Compartir a través de


Cómo: Agregar un inquilino de Azure AD como proveedor de identidades

Actualizado: 19 de junio de 2015

Se aplica a: Azure

Se aplica a

  • Active Directory Access Control de Microsoft Azure (también conocido como Access Control Service o ACS)

Información general

En este tema se explica cómo agregar un inquilino de Azure Active Directory (AD) a la lista de proveedores de identidades del espacio de nombres Access Control. Esta característica permite usar los inquilinos como proveedores de identidades para aplicaciones asociadas con el espacio de nombres.

El proceso dispone de dos elementos principales:

  1. Agregue el espacio de nombres Access Control al inquilino de Azure AD a como una aplicación web. Esto permite al espacio de nombres (aplicación web) recibir tokens de Azure AD.

  2. Agregue el inquilino de Azure AD al espacio de nombres Access Control como proveedor de identidades.

El resto de pasos son comunes a todos los proveedores de identidades de ACS. Puede agregar reglas y aplicaciones de usuarios de confianza que determinen las notificaciones de identidad se pasan de los proveedores de identidades a las aplicaciones de usuarios de confianza.

Requisitos

Las instrucciones que se describen en este tema requieren lo siguiente:

  1. Suscripción a Azure. Para más información, consulte Introducción con Azure.

  2. Espacio de nombres de Access Control a Azure. Para obtener ayuda, consulte How to: Create an Access Control Namespace.

  3. Visual Studio 2012

Resumen de pasos

Para agregar un inquilino de Azure AD como proveedor de identidades, complete los pasos siguientes:

  • Paso 1: Buscar el nombre del espacio de nombres Access Control

  • Paso 2: Agregar el espacio de nombres Access Control como una aplicación web

  • Paso 3: Incorporación del proveedor de identidades de inquilino de Azure AD al espacio de nombres Access Control

  • Paso 4: Uso del proveedor de identidades de inquilino de Azure AD con la aplicación

Paso 1: Buscar el nombre del espacio de nombres Access Control

En este paso, se copiará el nombre del espacio de nombres para su utilización en el paso siguiente. Necesitará el nombre del espacio de nombres para indicar que los tokens deben enviarse al extremo que reciba las respuestas de inicio de sesión de WS-Federation.

Aunque la dirección URL del espacio de nombres se encuentra en un campo de texto Portal de administración, los tokens se envían al extremo especificado, no al portal.

  1. Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y, a continuación, haga clic en Active Directory. (Sugerencia de solución de problemas: falta el elemento "Active Directory" o no está disponible)

  2. Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)

  3. Haga clic en Integración de aplicaciones.

  4. Copie el valor del campo Portal de administración.

    La dirección URL del Portal de administración tiene el formato siguiente:

    < https:// Namespace.accesscontrol.windows.net/>

    Guarde el valor. Lo necesitará para el paso siguiente.

El valor del campo Portal de administración es el nombre del espacio de nombres y la dirección URL del extremo que recibe las respuestas de inicio de sesión de WS-Federation.

Paso 2: Agregar el espacio de nombres Access Control como una aplicación web

En este paso, usará las características del Portal de administración de Azure para agregar el espacio de nombres Access Control como una aplicación web en el inquilino de Azure AD. Esto convierte al inquilino en el destinatario de los tokens que genera Azure AD.

  1. Vaya al Portal de administración de Azure e inicie sesión. Haga clic en Active Directory, en un directorio, en Aplicacionesy, a continuación, en Agregar.

    Add an application to an Active Directory tenant

  2. Escriba un nombre para la aplicación. En el campo Tipo, seleccione Aplicación web o API web (valor predeterminado). Haga clic en la flecha para avanzar.

    Add a name and type for the app

  3. En los cuadros de texto URL de aplicación y URI del ID. de aplicación, pegue la dirección URL que estaba en el campo Portal de administración de la página Integración de aplicaciones. Haga clic en la flecha para continuar.

    La URL de aplicación es la dirección a la que se enviarán los tokens cuando la autenticación del usuario se realice correctamente. El URI del ID. de aplicación es el público al que va dirigido el token. Si usamos cualquier valor distinto del entityID del espacio de nombres de Access Control, ACS lo interpretaría como un token reutilizado de un ataque de tipo "man in the middle".

    Al pegar el valor, tenga cuidado de no incluir espacios al final del valor ni de agregar espacios adicionales después de la barra diagonal (/). De lo contrario, Azure AD marcará la dirección URL como no válida.

