Cómo: Configurar Google como proveedor de identidades
Actualizado: 19 de junio de 2015
Se aplica a: Azure
Importante
A partir de 19 de mayo de 2014, los nuevos espacios de nombres de ACS no pueden usar Google como proveedor de identidades. Los espacios de nombres de ACS que usaban Google y que se registraron antes de esta fecha no se ven afectados. Para obtener más información, vea Notas de la versión.
Se aplica a
- Active Directory Access Control de Microsoft Azure (también conocido como Access Control Service o ACS)
Resumen
En este procedimiento se explica cómo configurar Google como proveedor de identidades ACS. La configuración de Google como proveedor de identidades para la aplicación web ASP.NET permite a los usuarios autenticarse en su aplicación web ASP.NET mediante el inicio de sesión en sus cuentas de Google.
Contenido
Objetivos
Información general
Resumen de pasos
Paso 1: Creación de un espacio de nombres
Paso 2: Configuración de Google como proveedor de identidades
Paso 3: Configuración de la confianza con el usuario de confianza
Paso 4: Configuración de las reglas de transformación de tokens
Paso 5: Revisión de los extremos expuestos por el espacio de nombres
Objetivos
Cree un proyecto de Microsoft Azure y un espacio de nombres.
Configurar un espacio de nombres para usarlo con Google como proveedor de identidades.
Configurar la confianza y las reglas de transformación de tokens.
Familiarizarse con la referencia del extremo, la lista de servicios y los extremos de metadatos.
Información general
La configuración de Google como proveedor de identidades elimina la necesidad de crear y administrar la autenticación y el mecanismo de administración de identidades. De hecho mejora la experiencia del usuario, puesto que existen procedimientos de autenticación con los que están familiarizados. Con ACS, es fácil configurar una configuración que permita a la aplicación consumirla fácilmente y ofrecer esta funcionalidad a los usuarios finales. Este procedimiento explica cómo realizar esta tarea. En el diagrama siguiente se muestra el flujo general de configuración de un usuario de confianza de ACS para su uso.
.gif "ACS v2 Workflow")
Resumen de pasos
Para configurar Google como proveedor de identidades de su aplicación, complete los pasos siguientes:
Paso 1: Creación de un espacio de nombres
Paso 2: Configuración de Google como proveedor de identidades
Paso 3: Configuración de la confianza con el usuario de confianza
Paso 4: Configuración de las reglas de transformación de tokens
Paso 5: Revisión de los extremos expuestos por el espacio de nombres
Paso 1: Creación de un espacio de nombres
En este paso se crea un espacio de nombres Access Control en el proyecto de Azure. Puede omitir este paso si desea configurar Google como un proveedor de identidades de un espacio de nombres existente.
Para crear un espacio de nombres Access Control en el proyecto de Azure
Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y, a continuación, haga clic en Active Directory. (Sugerencia de solución de problemas: falta el elemento "Active Directory" o no está disponible)
Para crear un espacio de nombres Access Control, haga clic en Nuevo, App Services, Access Control y, a continuación, en Creación rápida. (O haga clic en espacios de nombres Access Control antes de hacer clic en Nuevo.)
Paso 2: Configuración de Google como proveedor de identidades
Este paso muestra cómo configurar Google como proveedor de identidades de un espacio de nombres existente.
Para configurar Google como proveedor de identidades para un espacio de nombres existente
Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y, a continuación, haga clic en Active Directory. (Sugerencia de solución de problemas: falta el elemento "Active Directory" o no está disponible)
Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)
En el portal de ACS, haga clic en Proveedores de identidades.
En la página Agregar proveedor de identidades, haga clic en Agregar y luego seleccione Google.
En la página Agregar proveedor de identidades de Google, haga clic en Guardar.
Paso 3: Configuración de la confianza con el usuario de confianza
En este paso se muestra cómo configurar la confianza entre la aplicación, denominada usuario de confianza y ACS.
Para configurar la confianza
Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y, a continuación, haga clic en Active Directory. (Sugerencia de solución de problemas: falta el elemento "Active Directory" o no está disponible)
Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)
En el portal de ACS, haga clic en Aplicaciones de usuario de confianza y, a continuación, haga clic en Agregar.
