Delen via

Procedure: Google configureren als id-provider

  • Artikel

Bijgewerkt: 19 juni 2015

Van toepassing op: Azure

Belangrijk

Vanaf 19 mei 2014 kunnen nieuwe ACS-naamruimten Google niet gebruiken als id-provider. ACS-naamruimten die Google hebben gebruikt en die vóór deze datum zijn geregistreerd, worden niet beïnvloed. Zie Releaseopmerkingen voor meer informatie.

Van toepassing op

  • Microsoft Azure Active Directory Access Control (ook wel bekend als Access Control Service of ACS)

Samenvatting

In deze instructies wordt uitgelegd hoe u Google configureert als id-provider ACS. Als u Google configureert als id-provider voor uw ASP.NET webtoepassing, kunnen uw gebruikers zich verifiëren bij uw ASP.NET webtoepassing door zich aan te melden bij hun Google-account.

Inhoud

  • Doelen

  • Overzicht

  • Overzicht van de stappen

  • Stap 1: een naamruimte maken

  • Stap 2: Google configureren als id-provider

  • Stap 3: Vertrouwen met Relying Party configureren

  • Stap 4: Tokentransformatieregels configureren

  • Stap 5: Eindpunten controleren die worden weergegeven door de naamruimte

Doelen

  • Maak een Microsoft Azure project en naamruimte.

  • Configureer een naamruimte die moet worden gebruikt met Google als id-provider.

  • Configureer regels voor vertrouwens- en tokentransformatie.

  • Raak vertrouwd met de eindpuntreferentie, lijst met services en metagegevenseindpunten.

Overzicht

Als u Google configureert als id-provider, hoeft u geen verificatie- en identiteitsbeheermechanisme te maken en te beheren. Dit helpt de eindgebruikerservaring als er vertrouwde verificatieprocedures zijn. Met ACS kunt u eenvoudig een configuratie instellen waarmee uw toepassing deze gemakkelijk kan gebruiken en dergelijke functionaliteit biedt aan eindgebruikers. In dit How-To wordt uitgelegd hoe u deze taak kunt uitvoeren. In het volgende diagram ziet u de algemene stroom van het configureren van een relying party van ACS voor gebruik.

ACS v2 Workflow

Samenvatting van de stappen

Voer de volgende stappen uit om Google te configureren als id-provider voor uw toepassing:

  • Stap 1: een naamruimte maken

  • Stap 2: Google configureren als id-provider

  • Stap 3: Vertrouwen met Relying Party configureren

  • Stap 4: Tokentransformatieregels configureren

  • Stap 5: Eindpunten controleren die worden weergegeven door de naamruimte

Stap 1: een naamruimte maken

Met deze stap maakt u een Access Control naamruimte in het Azure-project. U kunt deze stap overslaan als u Google wilt configureren als id-provider voor een bestaande naamruimte.

Een Access Control naamruimte maken in uw Azure-project

  1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

  2. Als u een Access Control naamruimte wilt maken, klikt u op Nieuw, klikt u op App Services, klikt u op Access Control en vervolgens op Snel maken. (Of klik op Access Control naamruimten voordat u op Nieuw klikt.)

Stap 2: Google configureren als id-provider

In deze stap ziet u hoe u Google configureert als id-provider voor een bestaande naamruimte.

Google configureren als id-provider voor een bestaande naamruimte

  1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

  2. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

  3. Klik in de ACS-portal op Id-providers.

  4. Klik op de pagina Id-provider toevoegen op Toevoegen en selecteer Google.

  5. Klik op de pagina Google Identity Provider toevoegen op Opslaan.

Stap 3: Vertrouwen configureren met de Relying Party

In deze stap ziet u hoe u vertrouwen configureert tussen uw toepassing, de relying party genoemd en ACS.

De vertrouwensrelatie configureren

  1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

  2. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

  3. Klik in de ACS-portal op Relying Party-toepassingen en klik vervolgens op Toevoegen.

  4. Geef op de pagina Relying Party-toepassing toevoegen de volgende waarden op voor de volgende velden:

    • Naam: een willekeurige naam van uw keuze.

    • Realm: de realm is de URI waarvoor tokens die door ACS zijn uitgegeven, geldig zijn.

    • Retour-URL: de retour-URL definieert de URL waarnaar ACS het uitgegeven token plaatst voor een bepaalde relying party-toepassing.

    • Tokenindeling: de tokenindeling definieert het type ACS-problemen met tokens voor een relying party-toepassing.

    • Tokenversleutelingsbeleid: ACS kan eventueel elk SAML 1.1- of SAML 2.0-token versleutelen dat is uitgegeven aan een relying party-toepassing.

    • Levensduur van token: de levensduur van het token geeft de TTL (Time to Live) op voor het token dat door ACS is uitgegeven aan de relying party-toepassing.

    • Id-providers: in het veld Id-providers kunt u opgeven welke id-providers moeten worden gebruikt met uw relying party-toepassing. Zorg ervoor dat Google is geselecteerd.

    • Regelgroepen: regelgroepen bevatten regels die definiëren welke gebruikersidentiteitsclaims worden doorgegeven van id-providers aan uw relying party-toepassing.

    • Tokenondertekening: ACS ondertekent alle beveiligingstokens die worden veroorzaakt met behulp van een X.509-certificaat (met een persoonlijke sleutel) of een 256-bits symmetrische sleutel.

    Zie Relying Party Applications voor meer informatie over elk veld.

  5. Klik op Opslaan.

Stap 4: Tokentransformatieregels configureren

In deze stap ziet u hoe u claims configureert die door ACS worden verzonden naar de relying party-toepassing. Google verzendt bijvoorbeeld niet standaard het e-mailadres van de gebruiker. U moet de id-provider configureren om gewenste claims aan uw toepassing te leveren en hoe u deze kunt transformeren. In de volgende procedure wordt beschreven hoe u een regel toevoegt om een e-mailadres in het token door te geven, zodat uw toepassing deze kan gebruiken.

Regels voor tokenclaimstransformatie configureren

  1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

  2. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

  3. Klik in de ACS-portal op Regelgroepen en klik vervolgens op Toevoegen. U kunt ook een bestaande regelgroep bewerken.

  4. Geef een naam op voor de nieuwe groep en klik op Opslaan.

  5. Klik in de groep Regel bewerken op Toevoegen.

  6. Geef op de pagina Claimregel toevoegen de volgende waarden op:

    • Claimverlener: Selecteer id-provider en Google.

    • Invoerclaimtype: Selecteer type selecteren en https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.

    • Invoerclaimwaarde: Selecteer Een.

    • Uitvoerclaimtype: Selecteer Pass through het invoerclaimtype.

    • Uitvoerclaimwaarde: Selecteer Pass through de invoerclaimwaarde.

    • Voeg eventueel in Beschrijving een beschrijving van de regel toe.

  7. Klik op de pagina's Regelgroep en Regelgroepen bewerken op Opslaan.

  8. Klik op de gewenste Relying Party-toepassingen.

  9. Schuif omlaag naar de sectie Regelgroepen , selecteer de nieuwe regelgroep en klik op Opslaan.

Stap 5: Eindpunten controleren die worden weergegeven door de naamruimte

Deze stap maakt u vertrouwd met de eindpunten die ACS beschikbaar maakt. ACS maakt bijvoorbeeld het WS-Federation metagegevenseindpunt beschikbaar dat door FedUtil wordt gebruikt bij het configureren van ASP.NET webtoepassingen voor federatieve verificatie.

De eindpunten bekijken die door ACS worden weergegeven

  1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

  2. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

  3. Klik in de ACS-portal op Toepassingsintegratie

  4. Controleer de tabel Eindpuntreferentie . De WS-Federation-metagegevens die door de URL worden weergegeven, moeten bijvoorbeeld vergelijkbaar zijn met het volgende (uw naamruimte is anders).

    https://my-namespace1.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml

Zie ook

Concepten

ACS-procedures