Como adicionar um locatário Azure AD como um provedor de identidade
Atualizado: 19 de junho de 2015
Aplica-se ao Azure
Aplica-se A
- Access Control do Active Directory do Microsoft Azure (também conhecido como Access Control Service ou ACS)
Visão geral
Este tópico explica como adicionar um locatário do Azure Active Directory (AD) à lista de provedores de identidade no namespace Controle de Acesso. Esse recurso permite que você use o locatário como provedor de identidade para os aplicativos associados ao namespace.
O processo tem dois elementos principais:
Adicione o namespace Controle de Acesso ao locatário Azure AD como um aplicativo Web. Dessa forma, o namespace (aplicativo Web) pode receber tokens do AD do Azure.
Adicione o locatário Azure AD ao namespace Controle de Acesso como um provedor de identidade.
As demais etapas são comuns a todos os provedores de identidade no ACS. Você pode adicionar aplicativos de terceira parte confiável e regras que determinam quais declarações de identidade são passadas pelos provedores aos aplicativos de terceira parte confiável.
Requisitos
As instruções contidas neste tópico requerem o seguinte:
Uma assinatura do Azure. Para obter mais informações, consulte Introdução com o Azure.
Um namespace do Controle de Acesso do Azure. Para obter ajuda, consulte Como criar um namespace Controle de Acesso.
Visual Studio 2012
Resumo das etapas
Para adicionar um locatário do AD do Azure como um provedor de identidade, siga estas etapas:
Etapa 1: localizar o nome do namespace Controle de Acesso
Etapa 2: Adicionar o namespace Controle de Acesso como um aplicativo Web
Etapa 3: Adicionar o provedor de identidade de locatário Azure AD ao namespace Controle de Acesso
Etapa 4: usar o provedor de identidade de locatário Azure AD com seu aplicativo
Etapa 1: localizar o nome do namespace Controle de Acesso
Nesta etapa, copiaremos o nome do namespace para uso na próxima etapa. Você precisará do nome do namespace para indicar que tokens devem ser enviados ao ponto de extremidade que recebe respostas de logon de WS-Federation.
Embora a URL do namespace esteja em um campo denominado Portal de Gerenciamento, os tokens são enviados para o ponto de extremidade especificado, e não para o portal.
Acesse o Portal de Gerenciamento de Microsoft Azure (https://manage.WindowsAzure.com), entre e clique no Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou não está disponível)
Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)
Clique em Integração de Aplicativo.
Copie o valor do campo Portal de Gerenciamento.
A URL no campo Portal de Gerenciamento tem o seguinte formato:
< https:// Namespace.accesscontrol.windows.net/>
Salve o valor. Você precisará dele na próxima etapa.
O valor do campo Portal de Gerenciamento é o nome do namespace e a URL do ponto de extremidade que recebe as respostas de logon de WS-Federation.
Etapa 2: Adicionar o namespace Controle de Acesso como um aplicativo Web
Nesta etapa, você usará os recursos do Portal de Gerenciamento do Azure para adicionar o namespace Controle de Acesso como um aplicativo Web no locatário Azure AD. Isso faz com que o locatário seja um receptor dos tokens gerados pelo AD do Azure.
Acesse o Portal de Gerenciamento do Azure e entre. Clique no Active Directory, clique em um diretório, clique em Aplicativos e clique em Adicionar.
Insira um nome do aplicativo. No campo Tipo, selecione Aplicativo Web e/ou API Web (o padrão). Para avançar, clique na seta.
Nas caixas de texto URL do aplicativo e URI da ID do aplicativo, cole a URL que estava no campo Portal de Gerenciamento na página Integração do aplicativo. Para continuar, clique na seta.
A URL do aplicativo é o endereço para o qual o token é enviado quando um usuário é autenticado com sucesso. O URI da ID do aplicativo é público para o qual o token serve. Se usássemos qualquer valor diferente da entityID do namespace Controle de Acesso, o ACS o interpretaria como um token reutilizado de um ataque man-in-the-middle.
Ao colar, tenha cuidado em não incluir espaços finais nem caracteres extras após a barra final (/). Se isso acontecer, o AD do Azure marcará a URL como inválida.
Na página Acesso ao Directory, selecione a configuração padrão, Logon único. Como o ACS não chama a Graph API, a configuração não é usada. Para finalizar o processo, clique na marca de seleção.
Neste ponto, seu locatário Azure AD sabe sobre seu namespace Controle de Acesso e pode emitir tokens para ele.
Na página final, copie a URL de Metadados de federação. Você precisará dele em alguns minutos.
Para retornar a essa página:
Acesse o Portal de Gerenciamento do Azure e entre.
Clique em um diretório do Azure.
Clique em Aplicativos.
Clique no aplicativo.
A URL de Metadados de federação também aparece na página Pontos de extremidade de aplicativo do aplicativo. Para exibir essa página, na página Aplicativo, clique em Exibir pontos de extremidade.
Etapa 3: Adicionar o provedor de identidade de locatário Azure AD ao namespace Controle de Acesso
Nesta etapa, você adicionará o STS (serviço de token de segurança) para o locatário Azure AD ao namespace Controle de Acesso.
Acesse o Portal de Gerenciamento de Microsoft Azure (https://manage.WindowsAzure.com), entre e clique no Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou não está disponível)
Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)
Essa ação abre o Portal de Gerenciamento do ACS para o namespace Controle de Acesso.
Clique em Provedores de identidade e em Adicionar.
Selecione o provedor de identidade de WS-Federation e clique em Avançar.
Insira um nome para exibição e um texto do link de logon. Não existes requisitos especiais para esses valores.
Na seção de metadados de WS-Federation, clique em URL e cole a URL de Metadados de federação que você copiou da página do aplicativo. Em seguida, clique em Salvar.
Outro campo útil nessa página é o campo Texto do link de logon. O valor desse campo aparece na lista de provedores de identidade oferecida aos usuários quando eles fazem logon no aplicativo.
Etapa 4: usar o provedor de identidade de locatário Azure AD com seu aplicativo
O locatário Azure AD agora está registrado como um provedor de identidade para o namespace Controle de Acesso. De certa forma, nossa tarefa está concluída. No entanto, nessa etapa, mostraremos como usar o novo provedor de identidade adicionando-o à oferta de provedores de identidade de um aplicativo Web.
Para selecionar o novo provedor de identidade de seu aplicativo, use o procedimento padrão:
inicie o Visual Studio 2012 e abra um aplicativo Web.
No Gerenciador de soluções, clique com o botão direito do mouse no nome do aplicativo e clique em Identidade e acesso.
Na guia Provedores, clique em Usar o serviço Controle de Acesso do Azure.
Para associar o aplicativo a um namespace do Controle de Acesso, você precisa da chave de gerenciamento do namespace. Veja como encontrá-la.
Acesse o Portal de Gerenciamento de Microsoft Azure (https://manage.WindowsAzure.com), entre e clique no Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou não está disponível)
Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)
Clique em Serviço de gerenciamento, em Cliente de gerenciamento e em Chave simétrica.
Clique em Mostrar código, copie o valor da chave clique em Ocultar chave.
Agora, na caixa de diálogo Configurar namespace do ACS do Visual Studio, insira o nome do namespace do Controle de Acesso e cole o valor da chave de gerenciamento.
Em seguida, selecione o provedor de identidade do locatário do AD do Azure na lista de provedores de identidade no namespace.
Quando você executar o aplicativo, uma caixa de diálogo de logon incluirá o provedor de identidade do locatário do AD do Azure como uma das opções de provedores de identidade. (O nome que aparece nessa página é definido no campo Texto do link de logon da página de configurações do provedor de identidade.)
Selecione o locatário do AD do Azure e faça logon com sua conta organizacional.
Agora você tem acesso ao seu aplicativo. Os tokens de autenticação são encaminhados ao locatário do AD do Azure como o provedor de identidade.