En la página Agregar aplicación de usuario de confianza, especifique los valores siguientes para los campos que se indican a continuación:
Nombre: nombre arbitrario.
Dominio: el dominio es el URI para el que son válidos los tokens emitidos por ACS.
Url de retorno: la dirección URL de retorno define la dirección URL en la que ACS publica el token emitido para una aplicación de usuario de confianza determinada.
Formato de token: el formato de token define el tipo de problemas de ACS de token para una aplicación de usuario autenticado.
Directiva de cifrado de tokens: opcionalmente, ACS puede cifrar cualquier token de SAML 1.1 o SAML 2.0 emitido a una aplicación de usuario de confianza.
Duración del token: la duración del token especifica el período de vida (TTL) del token emitido por ACS a la aplicación de usuario de confianza.
Proveedores de identidad: el campo de proveedor de identidad permite especificar los proveedores de identidades que se deben utilizar con la aplicación de usuario de confianza. Asegúrese de que Google esté seleccionado.
Grupos de reglas: los grupos de reglas contienen reglas que definen las notificaciones de identidad de usuario que se pasan de los proveedores de identidades a la aplicación de usuario de confianza.
Firma de tokens: ACS firma todos los tokens de seguridad que emite mediante un certificado X.509 (con una clave privada) o una clave simétrica de 256 bits.
Para obtener más información sobre cada campo, vea Aplicaciones de usuario autenticado.
Haga clic en Save(Guardar).
Paso 4: Configuración de las reglas de transformación de tokens
En este paso se muestra cómo configurar las notificaciones que va a enviar ACS a la aplicación de usuario de confianza. Por ejemplo, Google no envía la dirección de correo electrónico del usuario de forma predeterminada. Deberá configurar el proveedor de identidades para que proporcione las notificaciones deseadas a su aplicación junto con cómo transformarlas. El procedimiento siguiente describe cómo agregar una regla para que transmita una dirección de correo electrónico en el token para que su aplicación pueda usarla.
Para configurar reglas de transformación de notificaciones de token
Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y, a continuación, haga clic en Active Directory. (Sugerencia de solución de problemas: falta el elemento "Active Directory" o no está disponible)
Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)
En el portal de ACS, haga clic en Grupos de reglas y, a continuación, haga clic en Agregar. O bien, puede editar un grupo de reglas existente.
Especifique un nombre para el nuevo grupo y luego haga clic en Guardar.
En Editar grupo de reglas, haga clic en Agregar.
En la página Agregar regla de notificación, especifique los valores siguientes:
Emisor de notificaciones: seleccione Proveedor de identidades y Google.
Tipo de notificación de entrada: seleccione Seleccionar tipo y https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
Valor de notificación de entrada: seleccione Cualquiera.
Tipo de notificación de salida: seleccione Pasar por el tipo de notificación de entrada.
Valor de notificación de salida: seleccione Pasar por el valor de notificación de entrada.
De manera opcional, en Descripción, agregue una descripción de la regla.
En las páginas Editar grupo de reglas y Grupos de reglas, haga clic en Guardar.
Haga clic en las Aplicaciones de usuario de confianza deseadas.
Desplácese hasta la sección Grupos de reglas, seleccione el nuevo Grupo de reglas y luego haga clic en Guardar.
Paso 5: Revisión de los extremos expuestos por el espacio de nombres
Este paso le familiariza con los puntos de conexión que expone ACS. Por ejemplo, ACS expone el punto de conexión de metadatos de WS-Federation que usa FedUtil al configurar ASP.NET aplicaciones web para la autenticación federada.
Para revisar los extremos expuestos por ACS
Vaya al Portal de administración de Microsoft Azure (https://manage.WindowsAzure.com), inicie sesión y, a continuación, haga clic en Active Directory. (Sugerencia de solución de problemas: falta el elemento "Active Directory" o no está disponible)
Para administrar el espacio de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar. (O haga clic en espacios de nombres Access Control, seleccione el espacio de nombres y, a continuación, haga clic en Administrar.)
En el portal de ACS, haga clic en Integración de aplicaciones.
Revise la tabla Referencia de extremos. Por ejemplo, los metadatos de WS-Federation expuestos por la dirección URL deben ser similares a los siguientes (su espacio de nombres será distinto).
https://my-namespace1.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml