Vorgehensweise: Konfigurieren von AD FS 2.0 als Identitätsanbieter
Aktualisiert: 19. Juni 2015
Gilt für: Azure
Gilt für
Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS)
Active Directory®-Verbunddienste 2.0
Zusammenfassung
In diesem How To wird beschrieben, wie Sie als Identitätsanbieter konfiguriert werden. Wenn Sie als Identitätsanbieter für Ihre ASP.NET-Webanwendung konfigurieren, können Sich Ihre Benutzer bei Ihrer ASP.NET Webanwendung authentifizieren, indem Sie sich bei ihrem unternehmenseigenen Konto anmelden, das von Active Directory verwaltet wird.
Inhalte
Ziele
Übersicht
Zusammenfassung von Schritten
Schritt 1 - Hinzufügen von AD FS 2.0 als Identitätsanbieter im ACS-Verwaltungsportal
Schritt 2 - Hinzufügen eines Zertifikats zu ACS für die Bereitstellung von Token, die von AD FS 2.0 empfangen wurden, im ACS-Verwaltungsportal (optional)
Schritt 3 : Hinzufügen Des Access Control Namespaces als vertrauende Partei in AD FS 2.0
Schritt 4 – Hinzufügen von Anspruchsregeln für den Access Control Namespace in AD FS 2.0
Ziele
Konfigurieren der Vertrauensstellung zwischen ACS und .
Verbessern der Sicherheit des Token- und Metadatenaustauschs.
Übersicht
Die Konfiguration als Identitätsanbieter ermöglicht die erneute Nutzung vorhandener Konten, die von Active Directory für die Authentifizierung verwaltet werden. Auf diese Weise entfällt die Notwendigkeit, komplexe Kontosynchronisierungsmechanismen zu erstellen oder benutzerdefinierten Code zu entwickeln, der die Anmeldeinformationen von Endbenutzern akzeptiert, diese anhand des Anmeldeinformationenspeichers überprüft und die Identitäten verwaltet. Die Integration von ACS und erfolgt nur durch konfiguration – kein benutzerdefinierter Code ist erforderlich.
Zusammenfassung von Schritten
Schritt 1 - Hinzufügen von AD FS 2.0 als Identitätsanbieter im ACS-Verwaltungsportal
Schritt 2 - Hinzufügen eines Zertifikats zu ACS für die Bereitstellung von Token, die von AD FS 2.0 empfangen wurden, im ACS-Verwaltungsportal (optional)
Schritt 3 : Hinzufügen Des Access Control Namespaces als vertrauende Partei in AD FS 2.0
Schritt 4 – Hinzufügen von Anspruchsregeln für den Access Control Namespace in AD FS 2.0
Schritt 1 - Hinzufügen von AD FS 2.0 als Identitätsanbieter im ACS-Verwaltungsportal
Dieser Schritt fügt im ACS-Verwaltungsportal als Identitätsanbieter hinzu.
So fügen Sie AD FS 2.0 als Identitätsanbieter im Access Control-Namespace hinzu
Klicken Sie auf der Hauptseite des ACS-Verwaltungsportals auf Identitätsanbieter.
Klicken Sie auf Identitätsanbieter hinzufügen.
Klicken Sie neben Microsoft Active Directory-Verbunddienste 2.0 auf Hinzufügen.
Geben Sie im Feld Anzeigename einen Anzeigenamen für diesen Identitätsanbieter ein. Beachten Sie, dass dieser Name im ACS-Verwaltungsportal sowie standardmäßig auf den Anmeldeseiten für Ihre Anwendungen angezeigt wird.
Geben Sie im Feld WS-Verbundmetadaten die URL zum Metadatendokument für Ihre Instanz ein, oder verwenden Sie die Option "Datei ", um eine lokale Kopie des Metadatendokuments hochzuladen. Wenn Sie eine URL verwenden, finden Sie den URL-Pfad zum Metadatendokument im Abschnitt "Service\Endpoints " der Verwaltungskonsole. Die nächsten beiden Schritte beziehen sich auf die Anmeldeseitenoptionen für Ihre Anwendungen der vertrauenden Seite. Sie sind optional und können übersprungen werden.
Wenn Sie den Text bearbeiten möchten, der für diesen Identitätsanbieter auf den Anmeldeseiten für Ihre Anwendungen angezeigt wird, geben Sie den gewünschten Text in das Feld Anmeldelinktext ein.
Wenn Sie ein Bild für diesen Identitätsanbieter auf den Anmeldeseiten für Ihre Anwendungen anzeigen möchten, geben Sie eine URL für eine Bilddatei in das Feld Bild-URL ein. Idealerweise sollte diese Bilddatei auf einer vertrauenswürdigen Website gehostet werden (sofern möglich, um Browsersicherheitswarnungen zu verhindern), und Sie sollten über die Berechtigung Ihres Partners verfügen, dieses Bild anzuzeigen. Weitere Anleitungen zu Anmeldeseiten und Home Realm Discovery finden Sie in der Hilfe zu Anmeldeseiteneinstellungen.
Wenn die Benutzer aufgefordert werden sollen, sich mithilfe ihrer E-Mail-Adresse anzumelden, anstatt auf einen Link zu klicken, geben Sie im Feld E-Mail-Domänennamen die Suffixe der E-Mail-Domäne an, die diesem Identitätsanbieter zugeordnet werden soll. Wenn der Identitätsanbieter beispielsweise Benutzerkonten hostt, deren E-Mail-Adressen enden @contoso.com, geben Sie contoso.com ein. Verwenden Sie Semikolons, um die Liste der Suffixe zu trennen (z. B. contoso.com; fabrikam.com). Weitere Anleitungen zu Anmeldeseiten und Home Realm Discovery finden Sie in der Hilfe zu Anmeldeseiteneinstellungen.
Wählen Sie im Feld Anwendungen der vertrauenden Seite alle Anwendungen der vertrauenden Seite aus, die diesem Identitätsanbieter zugeordnet werden sollen. Auf diese Weise wird der Identitätsanbieter auf der Anmeldeseite für die betreffende Anwendung angezeigt, und Ansprüche können vom Identitätsanbieter an die Anwendung übermittelt werden. Beachten Sie, dass der Regelgruppe der Anwendung noch Regeln hinzugefügt werden müssen, die definieren, welche Ansprüche übermittelt werden.
Klicken Sie auf Speichern.
Schritt 2 - Hinzufügen eines Zertifikats zu ACS für die Bereitstellung von Token, die von AD FS 2.0 empfangen wurden, im ACS-Verwaltungsportal (optional)
In diesem Schritt wird ein Zertifikat für die Entschlüsselung von Token hinzugefügt und konfiguriert, die von empfangen werden. Dies ist ein optionaler Schritt, der die Sicherheit verbessert. Insbesondere werden die Inhalte der Token vor der Anzeige und Manipulation geschützt.
So fügen Sie dem Access Control Namespace ein Zertifikat zum Entschlüsseln von Token hinzu, die von AD FS 2.0 empfangen wurden (optional)
Wenn Sie nicht mit Windows Live ID (Microsoft-Konto) authentifiziert wurden, müssen Sie dies tun.
Nachdem Sie sich mit Ihrer Windows Live-ID (Microsoft-Konto) authentifiziert haben, werden Sie auf der Seite "Meine Projekte" im Microsoft Azure-Portal umgeleitet.
Klicken Sie auf der Seite Mein Projekt auf den gewünschten Projektnamen.
Klicken Sie auf der Seite Project:<<Ihr Projektname>> auf den link Access Control neben dem gewünschten Namespace.
Klicken Sie auf der Access Control Einstellungen: <<Ihre Namespaceseite>> auf den Link "Access Control verwalten".
Klicken Sie auf der Hauptseite des ACS-Verwaltungsportals auf Zertifikate und Schlüssel.
Klicken Sie auf Tokenentschlüsselungszertifikat hinzufügen.
Geben Sie im Feld Name einen Anzeigenamen für das Zertifikat ein.
Suchen Sie im Feld "Zertifikat" nach dem X.509-Zertifikat mit einem privaten Schlüssel (PFX-Datei) für diesen Access Control Namespace, und geben Sie dann das Kennwort für die PFX-Datei im Feld "Kennwort" ein. Wenn Sie kein Zertifikat haben, folgen Sie den Anweisungen auf dem Bildschirm, um ein Zertifikat zu generieren, oder lesen Sie Hilfe zu Zertifikaten und Schlüsseln , um weitere Anleitungen zum Abrufen eines Zertifikats zu erhalten.
Klicken Sie auf Speichern.
Schritt 3 : Hinzufügen Des Access Control Namespaces als vertrauende Partei in AD FS 2.0
Dieser Schritt hilft, ACS als vertrauende Partei in zu konfigurieren.
So fügen Sie den Access Control Namespace als vertrauende Partei in AD FS 2.0 hinzu
Klicken Sie in der Verwaltungskonsole auf AD FS 2.0, und klicken Sie dann im Bereich "Aktionen " auf " Vertrauende Partei hinzufügen", um den Assistenten für vertrauende Parteien hinzuzufügen.
Klicken Sie auf der Seite Willkommen auf Start.
Klicken Sie auf der Seite "Datenquelle auswählen" auf "Daten importieren", die online oder in einem lokalen Netzwerk veröffentlicht wurden, geben Sie den Namen Ihres Access Control-Namespaces ein, und klicken Sie dann auf "Weiter".
Geben Sie auf der Seite Anzeigenamen angeben einen Anzeigenamen ein, und klicken Sie dann auf Weiter:
Klicken Sie auf der Seite Autorisierungsregeln für die Ausstellung auswählen auf Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben, und klicken Sie dann auf Weiter.
Überprüfen Sie auf der Seite Bereit für das Hinzufügen der Vertrauensstellung die Vertrauensstellungseinstellungen der vertrauenden Seite, und klicken Sie dann auf Weiter, um die Konfiguration zu speichern.
Klicken Sie auf der Seite Fertig stellen auf Schließen, um den Assistenten zu beenden. Durch diesen Vorgang wird auch die Eigenschaftenseite Anpruchsregeln für WIF-Beispielanwendung bearbeiten geöffnet. Lassen Sie dieses Dialogfeld geöffnet, und fahren Sie dann mit dem nächsten Schritt fort.
Schritt 4 – Hinzufügen von Anspruchsregeln für den Access Control Namespace in AD FS 2.0
In diesem Schritt werden die Anspruchsregeln in konfiguriert. Auf diese Weise stellen Sie sicher, dass die gewünschten Ansprüche an ACS übergeben werden.
So fügen Sie Anspruchsregeln für den Access Control Namespace in AD FS 2.0 hinzu
Klicken Sie auf der Eigenschaftenseite Anspruchsregeln bearbeiten auf der Registerkarte Transformationsregeln ausstellen auf Regel hinzufügen, um den Assistenten zum Hinzufügen von Transformationsanspruchsregeln zu starten.
Klicken Sie auf der Seite Regelvorlage auswählen unter Anpruchsregelvorlage im Menü auf Pass-Through oder Filtern eines eingehenden Anspruchs, und klicken Sie dann auf Weiter.
Geben Sie auf der Seite Regel konfigurieren unter Anspruchsregelname einen Anzeigenamen für die Regel ein.
Wählen Sie in der Dropdownliste Eingehender Anspruchstyp den Identitätsanspruchstyp aus, der die Anwendung mittels Pass-Through durchlaufen soll, und klicken Sie dann auf Fertig stellen.
Klicken Sie auf OK, um die Eigenschaftenseite zu schließen und die Änderungen an der Vertrauensstellung der vertrauenden Seite zu speichern.
Wiederholen Sie die Schritte 1 bis 5 für jeden Anspruch, den Sie in Ihrem Access Control Namespace ausstellen möchten.
Klicken Sie auf OK.