    Add the URL and App ID Uri for the app

  4. En la página Acceso al directorio, seleccione la configuración predeterminada Inicio de sesión único. Esta configuración no se utiliza porque ACS no llama a la API. Para finalizar el proceso, haga clic en la marca de verificación.

    En este momento, el inquilino de Azure AD conoce el espacio de nombres Access Control y puede emitir tokens para él.

    Specify the access requirements of the app

  5. En la página final, copie la dirección URL de metadatos de federación. Necesitará esta dirección en unos minutos.

    Para volver a esta página:

    La URL de metadatos de federación también se mostrará en la página Extremos de aplicación de la aplicación. Para ver esta página, en la página Aplicación, haga clic en Ver extremos.

    Page announces that app is added

Paso 3: Incorporación del proveedor de identidades de inquilino de Azure AD al espacio de nombres Access Control

En este paso, agregará el servicio de token de seguridad (STS) para el inquilino de Azure AD al espacio de nombres Access Control.

  1. Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y, a continuación, haga clic en Active Directory. (Sugerencia de solución de problemas: falta el elemento "Active Directory" o no está disponible)

  2. Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)

    Esta acción abre el Portal de administración de ACS para el espacio de nombres Access Control.

    ACS Management Portal

  3. Haga clic en Proveedores de identidades y luego haga clic en Agregar.

  4. Seleccione Proveedor de identidades de WS-Federation y luego haga clic en Siguiente.

    Add an identity provider

  5. Especifique un nombre para mostrar y un texto para el vínculo de inicio de sesión. No existen requisitos especiales para estos valores.

  6. En la sección de metadatos de WS-Federation, haga clic en URL y pegue la URL de metadatos de federación que copió de la página de la aplicación. A continuación, haga clic en Guardar.

    Otro paso que puede resultar de utilidad en esta página es el campo Texto del vínculo de inicio de sesión. El valor de este campo se muestra en la lista de proveedores de identidades que se ofrece a los usuarios al iniciar sesión en la aplicación.

    Enter the Federation Metadata URL

Paso 4: Uso del proveedor de identidades de inquilino de Azure AD con la aplicación

El inquilino de Azure AD ahora está registrado como proveedor de identidades para el espacio de nombres Access Control. En cierto sentido, nuestra tarea está completa. Sin embargo, en este paso mostraremos cómo usar el nuevo proveedor de identidades mediante su incorporación a la oferta de proveedores de identidades disponibles para una aplicación web.

Para seleccionar el nuevo proveedor de identidades para su aplicación, siga el siguiente procedimiento estándar:

  1. Inicie Visual Studio 2012 y abra una aplicación web.

  2. En el Explorador de soluciones, haga clic con el botón secundario en el nombre de la aplicación y luego haga clic en Identidad y acceso.

  3. En la pestaña Proveedores, haga clic en Usar Access Control Service de Azure.

  4. Para asociar la aplicación a un espacio de nombres de Access Control, necesitará la clave de administración del espacio de nombres. A continuación se describe cómo obtenerla.

    1. Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y, a continuación, haga clic en Active Directory. (Sugerencia de solución de problemas: falta el elemento "Active Directory" o no está disponible)

    2. Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)

    3. Haga clic en Administración de servicios, haga clic en Cliente de administración y luego haga clic en Clave simétrica.

    4. Haga clic en Mostrar clave, copie el valor de la clave y luego haga clic en Ocultar clave.

  5. A continuación, de nuevo en el cuadro de diálogo Configurar espacio de nombres de ACS de Visual Studio, especifique el nombre del espacio de nombres de Access Control y peque el valor de la clave de administración.

    Enter the namespace name and key in Visual Studio

  6. Seleccione el proveedor de identidades de Azure AD de la lista de proveedores del espacio de nombres.

    Select the AD Tenant identity provider

  7. Cuando ejecute la aplicación, el cuadro de diálogo de inicio de sesión incluirá el proveedor de identidades de Azure AD entre las opciones de proveedor de identidades. (El nombre que aparece en esta página se define en el campo Texto del vínculo de inicio de sesión de la página de configuración del proveedor de identidades.)

    Select an identity provider

  8. Seleccione el inquilino de Azure AD y luego inicie sesión con su cuenta organizativa.

    Application sign-in page

Ahora dispondrá de acceso a su aplicación. Los tokens de autenticación se reenviarán al inquilino de Azure AD como proveedor de identidades.

Consulte también

Conceptos

Procedimientos de ACS