Procedura: Configurare Google come provider di identità
Aggiornamento: 19 giugno 2015
Si applica a: Azure
Importante
A partire dal 19 maggio 2014 i nuovi spazi dei nomi ACS non potranno più usare Google come provider di identità. Gli spazi dei nomi ACS registrati prima di tale data potranno continuare a usare Google come provider di identità. Per altre informazioni, vedere Note sulla versione.
Si applica a
- Microsoft Azure Active Directory Access Control (anche noto come Servizio di controllo di accesso o ACS)
Riepilogo
In questo articolo viene illustrato come configurare Google come servizio di controllo di accesso del provider di identità. Configurando Google come provider di identità per l'applicazione Web ASP.NET, gli utenti possono autenticarsi in tale applicazione eseguendo l'accesso al rispettivo account di Google.
Contenuto
Obiettivi
Panoramica
Riepilogo dei passaggi
Passaggio 1 - Creare uno spazio dei nomi
Passaggio 2 - Configurare Google come provider di identità
Passaggio 3 - Configurare i criteri di attendibilità con la relying party
Passaggio 4 - Configurare le regole di trasformazione dei token
Passaggio 5 - Esaminare gli endpoint esposti dallo spazio dei nomi
Obiettivi
Creare un progetto e uno spazio dei nomi Microsoft Azure.
Configurare uno spazio dei nomi da usare con Google come provider di identità.
Configurare criteri di attendibilità e regole di trasformazione dei token.
Acquisire familiarità con i riferimenti agli endpoint, l'elenco dei servizi e gli endpoint dei metadati.
Panoramica
Configurando Google come provider di identità, si elimina la necessità di creare e gestire un meccanismo di autenticazione e gestione delle identità. Se sono disponibili procedure di autenticazione note, l'uso del sistema da parte dell'utente finale risulta ottimizzato. Usando ACS, è facile configurare una configurazione che consente all'applicazione di utilizzarla facilmente e offrire tali funzionalità agli utenti finali. Questa procedura descrive come eseguire questa attività. Il diagramma seguente illustra il flusso complessivo della configurazione di una relying party di ACS da usare.
.gif "ACS v2 Workflow")
Riepilogo dei passaggi
Per configurare Google come provider di identità per l'applicazione, effettuare i seguenti passaggi:
Passaggio 1 - Creare uno spazio dei nomi
Passaggio 2 - Configurare Google come provider di identità
Passaggio 3 - Configurare i criteri di attendibilità con la relying party
Passaggio 4 - Configurare le regole di trasformazione dei token
Passaggio 5 - Esaminare gli endpoint esposti dallo spazio dei nomi
Passaggio 1 - Creare uno spazio dei nomi
Questo passaggio crea uno spazio dei nomi Controllo di accesso nel progetto di Azure. Se si desidera configurare Google come provider di identità per uno spazio dei nomi esistente, è possibile saltare questo passaggio.
Per creare uno spazio dei nomi Controllo di accesso nel progetto di Azure
Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)
Per creare uno spazio dei nomi di Controllo di accesso, fare clic su Nuovo, Servizi app, Controllo di accesso, quindi su Creazione rapida. Altrimenti, fare clic su Spazi dei nomi controllo di accesso prima di scegliere Nuovo.
Passaggio 2 - Configurare Google come provider di identità
Questo passaggio consente di configurare Google come provider di identità per uno spazio dei nomi esistente.
Per configurare Google come provider di identità per uno spazio dei nomi esistente
Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)
Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.
Nel portale ACS fare clic su Provider di identità.
Nella pagina Add Identity Provider fare clic su Add, quindi su Google.
Nella pagina Add Google Identity Provider fare clic su Save.
Passaggio 3 - Configurare i criteri di attendibilità con la relying party
Questo passaggio illustra come configurare l'attendibilità tra l'applicazione, denominata relying party e ACS.
Per configurare i criteri di attendibilità
Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)
Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.
