Configuration de la confiance entre ACS et des applications web ASP.NET à l'aide de certificats X.509
Mise à jour : 19 juin 2015
S’applique à : Azure
S'applique à
Microsoft Azure Active Directory Access Control (également appelé Access Control Service ou ACS)
ASP.NET
Résumé
Cette rubrique explique comment configurer l’approbation entre votre application et ACS. L’approbation est établie en signant les jetons échangés entre votre application web ASP.NET et ACS.
Contenu
Objectifs
Vue d’ensemble
Résumé des étapes
Étape 1 : accès à la section Certificats de signature de jetons
Étape 2 : configuration de la confiance à l'aide de certificats X.509
Étape 3 : révision des attributs liés à la confiance dans le fichier web.config et le portail de gestion ACS
Objectifs
Familiarisez-vous avec la section gestion de l’approbation sur le portail de gestion ACS.
Gérer la confiance à l'aide de certificats X.509.
Vérifier la configuration requise dans le fichier web.config et sur le portail de gestion.
Vue d’ensemble
L’établissement d’une approbation est nécessaire pour échanger correctement des jetons entre votre application et ACS. La confiance garantit que les jetons ne sont pas falsifiés en transit, et qu'ils sont émis par une partie de confiance. Pour ASP.NET confiance des applications web est gérée à l’aide de certificats X.509 et est basée sur la configuration du portail de gestion ACS et de la configuration web.config.
Résumé des étapes
Pour établir et gérer l’approbation entre une application web ASP.NET et ACS, procédez comme suit :
Étape 1 : accès à la section Certificats de signature de jetons
Étape 2 : configuration de la confiance à l'aide de certificats X.509
Étape 3 : révision des attributs liés à la confiance dans le fichier web.config et le portail de gestion ACS
Étape 1 : accès à la section Certificats de signature de jetons
Cette étape montre comment accéder à la section gestion de l’approbation du portail de gestion ACS.
Pour accéder à la section du portail de gestion relative à la gestion de la confiance
Accédez au portail de gestion Microsoft Azure (https://manage.WindowsAzure.com), connectez-vous, puis cliquez sur Active Directory. (Conseil de résolution des problèmes : l’élément « Active Directory » est manquant ou non disponible)
Pour gérer un espace de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer. (Ou cliquez sur Espaces de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer.)
Dans le portail ACS, cliquez sur Applications de partie de confiance.
Cliquez sur une application par partie de confiance.
Faites défiler la page Modifier l'application par partie de confiance vers le bas jusqu'à la section Certificats de signature de jetons.
Sélectionnez un certificat.
Étape 2 : configuration de la confiance à l'aide de certificats X.509
Cette étape montre comment configurer et gérer l’approbation entre ACS et une application web ASP.NET à l’aide d’un certificat X.509. Utilisez un certificat X.509 signant des informations d'identification si vous utilisez Windows ® Identity Foundation (WIF) dans votre application par partie de confiance.
Pour configurer et gérer la confiance à l'aide d'un certificat X.509
Accédez au portail de gestion Microsoft Azure (https://manage.WindowsAzure.com), connectez-vous, puis cliquez sur Active Directory. (Conseil de résolution des problèmes : l’élément « Active Directory » est manquant ou non disponible)
Pour gérer un espace de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer. (Ou cliquez sur Espaces de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer.)
Cliquez sur certificats et clés, puis sélectionnez un certificat X.509.
Dans la page Modifier un certificat ou une clé de signature de jeton, entrez les valeurs suivantes :
Nom : nom arbitraire de votre choix.
Type : Certificat X.509.
Certificat : pour utiliser le certificat créé par ACS par défaut, aucune action n’est requise. Vous pouvez également charger vers le serveur votre propre certificat X.509.
Le certificat doit être protégé par mot de passe. Il a généralement une extension .pfx. lors du chargement de votre propre certificat X.509. Indiquez le mot de passe du fichier pfx dans la zone de texte Mot de passe
Mot de passe : si vous utilisez le certificat par défaut, aucune action n’est requise. Si vous chargez un certificat vers le serveur, le certificat doit être protégé par mot de passe. Entrez le mot de passe du fichier .pfx dans la zone de texte Mot de passe.
Cliquez sur Enregistrer.
Obtention d'un certificat X.509
Il existe plusieurs manières d'obtenir un certificat X.509 pour la signature ou le chiffrement de jetons. La méthode utilisée dépend de vos exigences et des outils à la disposition de votre organisation.
Autorité de certification locale
Si votre organisation a déployé une autorité de certification (CA) telle que les services de certificats Active Directory (AD CS), vous pouvez demander un certificat X.509. Vous devrez peut-être contacter l'administrateur de votre autorité de certification pour obtenir des instructions ou des autorisations. Pour plus d’informations sur les services de certificats Active Directory, consultez Services de certificats Active Directory (https://go.microsoft.com/fwlink/?linkid=208371).
Autorité de certification commerciale
Vous pouvez acheter un certificat X.509 à une autorité de certification commerciale telle que Verisign. Comme il s'agit d'une version Labs, nous vous recommandons d'utiliser votre autorité de certification locale (si disponible) ou de générer un certificat auto-signé (voir ci-dessous).
Générer un certificat Self-Signed
Vous pouvez utiliser des logiciels pour générer votre propre certificat auto-signé à utiliser avec ACS. Bien que cela ne soit généralement recommandé qu'à des fins de test, toute personne sans accès à une autorité de certification locale ou à un paiement à une telle autorité peut le faire. Si vous exécutez Windows, vous pouvez télécharger MakeCert.exe dans le cadre du KIT de développement logiciel (SDK) Windows (https://go.microsoft.com/fwlink/?linkid=84091) et l’utiliser pour générer un certificat.
Exportation d'un certificat auto-signé
Pour obtenir des instructions sur l’exportation d’un certificat auto-signé, consultez Certificats et clés.
Étape 3 : révision des attributs liés à la confiance dans le fichier web.config et le portail de gestion ACS
Cette étape montre comment valider des attributs de configuration liés à la confiance dans le fichier web.config de votre application web ASP.NET.
Pour vérifier les configurations relatives à la confiance dans le fichier web.config de votre application web ASP.NET
Ouvrez le fichier web.config pour votre application web ASP.NET.
Accédez au nœud audiencesUris et vérifiez que la valeur de son nœud d’ajout enfant est identique à celle que vous avez entrée dans le champ de propriété Realm de la page Modifier la partie de confiance du portail de gestion ACS.
Accédez au portail de gestion Microsoft Azure (https://manage.WindowsAzure.com), connectez-vous, puis cliquez sur Active Directory. (Conseil de résolution des problèmes : l’élément « Active Directory » est manquant ou non disponible)
Pour gérer un espace de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer. (Ou cliquez sur Espaces de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer.)
Cliquez sur Applications par partie de confiance.
Dans la page Applications par partie de confiance, cliquez sur l'application souhaitée.
Dans la page Ajouter une application par partie de confiance, examinez l'attribut Domaine.