Como configurar a confiança entre o ACS e ASP.NET aplicativos Web usando certificados X.509

Atualizado em: 19 de junho de 2015

Aplica-se ao Azure

Aplica-se A

• Access Control do Active Directory do Microsoft Azure (também conhecido como Access Control Service ou ACS)

• ASP.NET

Resumo

Este tópico descreve como configurar a confiança entre seu aplicativo e o ACS. A confiança é estabelecida assinando os tokens que são trocados entre seu aplicativo Web ASP.NET e o ACS.

Sumário

• Objetivos

• Visão geral

• Resumo das etapas

• Etapa 1 – Navegue até a Seção de certificados de autenticação de Token

• Etapa 2 - Configure a confiança usando certificados X.509

• Etapa 3 – Reveja os atributos relacionados à confiança no Portal de Gerenciamento do ACS e no web.config

Objetivos

• Familiarize-se com a seção de gerenciamento de confiança no Portal de Gerenciamento do ACS.

• Gerencie a confiança usando certificados X.509.

• Verifique a configuração necessária no Portal de Gerenciamento e no web.config.

Visão geral

Estabelecer confiança é necessário para trocar corretamente tokens entre seu aplicativo e o ACS. A confiança garante que os tokens não sejam alterados em trânsito e que são emitidos por uma terceira parte confiável. Para ASP.NET a confiança de aplicativos Web é gerenciada usando certificados X.509 e se baseia na configuração do Portal de Gerenciamento do ACS e na configuração de web.config.

Resumo das etapas

Para estabelecer e gerenciar a confiança entre um aplicativo Web ASP.NET e o ACS, siga estas etapas:

• Etapa 1 – Navegue até a Seção de certificados de autenticação de token

• Etapa 2 - Configure a confiança usando certificados X.509

• Etapa 3 – Reveja os atributos relacionados à confiança no Portal de Gerenciamento do ACS e no web.config

Etapa 1 – Navegue até a Seção de certificados de autenticação de Token

Esta etapa mostra como navegar até a seção de gerenciamento de confiança do Portal de Gerenciamento do ACS.

Para navegar até a seção relacionada ao gerenciamento de confiança no Portal de Gerenciamento.

1. Vá para o Portal de Gerenciamento do Microsoft Azure (https://manage.WindowsAzure.com), entre e clique em Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou não está disponível)

2. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

3. No portal do ACS, clique em Aplicativos de Terceira Parte Confiável.

4. Clique em um aplicativo de terceira parte confiável.

5. Na página Editar aplicativo de terceira parte confiável, role para baixo até a seção Certificados de Assinatura de Token.

6. Selecione um certificado.

Etapa 2 - Configure a confiança usando certificados X.509

Esta etapa mostra como configurar e gerenciar a confiança entre o ACS e um aplicativo Web ASP.NET usando um certificado X.509. Use uma credencial de assinatura de certificado X.509 se estiver usando o WIF (Windows® Identity Foundation) em seu aplicativo de terceira parte confiável.

Para configurar e gerenciar confiança usando um certificado X.509

1. Vá para o Portal de Gerenciamento do Microsoft Azure (https://manage.WindowsAzure.com), entre e clique em Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou não está disponível)

2. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

3. Clique em Certificados e chaves e, em seguida, selecione um certificado X.509.

4. Na página Editar chave ou certificado de assinatura de token, forneça os seguintes valores:

   • Nome: um nome arbitrário de sua escolha.

   • Tipo: Certificado X.509.

   • Certificado: para usar o certificado que o ACS cria por padrão, nenhuma ação é necessária. Também é possível carregar seu próprio certificado X.509.

     O certificado deve ser protegido por senha. Geralmente, ele tem uma extensão .pfx. ao carregar seu próprio certificado X.509. Forneça a senha do arquivo pfx na caixa de texto Senha

   • Senha: se você usar o certificado padrão, nenhuma ação será necessária. Se você carregar um certificado, o certificado deverá ser protegido por senha. Digite a senha do arquivo .pfx na caixa de texto Senha.

5. Clique em Salvar.

Obter um certificado X.509

Há várias maneiras de obter um certificado X.509 para assinatura ou criptografia de token. O método usado depende de suas necessidades e das ferramentas disponíveis em sua organização.

Autoridade de Certificação Local

Se sua organização tiver implantado uma autoridade de certificação (CA), como os serviços de certificados do Active Directory (AD CS), será possível solicitar um certificado X.509. Talvez seja necessário entrar em contato com o administrador de autoridade de certificação para obter instruções ou permissões. Para obter mais informações sobre os Serviços de Certificados do Active Directory, consulte Os Serviços de Certificados do Active Directory (https://go.microsoft.com/fwlink/?linkid=208371).

Autoridade de Certificação Comercial

É possível adquirir um certificado X.509 de uma autoridade de certificação comercial, como a Verisign. Como essa é uma versão de laboratórios, é recomendável usar a autoridade de certificação local (se disponível) ou gerar um certificado autoassinado (veja abaixo).

Gerar um certificado de Self-Signed

Você pode usar o software para gerar seu próprio certificado autoassinado para usar com o ACS. Embora normalmente isso seja recomendado apenas para fins de teste, isso pode ser feito por qualquer pessoa sem acesso a uma autoridade de certificação local ou pagamento a uma CA comercial. Se você estiver executando Windows, poderá baixar MakeCert.exe como parte do SDK do Windows (https://go.microsoft.com/fwlink/?linkid=84091) e usá-lo para gerar um certificado.

Exportar um certificado autoassinado

Para obter instruções sobre como exportar um certificado autoassinado, consulte Certificados e Chaves.

Etapa 3 – Reveja os atributos relacionados à confiança no Portal de Gerenciamento do ACS e no web.config

Esta etapa mostra como validar os atributos de configuração relacionados à confiança em web.config. do aplicativo da Web ASP.NET.

Para verificar as configurações relacionadas à confiança no web.config do aplicativo da Web ASP.NET

1. Abra o arquivo web.config para o aplicativo da Web ASP.NET.

2. Navegue até o nó audiencesUris e verifique se o valor de seu nó de adição filho é o mesmo que o valor inserido no campo de propriedade Realm da página Editar Terceira Parte Confiável do Portal de Gerenciamento do ACS.

   1. Vá para o Portal de Gerenciamento do Microsoft Azure (https://manage.WindowsAzure.com), entre e clique em Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou não está disponível)

   2. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

   3. Clique em Aplicativos de terceira parte confiável.

   4. Na página Aplicativos de terceira parte confiável, clique no aplicativo desejado.

   5. Na página Editar aplicativo de terceira parte confiável, examine o atributo Realm.

Consulte Também

Conceitos

Instruções do ACS