Nel portale ACS fare clic su Relying Party Applications (Applicazioni relying party ) e quindi su Aggiungi.
Nella pagina Add Relying Party Application specificare i valori per i seguenti campi:
Name - Un nome arbitrario di propria scelta.
Area di autenticazione: l'area di autenticazione è l'URI per cui i token emessi dal servizio di controllo di accesso sono validi.
URL restituito: l'URL restituito definisce l'URL a cui ACS invia il token emesso per una determinata applicazione relying party.
Formato token: il formato del token definisce il tipo di problemi del token ACS per un'applicazione relying party.
Criteri di crittografia dei token: facoltativamente, ACS può crittografare qualsiasi token SAML 1.1 o SAML 2.0 rilasciato a un'applicazione relying party.
Durata del token: la durata del token specifica la durata (TTL) per il token rilasciato da ACS all'applicazione relying party.
Identity providers - Questo campo consente di specificare quali provider di identità usare con l'applicazione relying party. Accertarsi che sia selezionato Google.
Rule groups - Questi gruppi contengono le regole che definiscono quali attestazioni di identità utente vengono passate dai provider di identità all'applicazione relying party.
Firma del token: ACS firma tutti i token di sicurezza che emette usando un certificato X.509 (con una chiave privata) o una chiave simmetrica a 256 bit.
Per altre informazioni su ogni campo, vedere Relying Party Applications.For more information about each field, see Relying Party Applications.
Fare clic su Salva.
Passaggio 4 - Configurare le regole di trasformazione dei token
Questo passaggio illustra come configurare le attestazioni da inviare da ACS all'applicazione relying party. Google ad esempio non invia l'indirizzo e-mail dell'utente per impostazione predefinita. È pertanto necessario configurare il provider di identità in modo che fornisca all'applicazione le attestazioni desiderate e specificare in che modo devono essere trasformate. La seguente procedura descrive come aggiungere una regola per passare un indirizzo e-mail nel token, in modo che l'applicazione possa usarlo.
Per configurare le regole di trasformazione delle attestazioni dei token
Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)
Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.
Nel portale ACS fare clic su Gruppi di regole e quindi su Aggiungi. In alternativa, è possibile modificare il gruppo di regole esistente.
Specificare un nome per il nuovo gruppo, quindi fare clic su Save.
Nella pagina Edit Rule Group fare clic su Add.
Nella pagina Add Claim Rule specificare i seguenti valori:
Autorità di certificazione attestazioni: selezionare Provider di identità e Google.
Tipo di attestazione di input: selezionare Seleziona tipo e https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
Valore attestazione di input: selezionare Any.
Tipo di attestazione di output: selezionare Passa attraverso il tipo di attestazione di input.
Valore attestazione di output: selezionare Passa attraverso il valore dell'attestazione di input.
Facoltativamente, è possibile aggiungere una descrizione nella casella Description.
Nelle pagine Edit Rule Group e Rule Groups fare clic su Save.
Fare clic sull'applicazione relying partydesiderata.
Scorrere verso il basso fino alla sezione Rule Groups, selezionare il nuovo gruppo di regole , quindi fare clic su Save.
Passaggio 5 - Esaminare gli endpoint esposti dallo spazio dei nomi
Questo passaggio consente di acquisire familiarità con gli endpoint esposti da ACS. Ad esempio, ACS espone l'endpoint di metadati WS-Federation usato da FedUtil durante la configurazione di applicazioni Web ASP.NET per l'autenticazione federata.
Per esaminare gli endpoint esposti da ACS
Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: l'elemento "Active Directory" non è disponibile o meno)
Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.
Nel portale di ACS fare clic su Integrazione dell'applicazione
Esaminare la tabella Endpoint Reference. I metadati WS-Federation esposti mediante l'URL ad esempio dovrebbero essere simili ai seguenti (il proprio spazio dei nomi sarà diverso).
https://my-namespace1.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml