Megosztás a következőn keresztül:

Útmutató: Azure AD-bérlő hozzáadása identitásszolgáltatóként

  • Cikk

Frissítve: 2015. június 19.

A következőkre vonatkozik: Azure

Érvényesség

  • Microsoft Azure Active Directory Access Control (más néven Access Control Szolgáltatás vagy ACS)

Áttekintés

Ez a témakör azt ismerteti, hogyan vehet fel Azure Active Directory (AD) bérlőt a Access Control-névtérben található identitásszolgáltatók listájára. Ez a funkció lehetővé teszi, hogy a bérlőt identitásszolgáltatóként használja a névtérhez társított alkalmazásokhoz.

A folyamatnak két fő eleme van:

  1. Adja hozzá a Access Control névteret a Azure AD-bérlőhöz webalkalmazásként. Ez lehetővé teszi, hogy a névtér (webalkalmazás) jogkivonatokat fogadjon Azure AD.

  2. Adja hozzá a Azure AD bérlőt a Access Control névtérhez identitásszolgáltatóként.

A többi lépés az ACS összes identitásszolgáltatója számára gyakori. Hozzáadhat függő entitásalkalmazásokat és szabályokat, amelyek meghatározzák, hogy mely identitásjogcímek lesznek átadva az identitásszolgáltatóktól a függő entitás alkalmazásainak.

Követelmények

A jelen témakörben található utasításokhoz a következők szükségesek:

  1. Azure-előfizetés. További információ: Első lépések az Azure-ral.

  2. Egy Azure-Access Control-névtér. Ha segítségre van szüksége, olvassa el a How to: Create an Access Control Namespace (Access Control Névtér létrehozása) című témakört.

  3. Visual Studio 2012

A lépések összefoglalása

Ha Azure AD-bérlőt szeretne identitásszolgáltatóként hozzáadni, hajtsa végre az alábbi lépéseket:

  • 1. lépés: A Access Control névtér nevének megkeresése

  • 2. lépés: A Access Control névtér hozzáadása webalkalmazásként

  • 3. lépés: A Azure AD bérlői identitásszolgáltató hozzáadása a Access Control névtérhez

  • 4. lépés: A Azure AD bérlői identitásszolgáltató használata az alkalmazással

1. lépés: A Access Control névtér nevének megkeresése

Ebben a lépésben átmásoljuk a névtér nevét, hogy a következő lépésben használhassa. Szüksége lesz a névtér nevére annak jelzéséhez, hogy a jogkivonatokat a WS-Federation bejelentkezési válaszokat fogadó végpontnak kell elküldeni.

Bár a névtér URL-címe egy Felügyeleti portál nevű mezőben található, a jogkivonatokat a rendszer a megadott végpontra küldi, nem a portálra.

  1. Nyissa meg a Microsoft Azure felügyeleti portált (https://manage.WindowsAzure.com), jelentkezzen be, majd kattintson az Active Directoryra. (Hibaelhárítási tipp: Az "Active Directory" elem hiányzik vagy nem érhető el)

  2. Egy Access Control névtér kezeléséhez jelölje ki a névteret, majd kattintson a Kezelés gombra. (Vagy kattintson Access Control Névterek elemre, jelölje ki a névteret, majd kattintson a Kezelés gombra.)

  3. Kattintson az Alkalmazásintegráció elemre.

  4. Másolja ki a Felügyeleti portál mező értékét.

    A Felügyeleti portál mezőben szereplő URL-cím formátuma a következő:

    < https:// Namespace.accesscontrol.windows.net/>

    Mentse az értéket. A következő lépésben szüksége lesz rá.

A Felügyeleti portál mező értéke a névtér neve és annak a végpontnak az URL-címe, amely WS-Federation bejelentkezési válaszokat fogad.

2. lépés: A Access Control névtér hozzáadása webalkalmazásként

Ebben a lépésben az Azure Management Portal funkcióival adja hozzá a Access Control névteret webalkalmazásként az Azure AD-bérlőben. Így a bérlő a Azure AD által generált jogkivonatok címzettje lesz.

  1. Nyissa meg az Azure Felügyeleti portált , és jelentkezzen be. Kattintson az Active Directory elemre, kattintson egy könyvtárra, kattintson az Alkalmazások, majd a Hozzáadás gombra.

    Add an application to an Active Directory tenant

  2. Adja meg az alkalmazás nevét. A Típus mezőben válassza a Webalkalmazás és/vagy a Webes API (alapértelmezett) lehetőséget. A továbblépéshez kattintson a nyílra.

    Add a name and type for the app

  3. Az alkalmazás URL-címe és az alkalmazásazonosító URI szövegmezőibe illessze be az Alkalmazásintegráció lap Felügyeleti portál mezőjében található URL-címet. A folytatáshoz kattintson a nyílra.

    Az alkalmazás URL-címe az a cím, amelyre a rendszer jogkivonatot küld, amikor egy felhasználó sikeresen hitelesíti magát. Az alkalmazásazonosító URI-ja az a célközönség, amelyre a jogkivonat hatóköre kiterjed. Ha a Access Control névtér entityID azonosítójától eltérő értéket használunk, az ACS azt egy olyan jogkivonatként értelmezi, amelyet egy közbeeső támadás során újra felhasznál.

    Beillesztéskor ügyeljen arra, hogy ne tartalmazzon záró szóközöket vagy további karaktereket az utolsó perjel (/) után. Ellenkező esetben Azure AD érvénytelenként jelöli meg az URL-címet.

    Add the URL and App ID Uri for the app

  4. A Címtár-hozzáférés lapon válassza az alapértelmezett egyszeri bejelentkezés beállítást. Mivel az ACS nem hívja meg a Graph API, a rendszer nem használja a beállítást. A folyamat befejezéséhez kattintson a pipára.

    Ezen a ponton a Azure AD-bérlő tud a Access Control-névtérről, és jogkivonatokat tud kibocsátni.

    Specify the access requirements of the app

  5. Az utolsó lapon másolja ki az összevonási metaadatok URL-címét. Néhány perc múlva szüksége lesz rá.

    A lapra való visszatéréshez:

    • Nyissa meg az Azure Felügyeleti portált , és jelentkezzen be.

    • Kattintson egy Azure-címtárra.

    • Kattintson az Alkalmazások elemre.

    • Kattintson az alkalmazásra.

    Az összevonási metaadatok URL-címe az alkalmazás Alkalmazásvégpontok lapján is megjelenik . A lap megtekintéséhez kattintson az Alkalmazás lapon a Végpontok megtekintése elemre.

    Page announces that app is added

3. lépés: A Azure AD bérlői identitásszolgáltató hozzáadása a Access Control névtérhez

Ebben a lépésben hozzáadja a Azure AD bérlőhöz tartozó biztonsági jogkivonat-szolgáltatást (STS) a Access Control névtérhez.

  1. Nyissa meg a Microsoft Azure felügyeleti portált (https://manage.WindowsAzure.com), jelentkezzen be, majd kattintson az Active Directoryra. (Hibaelhárítási tipp: Az "Active Directory" elem hiányzik vagy nem érhető el)

  2. Egy Access Control névtér kezeléséhez jelölje ki a névteret, majd kattintson a Kezelés gombra. (Vagy kattintson Access Control Névterek elemre, jelölje ki a névteret, majd kattintson a Kezelés gombra.)

    Ez a művelet megnyitja a Access Control névtér ACS felügyeleti portálját.

    ACS Management Portal

  3. Kattintson az Identitásszolgáltatók , majd a Hozzáadás gombra.

  4. Válassza WS-Federation identitásszolgáltatót, majd kattintson a Tovább gombra.

    Add an identity provider

  5. Adja meg a megjelenítendő nevet és a bejelentkezési hivatkozás szövegét. Ezekre az értékekre nincsenek speciális követelmények.

  6. A WS-Federation metaadatok szakaszban kattintson az URL-címre , majd illessze be az alkalmazáslapról kimásolt összevonási metaadatok URL-címét. Ezután kattintson a Mentés gombra.

    Ezen a lapon egy másik hasznos mező a Bejelentkezési hivatkozás szövege mező. A mező értéke megjelenik azon identitásszolgáltatók listájában, amelyeket a felhasználók az alkalmazásba való bejelentkezéskor kínálnak.

    Enter the Federation Metadata URL

4. lépés: A Azure AD bérlői identitásszolgáltató használata az alkalmazással

A Azure AD-bérlő mostantól identitásszolgáltatóként van regisztrálva a Access Control névtérben. Bizonyos értelemben a feladatunk befejeződött. Ebben a lépésben azonban bemutatjuk, hogyan használhatja az új identitásszolgáltatót, ha hozzáadja azt egy webalkalmazás identitásszolgáltatói ajánlatához.

Az alkalmazás új identitásszolgáltatójának kiválasztásához használja a szokásos eljárást:

  1. Start menü Visual Studio 2012-ben, és nyisson meg egy webalkalmazást.

  2. A Megoldáskezelő kattintson a jobb gombbal az alkalmazás nevére, majd kattintson az Identitás és az Access elemre.

  3. A Szolgáltatók lapon kattintson az Azure Access Control Szolgáltatás használata elemre.

  4. Ha az alkalmazást egy Access Control névtérhez szeretné társítani, szüksége lesz a névtér felügyeleti kulcsára. Az alábbiakban megtudhatja, hogyan találhatja meg.

    1. Nyissa meg a Microsoft Azure felügyeleti portált (https://manage.WindowsAzure.com), jelentkezzen be, majd kattintson az Active Directoryra. (Hibaelhárítási tipp: Az "Active Directory" elem hiányzik vagy nem érhető el)

    2. Egy Access Control névtér kezeléséhez jelölje ki a névteret, majd kattintson a Kezelés gombra. (Vagy kattintson Access Control Névterek elemre, jelölje ki a névteret, majd kattintson a Kezelés gombra.)

    3. Kattintson a Felügyeleti szolgáltatás, majd a Felügyeleti ügyfél, majd a Szimmetrikus kulcs elemre.

    4. Kattintson a Kulcs megjelenítése gombra, másolja ki a kulcs értékét, majd kattintson a Kulcs elrejtése gombra.

  5. Most az Visual Studio ACS-névtér konfigurálása párbeszédpanelen adja meg a Access Control névtér nevét, és illessze be a felügyeleti kulcs értékét.

    Enter the namespace name and key in Visual Studio

  6. Ezután válassza ki a Azure AD bérlői identitásszolgáltatót a névtérben lévő identitásszolgáltatók listájából.

    Select the AD Tenant identity provider

  7. Az alkalmazás futtatásakor a bejelentkezési párbeszédpanel tartalmazza a Azure AD bérlői identitásszolgáltatót az identitásszolgáltatói lehetőségek között. (Az ezen a lapon megjelenő név az identitásszolgáltató beállításlapjának Bejelentkezési hivatkozás szövege mezőjében van definiálva.)

    Select an identity provider

  8. Válassza ki a Azure AD bérlőt, majd jelentkezzen be a szervezeti fiókjával.

    Application sign-in page

Most már hozzáférhet az alkalmazáshoz. A hitelesítési jogkivonatokat a rendszer identitásszolgáltatóként továbbítja a Azure AD bérlőnek.

Lásd még:

Alapelvek

Az ACS útmutatója