleichen. Mit anderen Worten: ACS stellt den Mechanismus zum Authentifizieren und Autorisieren von Benutzern für Ihre Webanwendung bereit.
In diesem Praxisszenario authentifiziert ACS Benutzer mit einer Google-Identität in einer Testanwendung ASP.NET Vertrauenden.
Schritte für die Integration von ACS in eine ASP.NET-Anwendung der vertrauenden Seite
Wichtig
Bevor Sie die folgenden Schritte ausführen, stellen Sie sicher, dass Ihr System alle .NET Framework- und Plattformanforderungen erfüllt, die in ACS-Voraussetzungen zusammengefasst sind.
Führen Sie die folgenden Schritte aus, um ACS in eine ASP.NET vertrauende Parteianwendung zu integrieren:
Schritt 1 – Erstellen eines Access Control-Namespaces
Schritt 2 – Starten des ACS-Verwaltungsportals
Schritt 3 – Hinzufügen von Identitätsanbietern
Schritt 4 – Hinzufügen einer Anwendung für vertrauende Parteien
Schritt 5 – Regeln erstellen
Schritt 6 – Überprüfen der Anwendungsintegrationsinformationen
Schritt 7 – Erstellen einer ASP.NET-Anwendung der vertrauenden Seite
Schritt 8 – Konfigurieren der Vertrauensstellung zwischen ACS und der ASP.NET-Anwendung der vertrauenden Seite
Schritt 9 – Testen der Integration von ACS in die ASP.NET-Anwendung der vertrauenden Seite
Schritt 1 – Erstellen eines Access Control-Namespaces
Ausführliche Anweisungen zum Erstellen eines Access Control Namespace finden Sie unter How to: Create an Access Control Namespace.
Schritt 2 – Starten des ACS-Verwaltungsportals
Mit dem ACS-Verwaltungsportal können Sie Ihren Access Control Namespace konfigurieren, indem Sie Identitätsanbieter hinzufügen, Vertrauensgruppenanwendungen konfigurieren, Regeln und Gruppen von Regeln definieren und die Anmeldeinformationen einrichten, die Ihre Vertrauensparteianwendung vertraut.
So starten Sie das ACS-Verwaltungsportal
Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Tipp zur Problembehandlung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)
Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)
Schritt 3 – Hinzufügen von Identitätsanbietern
In diesem Abschnitt wird das Hinzufügen von Identitätsanbietern beschrieben, die von der Anwendung der vertrauenden Seite für die Authentifizierung verwendet werden. Weitere Informationen zu Identitätsanbietern finden Sie unter "Identitätsanbieter".
So fügen Sie Identitätsanbieter hinzu
Klicken Sie im ACS-Verwaltungsportal auf die Identitätsanbieter in der Struktur auf der linken Seite, oder klicken Sie im Abschnitt Erste Schritte auf den Link "Identitätsanbieter".
Klicken Sie auf der Seite Identitätsanbieter auf Hinzufügen, wählen Sie Google als Identitätsanbieter aus, und klicken Sie dann auf Weiter.
Auf der Seite Google als Identitätsanbieter hinzufügen werden Sie zur Eingabe von Anmeldelinktext (der Standardwert ist Google) und einer Bild-URL aufgefordert. Diese URL verweist auf eine Bilddatei, die als Anmeldelink für diesen Identitätsanbieter verwendet werden kann. Die Bearbeitung dieser Felder ist optional. Bearbeiten Sie sie in dieser Übung nicht, klicken Sie stattdessen auf Speichern.
Schritt 4 – Hinzufügen einer Anwendung für vertrauende Parteien
In diesem Abschnitt wird das Hinzufügen und Konfigurieren einer Anwendung der vertrauenden Seite beschrieben. Weitere Informationen zu Anwendungen von vertrauenden Parteien finden Sie unter "Anwendungen für vertrauende Parteien".
So richten Sie eine Anwendung der vertrauenden Seite ein
Klicken Sie im ACS-Verwaltungsportal auf die Struktur auf der linken Seite auf vertrauende Parteienanwendungen, oder klicken Sie im Abschnitt Erste Schritte auf den Link "Anwendungen für vertrauende Parteien".
Klicken Sie auf der Seite Anwendungen der vertrauenden Seite auf Hinzufügen.
Führen Sie auf der Seite Anwendung der vertrauenden Seite hinzufügen die folgenden Aktionen aus:
Geben Sie unter Name den Namen der Anwendung der vertrauenden Seite ein. Geben Sie für diese Übung TestApp ein.
Wählen Sie unter Modus die Option Einstellungen manuell eingeben aus.
Geben Sie im Bereich den URI ein, für den das von ACS ausgestellte Sicherheitstoken gilt. Geben Sie für diese Übung den Typ https://localhost:7777/.
Geben Sie in der Rückgabe-URL die URL ein, an die ACS das Sicherheitstoken zurückgibt. Geben Sie für diese Übung den Typ https://localhost:7777/.
Geben Sie in der Fehler-URL (optional) die URL ein, auf die ACS posten kann, wenn während der Anmeldung ein Fehler auftritt. Lassen Sie dieses Feld für diese Übung leer.
Wählen Sie im Tokenformat ein Tokenformat für ACS aus, das beim Ausgeben von Sicherheitstoken für diese Anwendung der vertrauenden Partei verwendet werden soll. Wählen Sie für diese Übung SAML 2.0 aus. Weitere Informationen zu Token- und Tokenformaten finden Sie unter Tokenformate, die in ACS und "Tokenformat" in Vertrauensparteianwendungen unterstützt werden.
Wählen Sie in der Tokenverschlüsselungsrichtlinie eine Verschlüsselungsrichtlinie für Token aus, die von ACS für diese Anwendung für vertrauende Parteien ausgestellt wurden. Akzeptieren Sie in dieser Übung den Standardwert Keine. Weitere Informationen zur Tokenverschlüsselungsrichtlinie finden Sie unter "Tokenverschlüsselungsrichtlinie" in Vertrauenden Parteianwendungen.
Geben Sie unter Tokengültigkeitsdauer (Sek.) den Zeitraum an, für den ein von ACS ausgestelltes Sicherheitstoken gültig bleibt. Akzeptieren Sie in dieser Übung den Standardwert 600. Weitere Informationen finden Sie unter "Token-Lebensdauer" in Anwendungen für vertrauende Parteien.
Wählen Sie unter Identitätsanbieter die Identitätsanbieter aus, die mit der Anwendung dieser vertrauenden Seite verwendet werden sollen. Akzeptieren Sie für diese Übung die aktivierten Standardwerte (Google und Windows Live ID).
Wählen Sie unter Regelgruppen die Regelgruppen aus, die diese Anwendung der vertrauenden Seite beim Verarbeiten von Ansprüchen verwenden soll. Akzeptieren Sie in dieser Übung die Option Neue Regelgruppe erstellen, die standardmäßig aktiviert ist. Weitere Informationen zu Regelgruppen finden Sie unter Regelgruppen und Regeln.
Wählen Sie im Abschnitt "Tokensignatur Einstellungen" aus, ob SAML-Token mit dem Zertifikat für den Access Control-Namespace oder mit einem benutzerdefinierten Zertifikat, das für diese Anwendung spezifisch ist, signieren sollen. Akzeptieren Sie in dieser Übung den Standardwert Dienstnamespacezertifikat verwenden (Standard). Weitere Informationen zur Tokensignierung finden Sie unter "Token signieren" in Anwendungen für vertrauende Parteien.
Klicken Sie auf Speichern.
Schritt 5 – Regeln erstellen
In diesem Abschnitt wird das Definieren von Regeln beschrieben, die bestimmen, wie Ansprüche von Identitätsanbietern an Ihre Anwendung der vertrauenden Seite übergeben werden. Weitere Informationen zu Regeln und Regelgruppen finden Sie unter Regelgruppen und Regeln.
So erstellen Sie Regeln
Klicken Sie auf der Homepage des ACS-Verwaltungsportals auf der Struktur auf der linken Seite auf Regelgruppen, oder klicken Sie im Abschnitt Erste Schritte auf den Link "Regelgruppen".
Klicken Sie auf der Seite Regelgruppen auf Standardregelgruppe für TestApp (da Sie die Anwendung der vertrauenden Seite TestApp genannt haben).
Klicken Sie auf der Seite Regelgruppe bearbeiten auf Generieren.
Akzeptieren Sie auf der Seite "Regeln generieren: Standardregelgruppe für TestApp" die standardmäßig ausgewählten Identitätsanbieter (in dieser Übung Google und Windows Live ID), und klicken Sie dann auf die Schaltfläche "Generieren".
Klicken Sie auf der Seite Regelgruppe bearbeiten auf Speichern.
Schritt 6 – Überprüfen der Anwendungsintegrationsinformationen
Sie finden alle Informationen und Code, die erforderlich sind, um Ihre vertrauende Parteianwendung zu ändern, um mit ACS auf der Seite "Anwendungsintegration " des ACS-Verwaltungsportals zu arbeiten.
So überprüfen Sie die Anwendungsintegrationsinformationen
Klicken Sie auf der Homepage des ACS-Verwaltungsportals auf der Struktur auf der linken Seite auf die Anwendungsintegration, oder klicken Sie im Abschnitt Erste Schritte auf den Link "Anwendungsintegration".
Die ACS-URIs, die auf der Seite "Anwendungsintegration" angezeigt werden, sind für Ihren Access Control Namespace eindeutig.
Für diese Übung wird empfohlen, diese Seite schnell zu öffnen, um die verbleibenden Schritte schnell auszuführen.
Schritt 7 – Erstellen einer ASP.NET-Anwendung der vertrauenden Seite
In diesem Abschnitt wird beschrieben, wie Sie eine ASP.Net Anwendung für vertrauende Parteien erstellen, die Sie schließlich in ACS integrieren möchten.
So erstellen Sie eine ASP.NET-Anwendung der vertrauenden Seite
Um Visual Studio 2010 auszuführen, klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie den folgenden Text ein, und drücken Sie dann die EINGABETASTE:
devenv.exeKlicken Sie in Visual Studio auf Datei und dann auf Neues Projekt.
Wählen Sie im Fenster Neues Projekt die Vorlage Visual Basic oder die Vorlage Visual C# aus, und wählen Sie dann ASP.NET MVC 2-Webanwendung aus.
Geben Sie unter Name den folgenden Text ein, und klicken Sie dann auf OK:
TestAppWählen Sie unter Testprojekt erstellen die Option Kein Testprojekt erstellen aus, und klicken Sie dann auf OK.
Klicken Sie in Projektmappen-Explorer mit der rechten Maustaste auf "TestApp", und wählen Sie dann "Eigenschaften" aus.
Wählen Sie im Fenster TestApp - Eigenschaften die Registerkarte Webaus, klicken Sie unter Visual Studio-Entwicklungsserver auf Bestimmter Anschluss, und ändern Sie den Wert dann in 7777.
Drücken Sie F5, um die soeben erstellte Anwendung auszuführen und zu debuggen. Wenn keine Fehler gefunden wurden, rendert Ihr Browser ein leeres MVC-Projekt.
Lassen Sie Visual Studio 2010 geöffnet, um den nächsten Schritt auszuführen.
Schritt 8 – Konfigurieren der Vertrauensstellung zwischen ACS und der ASP.NET-Anwendung der vertrauenden Seite
In diesem Abschnitt wird beschrieben, wie ACS in die ASP.NET Anwendung der vertrauenden Partei integriert wird, die Sie im vorherigen Schritt erstellt haben.
So konfigurieren Sie die Vertrauensstellung zwischen der ASP.NET-Anwendung der vertrauenden Seite und ACS
Klicken Sie in Visual Studio 2010 in Projektmappen-Explorer für TestApp mit der rechten Maustaste auf "TestApp", und wählen Sie dann "STS-Referenz hinzufügen" aus.
Führen Sie im Verbundprogramm-Assistenten die folgenden Schritte aus:
Geben Sie auf der Seite Willkommen unter Anwendungs-URI den Anwendungs-URI ein, und klicken Sie dann auf Weiter. In dieser Demo ist https://localhost:7777/der Anwendungs-URI .
Hinweis
Der nachfolgende Schrägstrich ist wichtig, da er dem Wert entspricht, den Sie im ACS-Verwaltungsportal für Ihre Anwendung der vertrauenden Partei eingegeben haben. Weitere Informationen finden Sie unter Schritt 4 – Hinzufügen einer Anwendung für vertrauende Parteien.
Eine Warnung wird angezeigt: ID 1007: Die Anwendung wird nicht in einer sicheren HTTPS-Verbindung gehostet. Möchten Sie fortfahren? Klicken Sie für diese Demo auf "Ja".
Hinweis
In einer Produktionsumgebung ist diese Warnung zur Verwendung von SSL gültig und sollte nicht ignoriert werden.
Wählen Sie auf der Seite "Sicherheitstokendienst " die Option "Vorhandene STS verwenden" aus, geben Sie die von ACS veröffentlichte WS-Federation Metadaten-URL ein, und klicken Sie dann auf "Weiter".
Hinweis
Sie finden den Wert der WS-Federation Metadaten-URL auf der Seite "Anwendungsintegration " des ACS-Verwaltungsportals. Weitere Informationen finden Sie in Schritt 6 – Überprüfen der Anwendungsintegrationsinformationen.
Klicken Sie auf der Seite Überprüfungsfehler der STS-Signaturzertifikatkette auf Weiter.
Klicken Sie auf der Seite Sicherheitstokenverschlüsselung auf Weiter.
Klicken Sie auf der Seite Angebotene Ansprüche auf Weiter.
Klicken Sie auf der Seite Zusammenfassung auf Fertig stellen.
Nachdem Sie die Ausführung des Verbundhilfsprogramm-Assistenten erfolgreich beendet haben, wird ein Verweis auf die Assembly Microsoft.IdentityModel.dll hinzugefügt, und es werden Werte in die Datei Web.config geschrieben, die WIF (Windows Identity Foundation) in Ihrer ASP.NET MVC 2-Webanwendung (TestApp) konfiguriert.
Öffnen Sie die Datei Web.config, und suchen Sie nach dem Hauptelement system.web. Es ähnelt der folgenden Angabe:
<system.web> <authorization> <deny users="?" /> </authorization>
Ändern Sie die Datei Web.config so, dass die Anforderungsüberprüfung ermöglicht wird, indem Sie den folgenden Code unter dem Hauptelement system.web hinzufügen:
<!--set this value--> <httpRuntime requestValidationMode="2.0"/>
Nachdem Sie das Update ausgeführt haben, muss das oben genannte Codefragment wie folgt aussehen:
<system.web> <!--set this value--> <httpRuntime requestValidationMode="2.0"/> <authorization> <deny users="?" /> </authorization>
Schritt 9 – Testen der Integration von ACS in die ASP.NET-Anwendung der vertrauenden Seite
In diesem Abschnitt wird beschrieben, wie Sie die Integration zwischen Ihrer vertrauenden Partyanwendung und ACS testen können.
So testen Sie die Integration der ASP.NET-Anwendung der vertrauenden Seite in ACS
Lassen Sie Visual Studio 2010 geöffnet, und drücken Sie dann F5, um mit dem Debugvorgang der ASP.NET-Anwendung der vertrauenden Seite zu beginnen.
Wenn keine Fehler gefunden werden, anstatt die Standard-MVC-Anwendung zu öffnen, wird Ihr Browser auf eine Von ACS gehostete Home Realm Discovery-Seite umgeleitet, die Sie aufgefordert, einen Identitätsanbieter auszuwählen.
Wählen Sie Google aus.
Der Browser lädt nun die Google-Anmeldeseite.
Geben Sie Ihre Google-Testanmeldeinformationen ein, und akzeptieren Sie dann die Zustimmungsbenutzeroberfläche, die auf der Google-Website angezeigt wird.
Der Browser sendet dann zurück zu ACS, ACS stellt ein Token aus und stellt dieses Token auf Ihrer MVC-Website bereit.