Partilhar via


Como: Configurar a AD FS 2.0 como Fornecedor de Identidade

Atualizado: 19 de junho de 2015

Aplica-se a: Azure

Aplica-se A

  • Microsoft Azure Ative Directory Controlo de Acesso (também conhecido como serviço de Controlo de Acesso ou ACS)

  • Serviços da Federação De Diretório® Ativo 2.0

Resumo

Isto como descrever como configurar como um fornecedor de identidade. Configurar como fornecedor de identidade para a sua aplicação web ASP.NET permitirá que os seus utilizadores autentem a sua aplicação web ASP.NET, iniciando sessão na sua conta corporativa gerida pelo Ative Directory.

Conteúdos

  • Objetivos

  • Descrição Geral

  • Resumo dos Passos

  • Passo 1 - Adicionar AD FS 2.0 como Fornecedor de Identidade no Portal de Gestão acs

  • Passo 2 - Adicionar um Certificado ao ACS para desencriptar fichas recebidas da AD FS 2.0 no Portal de Gestão ACS (Opcional)

  • Passo 3 - Adicione o seu Controlo de Acesso espaço de nome como uma festa de contensoção em AD FS 2.0

  • Passo 4 - Adicionar regras de reclamação para o Controlo de Acesso espaço de nome em AD FS 2.0

Objetivos

  • Configurar a confiança entre ACS e .

  • Melhorar a segurança da troca de token e metadados.

Descrição Geral

Configurar como fornecedor de identidade permite reutilizar as contas existentes geridas pelo Diretório Ativo corporativo para autenticação. Elimina a necessidade de construir mecanismos complexos de sincronização de contas ou desenvolver códigos personalizados que executem as tarefas de aceitar credenciais de utilizador final, validando-as contra a loja de credenciais e gerindo as identidades. Integrando o ACS e é realizado apenas por configuração - não é necessário um código personalizado.

Resumo dos Passos

  • Passo 1 - Adicionar AD FS 2.0 como Fornecedor de Identidade no Portal de Gestão acs

  • Passo 2 - Adicionar um Certificado ao ACS para desencriptar tokens recebidos da AD FS 2.0 no Portal de Gestão ACS (Opcional)

  • Passo 3 - Adicione o seu Controlo de Acesso espaço de nome como uma festa de contensoção em AD FS 2.0

  • Passo 4 - Adicionar regras de reclamação para o Controlo de Acesso espaço de nome em AD FS 2.0

Passo 1 - Adicionar AD FS 2.0 como Fornecedor de Identidade no Portal de Gestão acs

Este passo adiciona-se como fornecedor de identidade no Portal de Gestão acs.

Para adicionar AD FS 2.0 como fornecedor de identidade no espaço de nome Controlo de Acesso

  1. Na página principal do Portal de Gestão ACS, clique em Fornecedores de Identidade.

  2. Clique em Adicionar Fornecedor de Identidade.

  3. Ao lado do Microsoft Serviços de Federação do Ative Directory (AD FS) 2.0, clique em Adicionar.

  4. No campo nome do Visor , introduza um nome de visualização para este fornecedor de identidade. Note que este nome aparecerá tanto no Portal de Gestão acS como por padrão nas páginas de login das suas aplicações.

  5. No campo de metadados da WS-Federação , introduza o URL no documento de metadados para o seu exemplo, ou utilize a opção Ficheiro para enviar uma cópia local do documento de metadados. Ao utilizar um URL, o caminho URL para o documento de metadados pode ser encontrado na secção 'Pontos de serviço\Endpoints da Consola de Gestão. Os próximos dois passos tratam das opções de página de login para as suas aplicações de partidos em gestão; são opcionais e podem ser ignorados.

  6. Se pretender editar o texto que é apresentado para este fornecedor de identidade nas páginas de início de sessão das suas aplicações, insira o texto pretendido no campo de texto do link de início de sessão .

  7. Se pretender exibir uma imagem para este fornecedor de identidade nas páginas de login das suas aplicações, introduza um URL num ficheiro de imagem no campo URL de imagem . Idealmente, este ficheiro de imagem deve ser hospedado num site de confiança (usando HTTPS, se possível, para evitar avisos de segurança do navegador), e deverá ter permissão do seu parceiro para exibir esta imagem. Consulte a ajuda em Páginas de Login e Home Realm Discovery para obter orientações adicionais sobre as definições da página de login.

  8. Se pretender que os utilizadores iniciem sessão de sessão utilizando o seu endereço de e-mail em vez de clicar num link, insira os sufixos de domínio de e-mail que pretende associar a este fornecedor de identidade no( s) nome(s) nome de domínio de e-mail . Por exemplo, se o fornecedor de identidade hospedar contas de utilizador cujos endereços de e-mail terminam com @contoso.com, então introduza contoso.com. Utilize pontos de selação para separar a lista de sufixos (por exemplo, contoso.com; fabrikam.com). Consulte a ajuda em Páginas de Login e Home Realm Discovery para obter orientações adicionais sobre as definições da página de login.

