Freigeben über


Migrieren von ACS-Namespaces zu Google OpenID Connect

Dieses Thema richtet sich Besitzer von Access Control Service (ACS) 2.0-Namespaces, die derzeit Google als Identitätsanbieter verwenden. ACS bietet diese Funktion mithilfe der OpenID 2.0-Implementierung von Google. Google plant, den OpenID 2.0-Support bis zum 20. April 2015 zu beenden. ACS-Namespaces arbeiten weiterhin mit der OpenID 2.0-Implementierung von Google bis zum 1. Juni 2015 zusammen, soweit Sie die Migration dieser Namespaces abschließen müssen, um die OpenID Verbinden-Implementierung von Google zu verwenden, oder Benutzer können sich nicht mehr mit einem Google-Konto bei Ihrer Anwendung anmelden. Das Migrieren Ihrer ACS-Namespaces zu OpenID Connect verursacht keine Anwendungsausfallzeiten. Mit einer Ausnahme (siehe den nachstehenden Hinweis) ist diese Migration möglich, ohne den Anwendungscode zu ändern. Nach der Migration Ihrer ACS-Namespaces zu OpenID Connect müssen Sie die Benutzer-IDs in Ihrem Back-End zu OpenID Connect-Bezeichnern (IDs) migrieren. Diese Migration muss bis zum 1. Januar 2017 abgeschlossen werden. Es erfordert Codeänderungen in Ihrem Back-End. Siehe den nachstehenden wichtigen Hinweis, der Details zu beiden Phasen der Migration bietet.

Wichtig

Beachten Sie die folgenden wichtigen Termine, und führen Sie die Aktionen aus, die zu jedem Termin erforderlich sind, um sicherzustellen, dass Ihre ACS-Namespaces, die Google als Identitätsanbieter verwenden, weiterhin funktionieren:

  • 1. Juni 2015 – ACS-Namespaces funktionieren nicht mehr mit der OpenID 2.0-Implementierung von Google. Sie müssen die Migration von ACS-Namespaces zu Google OpenID Connect bis zu diesem Datum abschließen. Vor diesem Datum können Sie zurück zu OpenID 2.0 zurückkehren, wenn während der Migration Probleme auftreten. Für Namespaces, die bis zu diesem Datum nicht migriert wurden, können sich Benutzer nicht mehr mit einem Google-Konto anmelden und mit einer Seite angezeigt werden, die angibt, dass OpenID 2.0 für Google-Konten nicht mehr vorhanden ist. Um die Anmeldefunktion mit Google-Konten wiederherzustellen, müssen Sie den Namespace migrieren.

    In den meisten Fällen sollten keine Anwendungscodeänderungen erforderlich sein. Wenn die Regel Pass-Through für alle Ansprüche für Google als Identitätsanbieter in einer Regelgruppe enthalten ist, die Ihrer Anwendung zugeordnet ist, müssen Sie jedoch möglicherweise Änderungen am Code vornehmen. Dies liegt daran, dass bei der Migration ein neuer Anspruchstyp (Subject) für ACS von Google verfügbar wird. Sie müssen ggf. Code ändern, um sicherzustellen, dass Ihre Anwendung das Vorhandensein des neuen Anspruchstyps ordnungsgemäß verarbeiten kann. Zum erfolgreichen Abschließen der Migration ist es nicht erforderlich, den neuen Anspruchstyp in Ihrer Anwendung zu verarbeiten.

  • 1. Januar 2017 – Die OpenID 2.0- und OpenID Connect-Implementierungen von Google verwenden verschiedene Bezeichner zur eindeutigen Identifizierung von Google-Benutzern. Beim Migrieren Ihres ACS-Namespace stellt ACS zwei Bezeichner, sowohl die aktuellen OpenID 2.0-ID als auch die neue OpenID Connect-ID, Ihrer Anwendung zur Verfügung. Sie müssen die IDs Ihrer Benutzer im Back-End-System auf OpenID Connect-IDs bis zu diesem Termin umschalten und dürfen ab dann nur noch OpenID Connect-IDs verwenden. Dies erfordert Änderungen am Code der Anwendung.

Sie können Fragen zur Migration auf Stack Overflow posten und sie mit "acs-google" kennzeichnen. Wir werden so schnell wie möglich antworten.

Weitere Informationen zu Google-Plänen finden Sie im OpenID 2.0-Migrationshandbuch.

Migrationsprüfliste

Die folgende Tabelle enthält eine Checkliste, die die erforderlichen Schritte zum Migrieren des ACS-Namespace zur Verwendung der OpenID Connect-Implementierung von Google zusammengefasst:

Schritt BESCHREIBUNG Muss abgeschlossen sein bis

1

Erstellen einer Google+-Anwendung in der Google-Entwicklerkonsole.

1. Juni 2015

2

Wenn die Regel Pass-Through für alle Ansprüche für Google als Identitätsanbieter in einer Regelgruppe enthalten ist, die Ihrer Anwendung zugeordnet ist, testen Sie Ihre Anwendung, um sicherzustellen, ob sie für die Migration bereit ist. Andernfalls ist dieser Schritt optional.

1. Juni 2015

3

Schalten Sie im ACS-Verwaltungsportal Ihren ACS-Namespace auf die Verwendung der OpenID Connect-Implementierung von Google um, indem Sie ihm die Parameter (Client-ID und Client-Geheimnis) Ihrer Google+-Anwendung angeben. Wenn bei der Migration Probleme auftreten, ist bis zum 1. Juni 2015 ein Zurücksetzen auf OpenID 2.0 möglich.

1. Juni 2015

4

Migrieren Sie Ihre Benutzer-IDs in Ihrem Back-End-System von den aktuellen Google OpenID 2.0-IDs zu den neuen Google OpenID Connect-IDs. Dies erfordert Änderungen am Code.

1. Jan. 2017

Exemplarische Vorgehensweise für die Migration

Führen Sie die folgenden Schritte aus, um Ihren ACS-Namespace zur OpenID Connect-Implementierung von Google zu migrieren:

  1. Erstellen einer Google+-Anwendung

    Ausführliche Anweisungen dazu finden Sie im Abschnitt "How to: Create a Google+ application section".

  2. Sicherstellen, dass Ihre Anwendung für die Migration bereit ist

    Wenn Sie über die Regel "Alle Ansprüche bestanden" für Google als Identitätsanbieter in einer Regelgruppe verfügen, die Ihrer Anwendung zugeordnet ist, folgen Sie den Anweisungen in der Anleitung: Stellen Sie sicher, dass der Migrationsbereitschaftsbereich einer ACS-Anwendung ihre Anwendung zur Migrationsbereitschaft testen kann. Der Grund ist, dass bei der Migration ein neuer Anspruchstyp (Subject) für ACS von Google verfügbar wird.

    Hinweis

    Eine Regel "Passthrough all claims" ist eine Regel, in der der Eingabeanspruchstyp und der Eingabeanspruchswert auf "Any " festgelegt sind und derAusgabeanspruchswert auf "Pass through first input claim type " und "Pass through input claim value " festgelegt werden. Die Regel wird, wie unten dargestellt, im ACS-Verwaltungsportal so aufgeführt, dass die Spalte Ausganganspruch auf Pass-Through festgelegt ist.

    Passthrough rule

    Wenn Sie zuvor Regeln generiert oder Regeln für Google als Identitätsanbieter einer Regelgruppe manuell hinzugefügt haben, die Ihrer Anwendung zugeordnet ist, können Sie diesen Schritt überspringen. Dies liegt daran, dass in diesen Fällen bei der Migration der neue Anspruchstyp Subject nicht an die Anwendung gesendet wird.

    Weitere Informationen zu diesen Optionen finden Sie unter Regelgruppen und Regeln.

  3. Umschalten des ACS-Namespace auf die Verwendung der OpenID Connect-Implementierung von Google

    1. Wechseln Sie zum Microsoft Azure-Verwaltungsportal, registrieren Sie sich, und klicken Sie auf Active Directory. Wählen Sie den ACS-Namespace aus, der migriert werden soll, und klicken Sie auf Verwalten, um das ACS-Verwaltungsportal zu öffnen.

    2. Klicken Sie im ACS-Verwaltungsportal in der Struktur auf der linken Seite auf Identitätsanbieter, oder klicken Sie im Abschnitt Erste Schritte auf den Link Identitätsanbieter. Klicken Sie auf Google.

      Access Control Service Identity Providers Dialog

    3. Aktivieren Sie auf der Seite Google-Identitätsanbieter bearbeiten das Kontrollkästchen OpenID Connect verwenden.

      Edit Google Identity Provider dialog

    4. Kopieren Sie in die Felder Client-ID und Client-Geheimnis (jetzt aktiviert) die entsprechenden Werte aus Ihrer Google+-Anwendung.

      Edit Google Identity Provider dialog

      Hinweis

      Wenn Sie an diesem Punkt auf Speichern klicken, verwenden alle Google-Identitätsanbieteranforderungen aus Ihrem ACS-Namespace automatisch die OpenID Connect-Implementierung von Google. Wenn eine Zurücksetzen nötig ist, deaktivieren Sie OpenID Connect verwenden. Die Client-ID und das Client-Geheimnis bleiben gespeichert und können später erneut verwendet werden.

    5. Klicken Sie auf Speichern.

    6. Versuchen Sie, sich mit einer Google-ID anzumelden, um sicherzustellen, dass das Umschalten auf OpenID Connect erfolgreich war. Wenn Sie Probleme bei der Anmeldung haben, kehren Sie zur Seite Google-Identitätsanbieter bearbeiten zurück, und deaktivieren Sie OpenID Connect verwenden, um zu OpenID 2.0 zurückzukehren. Überprüfen Sie nach dem Zurücksetzen, ob die Client-ID und das Client-Geheimnis, die/das Sie aus der Google-Entwicklerkonsole kopiert haben, ordnungsgemäß für Ihren Namespace eingegeben wurden. Überprüfen Sie z. B. auf Tippfehler.

  4. Migrieren der Benutzer-IDs in Ihrem Back-End-System von Open ID 2.0 zu OpenID Connect

    Sie müssen die Bezeichner Ihrer Benutzer in Ihrem Back-End-System aus den vorhandenen Google Open ID 2.0-Bezeichnern zu den neuen Google OpenID-Verbinden-IDs vor dem 1. Januar 2017 migrieren. Dieser Schritt erfordert Codeänderungen. Weitere Informationen finden Sie unter How to: Migrate your users' existing Open ID 2.0 identifiers to new OpenID Verbinden user identifiers

Vorgehensweise: Erstellen einer Google+-Anwendung

Sie benötigen ein Google-Konto, um die folgenden Schritte auszuführen; Wenn Sie keinen haben, können Sie eins bei https://accounts.google.com/SignUp.

  1. Navigieren Sie in einem Browserfenster zur Google Developers Console , und melden Sie sich mit Ihren Google-Kontoanmeldeinformationen an.

  2. Klicken Sie auf Projekt erstellen, und geben Sie einen Projektname und eine Projekt-ID ein. Aktivieren Sie das Kontrollkästchen für die Nutzungsbedingungen. Klicken Sie dann auf Erstellen. Dadurch wird die Anwendung bei Google registriert.

    Google Developer Console New Project dialog

  3. Klicken Sie im linken Bereich auf APIs & auth . Klicken Sie dann auf Zugangsdaten. Klicken Sie unter OAuth auf Neue Client-ID erstellen. Wählen Sie Webanwendung aus, und klicken Sie auf Zustimmungsbildschirm konfigurieren. Geben Sie einen Produktnamen ein, und klicken Sie auf Speichern.

    Google Developer Console Consent screen

  4. Klicken Sie im linken Bereich auf APIs & auth . Klicken Sie dann auf APIs. Wechseln Sie unter APIs durchsuchen zu Google+ API. Legen Sie den Status auf AN fest.

    Google Developer Console Browse APIs

  5. Wählen Sie im Dialogfeld Client-ID erstellen für Anwendungstyp den Eintrag Webanwendung aus.

    Geben Sie im Feld "Autorisierte Javascript Origins " die vollqualifizierte Domänenname (FQDN)-URL Ihres Namespaces an, einschließlich der führenden "HTTPS://" und der nachfolgenden Portnummer; Beispiel: https://contoso.accesscontrol.windows.net:443.

    Geben Sie im Feld "Autorisierte Umleitungs-URIs " einen URI an, der die vollqualifizierte Domänenname-URL (FQDN) Ihres Namespace enthält, einschließlich der führenden "HTTPS://" und der nachgestellten Portnummer, gefolgt von "/v2/openid"; Beispiel: https://contoso.accesscontrol.windows.net:443/v2/openid.

    Klicken Sie auf Client-ID erstellen.

    Google Developer Console Create Client ID screen

  6. Notieren Sie sich auf der Seite Client-ID für Webanwendungen die Werte von Client-ID und Client-Geheimnis. Sie benötigen diese Angaben zum Konfigurieren der OpenID Connect-Implementierung von Google im ACS-Verwaltungsportal.

    Google Developer Console Client ID for Web App

    Wichtig

    geheime Clientschlüssel ist eine wichtige Sicherheitsanmeldeinformation. Halten Sie es geheim.

Vorgehensweise: Migrieren der vorhandenen Open ID 2.0-Bezeichner Ihrer Benutzer zu neuen OpenID Verbinden Benutzerbezeichnern

Nachdem Sie Ihren ACS-Namespace erfolgreich migriert haben, um die OpenID-Verbinden-Implementierung von Google zu verwenden, haben Sie bis zum 1. Januar 2017 (per Googles OpenID 2.0 Migration Guide) ihre Benutzerbezeichner in Ihrem Back-End-System aus den aktuellen OpenID 2.0-Bezeichnern zu den neuen OpenID-Verbinden-Bezeichnern migrieren.

Die folgende Tabelle enthält Anspruchstypen, die für ACS von Google zur Verfügung gestellt werden, nachdem der ACS-Namespace zur OpenID Connect-Implementierung von Google migriert wurde:

Anspruchstyp URI BESCHREIBUNG Protokollverfügbarkeit

Namensbezeichner

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Ein eindeutiger Bezeichner für das Benutzerkonto, der von Google bereitgestellt wird. Dies ist der (vorhandene) OpenID 2.0-Bezeichner.

OpenID 2.0, OpenID Connect

Subject

https://schemas.microsoft.com/identity/claims/subject

Ein eindeutiger Bezeichner für das Benutzerkonto, der von Google bereitgestellt wird. Dies ist der (neue) OpenID Connect-Bezeichner.

OpenID Connect

Name

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Der Anzeigename für das Benutzerkonto, der von Google bereitgestellt wird.

OpenID 2.0, OpenID Connect

(siehe Hinweis unten)

E-Mail-Adresse

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Die E-Mail-Adresse des Benutzerkontos, die von Google bereitgestellt wird.

OpenID 2.0, OpenID Connect

Identitätsanbieter

https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Ein von ACS bereitgestellter Anspruch, der die Anwendung der vertrauenden Seite informiert, dass sich der Benutzer mithilfe des Google-Standardidentitätsanbieters authentifiziert hat. Der Wert dieses Anspruchs wird im ACS-Verwaltungsportal über das Feld Bereich auf der Seite Identitätsanbieter bearbeiten angezeigt.

OpenID 2.0, OpenID Connect

Hinweis

Für einen Google-Benutzer, der nicht über ein (registriertes) Google+-Profil verfügt, ist der Wert für den Anspruchstyp Name derselbe wie der Wert für den Anspruchstyp der E-Mail-Adresse in OpenID Connect.

Die Anspruchstypen Name Identifier und Subject können verwendet werden, um eindeutige Bezeichner (IDs) vorhandener Benutzer in Ihrem Back-End nachzuverfolgen und umzuschalten, indem (alte) OpenID 2.0-IDs (neuen) OpenID Connect-IDs zugeordnet werden.

Wenn die Regel Pass-Through für alle Ansprüche für Google als Identitätsanbieter in einer Regelgruppe enthalten ist, die Ihrer Anwendung zugeordnet ist, empfängt Ihre Anwendung automatisch den Anspruchstyp Subject.

Wenn Sie zuvor Regeln generiert oder Regeln für Google als Identitätsanbieter einer Regelgruppe manuell hinzugefügt haben, die Ihrer Anwendung zugeordnet ist, müssen Sie den Anspruchstyp Subject manuell hinzufügen. Weitere Informationen dazu finden Sie unter Regelgruppen und Regeln.

Input Claim Configuration

Wenn Sie zuvor Regeln für Google als Identitätsanbieter in einer Regelgruppe generiert haben und dann den neuen Anspruchstyp Subject hinzufügen (siehe oben), ergibt sich Folgendes.

Google passthrough claims

Die Anwendung mit dieser Regelgruppe empfängt neben anderen Anspruchstypen den Anspruchstyp Subject.

Hinweis

Da Google ab dem 1. Januar 2017 die Unterstützung für die Bezeichnerzuordnung einstellen wird, füllt ACS die beiden Anspruchstypen NameIdentifier und Subject mit demselben OpenID Connect-Benutzerzeichner auf.

Vorgehensweise: Sicherstellen der Migrationsbereitschaft einer ACS-Anwendung

Mit einer Ausnahme ist die Migration des ACS-Namespace zur Verwendung der OpenID Connect-Implementierung von Google möglich, ohne Anwendungscode ändern zu müssen. Wenn die Ausnahme liegt vor, wenn die Regel Pass-Through für alle Ansprüche für Google als Identitätsanbieter in einer Regelgruppe enthalten ist, die Ihrer Anwendung zugeordnet ist. Dies liegt daran, dass in diesem Fall bei der Migration der neue Anspruchstyp (Subject) nicht automatisch an die Anwendung gesendet wird.

In diesem Abschnitt werden die empfohlene Änderung und die Testprozedur beschrieben, die Sie befolgen können, um sicherzustellen, dass jede Anwendung, die von der Migration betroffen ist, den neuen Anspruchstyp verarbeiten kann.

Bei dieser Vorgehensweise wird davon ausgegangen, dass Sie Besitzer des ACS-Namespace ns-Contoso sind und Ihre Anwendung in einer Produktionsumgebung ProdContosoApp genannt wird. Außerdem wird davon ausgegangen, dass diese Anwendung Google als Identitätsanbieter verwendet und die RegelPass-Through für alle Ansprüche für Google aktiviert ist.

Setup

  1. Wechseln Sie zum Einstieg zum Microsoft Azure-Verwaltungsportal, registrieren Sie sich, und klicken Sie auf Active Directory. Wählen Sie den ACS-Namespace (ns Contoso) aus, und klicken Sie dann auf Verwalten, um das ACS-Verwaltungsportal zu öffnen.

  2. Klicken Sie im ACS-Verwaltungsportal in der Struktur auf der linken Seite auf Anwendungen der vertrauenden Seite, oder klicken Sie im Abschnitt Erste Schritte auf den Link Anwendungen der vertrauenden Seite. Klicken Sie dann auf Ihre Produktionsanwendung (ProdContosoApp).

  3. Notieren Sie sich die Eigenschaften von ProdContosoApp, da Sie sie später benötigen.

    Edit Relying Party Application dialog

  4. Klicken Sie unter Regelgruppen auf Standardregelgruppe für ProdContosoApp, um zu überprüfen, ob die Regel Pass-Through für alle Ansprüche für Google aktiviert ist.

    Google passthrough claim

Schritt 1: Einrichten einer Testinstanz Ihrer Anwendung in Ihrem Produktions-ACS-Namespace

Richten Sie eine Testinstanz Ihrer Anwendung, TestContosoApp, auf einem anderen Stamm-URI ein; beispiel: https://contoso-test.com:7777/. Sie müssen es als Vertrauensparteianwendung (Vertrauende Parteianwendungen) im ns-contoso-Namespace registrieren.

  1. Klicken Sie im ACS-Verwaltungsportal in der Struktur auf der linken Seite auf Anwendungen der vertrauenden Seite, oder klicken Sie im Abschnitt Erste Schritte auf den Link Anwendungen der vertrauenden Seite. Klicken Sie dann auf der Seite Anwendungen der vertrauenden Seite auf Hinzufügen.

  2. Führen Sie auf der Seite Anwendung der vertrauenden Seite hinzufügen die folgenden Aktionen aus:

    • Geben Sie unter Name den Namen der Testanwendung ein. In diesem Fall TestContosoApp.

    • Wählen Sie unter Modus die Option Einstellungen manuell eingeben aus.

    • Geben Sie in Bereich den URI der Testanwendung ein. Hier ist https://contoso-test.com:7777/es .

    • Bei dieser Vorgehensweise können Sie Fehler-URL (optional) leer lassen.

    • Verwenden Sie für die Eigenschaften Tokenformat, Tokenverschlüsselungsrichtlinie und Tokengültigkeitsdauer (Sek.) und den Abschnitt Tokensignatureinstellungen die gleichen Werte, die Sie für ProdContosoApp verwendet haben.

    • Stellen Sie sicher, dass Sie Google als Identitätsanbieter ausgewählt haben.

    • Wählen Sie unter Regelgruppen die Option Neue Regelgruppe erstellen aus.

    Add Relying Party Application dialog

  3. Klicken Sie unten auf der Seite auf Speichern .

Schritt 2: Erstellen einer Regelgruppe, die das Format des ACS-Token simuliert, das die Anwendung erhalten wird, nachdem der Namespace migriert wurde, um die OpenID-Verbinden Implementierung von Google zu verwenden

  1. Klicken Sie im ACS-Verwaltungsportal in der Struktur auf der linken Seite auf Regelgruppen, oder klicken Sie im Abschnitt Erste Schritte auf den Link Regelgruppen. Klicken Sie dann auf der Seite Regelgruppen auf Hinzufügen.

  2. Geben Sie auf der Seite Regelgruppe hinzufügen einen Namen für die neue Regelgruppe an, beispielsweise ManuelleGoogleRegelgruppe. Klicken Sie auf „Speichern“.

    Add Rule Group dialog

  3. Klicken Sie auf der Seite Regelgruppe bearbeiten auf den Link Hinzufügen.

    Edit Rule Group dialog

  4. Stellen Sie auf der Seite Anspruchsregel hinzufügen sicher, dass die folgenden Werte vorhanden sind, und klicken Sie auf Speichern. Dadurch wird eine Regel Pass-Through für alle Ansprüche für Google erstellt.

    • Abschnitt Wenn:

      • Identitätsanbieter ist Google.

      • Die Auswahl für Eingabeanspruchstyp ist Alle.

      • Eingabeanspruchswert ist Alle.

    • Abschnitt Dann:

      • Ausgabeanspruchstyp ist Erster Pass-Through-Anspruchstyp.

      • Ausgabeanspruchswert ist Erster Pass-Through-Eingabeanspruchswert.

    • Abschnitt Regelinformationen:

      • Lassen Sie das Feld Beschreibung (optional) leer.

    Add Claim Rule dialog

  5. Klicken Sie auf der Seite Regelgruppe bearbeiten nochmals auf den Link Hinzufügen.

  6. Stellen Sie auf der Seite Anspruchsregel hinzufügen sicher, dass die folgenden Werte vorhanden sind, und klicken Sie auf Speichern. Dadurch wird eine statische Anspruchsregel für Google generiert, die das Hinzufügen des neuen Anspruchstyps Subject simuliert, wobei es sich um den neuen OpenID Connect-Bezeichner handelt, den Google bei der Migration an die Anwendung sendet.

    • Abschnitt Wenn:

      • Identitätsanbieter ist Google.

      • Die Auswahl für Eingabeanspruchstyp ist Alle.

      • Eingabeanspruchswert ist Alle.

    • Abschnitt Dann:

    • Abschnitt Regelinformationen:

      • Lassen Sie das Feld Beschreibung (optional) leer.

    Add Claim Rull dialog

  7. Klicken Sie auf der Seite Regelgruppe bearbeiten auf Speichern.

Schritt 3: Zuordnen der neuen Regelgruppe zur Testinstanz der Anwendung

  1. Klicken Sie im ACS-Verwaltungsportal in der Struktur auf der linken Seite auf Anwendungen der vertrauenden Seite, oder klicken Sie im Abschnitt Erste Schritte auf den Link Anwendungen der vertrauenden Seite. Klicken Sie dann auf der Seite Anwendungen der vertrauenden Seite auf TestContosoApp.

  2. Wählen Sie auf der Seite Vertrauende Seite bearbeiten im Abschnitt Authentifizierungseinstellungen den Eintrag ManuelleGoogleRegelgruppe aus, und klicken Sie auf Speichern.

    Authentication Settings

An diesem Punkt enthalten alle Google-Anmeldungsanforderungen an Ihre Testanwendungen den neuen Anspruchstyp.

Schritt 4: Testen Sie, ob Ihre Anwendung die Ergänzung des Betreffanspruchstyps verarbeiten kann.

Testen Sie Ihre Anwendung, um sicherzustellen, dass sie das Vorhandensein des neuen Anspruchstyps (Subject) ordnungsgemäß verarbeiten kann. Normalerweise sollte eine gut geschriebene Anwendung neue Anspruchstypen unterstützen, die dem Token hinzugefügt werden. Suchen und beheben Sie etwaige Probleme. Optional können Sie auch den Vorgehensweisen folgen: Migrieren der vorhandenen Open ID 2.0-Bezeichner Ihrer Benutzer zu neuen OpenID-Verbinden Benutzerbezeichnerabschnitts zum Ausführen der Benutzerbezeichnerzuordnung.

Schritt 5: Migrieren Ihrer Produktionsumgebung

Erstellen Sie Ihre Produktionsanwendung (ProdContosoApp) neu, und stellen Sie sie bereit. Migrieren Sie den Namespace (ns-contoso), um die OpenID-Verbinden-Implementierung von Google zu verwenden, indem Sie die Schritte in der exemplarischen Vorgehensweise für die Migration ausführen. Prüfen Sie, ob ProdContosoApp wie erwartet funktioniert.