Cómo: Configurar la confianza entre ACS y ASP.NET aplicaciones web mediante certificados X.509
Actualizado: 19 de junio de 2015
Se aplica a: Azure
Se aplica a
Active Directory Access Control de Microsoft Azure (también conocido como Access Control Service o ACS)
ASP.NET
Resumen
En este tema se describe cómo configurar la confianza entre la aplicación y ACS. La confianza se establece mediante la firma de los tokens que se intercambian entre la aplicación web de ASP.NET y ACS.
Contenido
Objetivos
Información general
Resumen de pasos
Paso 1: vaya a la sección certificados de firma de tokens
Paso 2: configure la confianza mediante certificados X.509
Paso 3: revise los atributos relacionadas con la confianza en el archivo web.config y el Portal de administración de ACS
Objetivos
Familiarícese con la sección de administración de confianza en el Portal de administración de ACS.
Administre la confianza mediante certificados X.509.
Compruebe la configuración necesaria en el archivo web.config y en el Portal de administración.
Información general
El establecimiento de confianza es necesario para intercambiar correctamente tokens entre la aplicación y ACS. La confianza garantiza que los tokens no se han modificado en tránsito y que han sido emitidos por una entidad de confianza. Para ASP.NET confianza de las aplicaciones web se administra mediante certificados X.509 y se basa en la configuración del Portal de administración de ACS y la configuración de web.config.
Resumen de pasos
Para establecer y administrar la confianza entre una aplicación web de ASP.NET y ACS, siga estos pasos:
Paso 1: vaya a la sección certificados de firma de tokens
Paso 2: configure la confianza mediante certificados X.509
Paso 3: revise los atributos relacionadas con la confianza en el archivo web.config y el Portal de administración de ACS
Paso 1: vaya a la sección certificados de firma de tokens
En este paso se muestra cómo navegar a la sección administración de confianza del Portal de administración de ACS.
Navegación hasta la sección que trata sobre la administración de confianza en el Portal de administración
Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y, a continuación, haga clic en Active Directory. (Sugerencia de solución de problemas: falta el elemento "Active Directory" o no está disponible)
Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)
En el portal de ACS, haga clic en Aplicaciones de usuario de confianza.
Haga clic en una aplicación de usuario de confianza.
En la página Editar aplicaciones de usuario de confianza, desplácese hacia abajo hasta la sección Certificados de firma de tokens.
Seleccione un certificado.
Paso 2: configure la confianza mediante certificados X.509
En este paso se muestra cómo configurar y administrar la confianza entre ACS y una aplicación web de ASP.NET mediante un certificado X.509. Utilice una credencial de firma de certificado X.509 si usa Windows ® Identity Foundation (WIF) en su aplicación de usuario de confianza.
Configuración y administración de la confianza mediante un certificado X.509
Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y, a continuación, haga clic en Active Directory. (Sugerencia de solución de problemas: falta el elemento "Active Directory" o no está disponible)
Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)
Haga clic en Certificados y claves y seleccione un certificado X.509.
En la página Editar clave o certificado de firma de tokens, proporcione los valores siguientes:
Nombre: nombre arbitrario de su elección.
Tipo: Certificado X.509.
Certificado: para usar el certificado que ACS crea de forma predeterminada, no se requiere ninguna acción. También puede cargar su propio certificado X.509.
El certificado debe estar protegido mediante contraseña. Normalmente tiene una extensión .pfx. al cargar su propio certificado X.509. Proporcione la contraseña del archivo pfx en el cuadro de texto Contraseña.
Contraseña: si usa el certificado predeterminado, no se requiere ninguna acción. Si desea cargar un certificado, el certificado debe estar protegido por contraseña. Introduzca la contraseña del archivo .pfx en el cuadro de texto Contraseña.
Haga clic en Save(Guardar).
Obtención de un certificado X.509
Hay varias maneras de obtener un certificado X.509 para el cifrado o la firma de tokens. El método utilizado dependerá de los requisitos y de las herramientas disponibles en su organización.
Entidad de certificación local
Si su organización ha implementado una entidad de certificación (CA), como los Servicios de certificados de Active Directory (AD CS), puede solicitar un certificado X.509. Quizá deba ponerse en contacto con su administrador de entidades de certificación para obtener más instrucciones o permisos. Para obtener más información sobre Servicios de certificados de Active Directory, consulte Servicios de certificados de Active Directory (https://go.microsoft.com/fwlink/?linkid=208371).
Entidad de certificación comercial
Puede adquirir un certificado X.509 de una entidad de certificación comercial, como Verisign. Puesto que esta es una versión de laboratorios, se recomienda que use su entidad de certificación local (si está disponible) o que genere un certificado autofirmado (vea más abajo).
Generación de un certificado de Self-Signed
Puede usar software para generar su propio certificado autofirmado para usarlo con ACS. Aunque normalmente este procedimiento solo se recomienda para fines de prueba, cualquier persona sin acceso a una CA local o que no desea pagar a una CA comercial puede llevar a cabo este proceso. Si ejecuta Windows, puede descargar MakeCert.exe como parte del SDK de Windows (https://go.microsoft.com/fwlink/?linkid=84091) y usarlo para generar un certificado.
Exportación de un certificado autofirmado
Para obtener instrucciones sobre cómo exportar un certificado autofirmado, consulte Certificados y claves.
Paso 3: revise los atributos relacionadas con la confianza en el archivo web.config y el Portal de administración de ACS
En este paso se muestra cómo validar los atributos de configuración relacionados con la confianza en el web.config de su aplicación web de ASP.NET.
Comprobación de las configuraciones relacionadas con la confianza en el archivo web.config de su aplicación web de ASP.NET
Abra el archivo web.config de su aplicación web de ASP.NET.
Vaya al nodo audiencesUris y compruebe que el valor de su nodo de adición secundario es el mismo que ese valor que especificó en el campo de la propiedad Realm de la página Editar usuario de confianza del Portal de administración de ACS.
Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y, a continuación, haga clic en Active Directory. (Sugerencia de solución de problemas: falta el elemento "Active Directory" o no está disponible)
Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)
Haga clic en Relying party applications.
En la página Aplicaciones de usuarios de confianza, haga clic en la aplicación deseada.
En la página Editar aplicación de usuarios de confianza, revise el atributo Dominio kerberos.