  9. No campo de candidaturas do partido Relying , selecione quaisquer aplicações existentes do partido que pretenda associar a este fornecedor de identidade. Isto faz com que o fornecedor de identidade apareça na página de login para essa aplicação e permite que as reclamações sejam entregues do fornecedor de identidade à aplicação. Note que as regras ainda precisam de ser adicionadas ao grupo de regras da aplicação que define quais as alegações a cumprir.

  10. Clique em Guardar.

Passo 2 - Adicionar um Certificado ao ACS para desencriptar tokens recebidos da AD FS 2.0 no Portal de Gestão ACS (Opcional)

Este passo adiciona e configura um certificado para desencriptar fichas que são recebidas de . Este é um passo opcional que ajuda a reforçar a segurança. Especificamente, ajuda a proteger o conteúdo do símbolo de ser visto e adulterado.

Para adicionar um certificado ao Controlo de Acesso espaço de nome para desencriptar fichas recebidas da AD FS 2.0 (opcional)

  1. Se não tiver sido autenticado usando Windows Live ID (conta Microsoft), será obrigado a fazê-lo.

  2. Depois de autenticado com o seu Windows Live ID (conta Microsoft), é redirecionado para a página My Projects no portal Microsoft Azure.

  3. Clique no nome do projeto desejado na página My Project.

  4. Na página Project:<<o nome>> do seu projeto, clique na ligação Controlo de Acesso ao lado do espaço de nome pretendido.

  5. Na Controlo de Acesso Definições: <<a sua página de espaço de>> nome, clique no link Manage Controlo de Acesso.

  6. Na página principal do Portal de Gestão ACS, clique em Certificados e Chaves.

  7. Clique em Adicionar Certificado de Desencriptação Token.

  8. No campo Nome , introduza um nome de exibição para o certificado.

  9. No campo Certificado, consulte o certificado X.509 com uma chave privada (.pfx) para este Controlo de Acesso espaço de nome e, em seguida, introduza a palavra-passe para o ficheiro .pfx no campo Palavra-Passe. Se não tiver um certificado, siga as instruções no ecrã para gerar um, ou consulte a ajuda em Certificados e Chaves para obter orientações adicionais sobre a obtenção de um certificado.

  10. Clique em Guardar.

Passo 3 - Adicione o seu Controlo de Acesso espaço de nome como uma festa de contensoção em AD FS 2.0

Este passo ajuda a configurar o ACS como uma festa de confiança em .

Para adicionar o Controlo de Acesso espaço de nome como uma festa de confiante em AD FS 2.0

  1. Na consola Gestão, clique em AD FS 2.0 e, em seguida, no painel de Ações , clique em Add Relying Party Trust para iniciar o Add Relying Party Trust Wizard.

  2. No Bem-vindo página, clique em Iniciar.

  3. Na página Select Data Source, clique em Importar dados sobre a parte que conta publicada online ou numa rede local, digite o nome do seu Controlo de Acesso espaço de nome e, em seguida, clique em Seguinte.

  4. Na página 'Indicar o Nome do Visualização ', introduza um nome de exibição e, em seguida, clique em Seguinte.

  5. Na página 'Escolha Regras de Autorização de Emissão ', clique em Permitir que todos os utilizadores acedam a esta Parte De Suporte e, em seguida, clique em Seguinte.

  6. Na página Ready to Add Trust , reveja as definições de confiança do partido em suporte e, em seguida, clique em Seguinte para guardar a configuração.

  7. Na página 'Acabamento ', clique perto para sair do assistente. Isto também abre as regras de reclamação de edição para propriedades de aplicações de amostra WIF . Deixe esta caixa de diálogo aberta e, em seguida, vá para o procedimento seguinte.

Passo 4 - Adicionar regras de reclamação para o Controlo de Acesso espaço de nome em AD FS 2.0

Este passo configura as regras de reivindicações em . Desta forma, assegura-se de que as reclamações desejadas são transmitidas para ACS.

Para adicionar regras de reclamação para o Controlo de Acesso espaço de nome em AD FS 2.0

  1. Na página ''Claim Rules' de edição , no separador Regras de Transformação de Emissão , clique em Adicionar Regra para iniciar o Assistente de Regra de Reclamação de Venda de Imóveis.

  2. Na página 'Selecionar's's's Template , no modelo de regra de reclamação, clique em 'Passar' ou filtrar uma Reclamação de Entrada no menu e, em seguida, clique em Seguinte.

  3. Na página Regra de Configuração , no nome da regra 'Reclamar', escreva um nome de visualização para a regra.

  4. Na lista de drop-down do tipo de reclamação De entrada , selecione o tipo de reclamação de identidade que pretende passar para a aplicação e, em seguida, clique em Terminar.

  5. Clique em OK para fechar a página da propriedade e guarde as alterações à confiança do partido.

  6. Repita os passos 1-5 para cada reivindicação que pretende emitir do seu Controlo de Acesso espaço de nome.

  7. Clique em OK.