ACS-névterek migrálása a Google OpenID Csatlakozás
Ez a témakör azon Access Control Service (ACS) 2.0 névterek tulajdonosainak szól, amelyek jelenleg a Google-t használják identitásszolgáltatóként. Az ACS ezt a képességet a Google OpenID 2.0 implementációjával biztosítja. A Google azt tervezi, hogy 2015. április 20-ig megszünteti az OpenID 2.0 támogatását. Az ACS-névterek 2015. június 1-ig továbbra is együttműködnek a Google OpenID 2.0-s implementációjával, és ekkorra be kell fejeznie a névterek migrálását a Google OpenID Csatlakozás implementációjának használatához, különben a felhasználók nem fognak tudni bejelentkezni az alkalmazásba Google-fiókkal. Az ACS-névterek OpenID-Csatlakozás való migrálása nem okoz alkalmazás-állásidőt. Egyetlen kivétellel (lásd az alábbi megjegyzést) ez a migrálás az alkalmazáskód módosítása nélkül lehetséges. Miután migrálta az ACS-névtereket az OpenID Csatlakozás használatára, át kell telepítenie a háttérrendszerben lévő felhasználói azonosítókat az OpenID Csatlakozás azonosítókra. Ezt a migrálást 2017. január 1-ig kell végrehajtani. Ehhez kódmódosításra lesz szükség a háttérrendszerben. A migrálás mindkét fázisával kapcsolatos részletekért tekintse meg az alábbi fontos megjegyzést.
Fontos
Jegyezze fel a következő fontos dátumokat, és végezze el az egyes dátumokhoz szükséges műveleteket, hogy a Google-t identitásszolgáltatóként használó ACS-névterek továbbra is működjenek:
- 2015. június 1 . – Az ACS-névterek nem fognak működni a Google OpenID 2.0 implementációjával. A Google OpenID Csatlakozás ezen a napon történő használatához be kell fejeznie az ACS-névtér migrálását. Ezen dátum előtt visszaállíthatja az OpenID 2.0-t, ha problémákat tapasztal a migrálás során. Az ezen a napon át nem telepített névterek esetében a felhasználók nem fognak tudni Google-fiókkal bejelentkezni, és megjelenik egy oldal, amely azt jelzi, hogy a Google-fiókok openID 2.0-s azonosítója megszűnt. A Google-fiókokkal való bejelentkezési képesség visszaállításához át kell telepítenie a névteret.
A legtöbb esetben nincs szükség az alkalmazáskód módosítására. Ha rendelkezik a Google"minden jogcím átengedési" szabályával identitásszolgáltatóként az alkalmazáshoz társított szabálycsoportban, előfordulhat, hogy módosítania kell a kódot. Ennek az az oka, hogy migráláskor egy új jogcímtípus (Tárgy) válik elérhetővé az ACS számára a Google-től, és előfordulhat, hogy kódmódosításokat kell végeznie, hogy az alkalmazás megfelelően tudja kezelni az új jogcímtípus jelenlétét. A migrálás sikeres befejezéséhez nincs szükség az új jogcímtípus feldolgozására az alkalmazásban.
- 2017. január 1. – A Google OpenID 2.0 és OpenID Csatlakozás implementációi különböző azonosítókat használnak a Google-felhasználók egyedi azonosításához. Az ACS-névtér migrálásakor az ACS két azonosítót hoz létre, az aktuális OpenID 2.0 azonosítót és az új OpenID Csatlakozás azonosítót is. Ezen a napon át kell állítania a háttérrendszer felhasználói azonosítóit OpenID Csatlakozás azonosítókra, és csak az OpenID Csatlakozás azonosítókat kell használnia. Ehhez módosítani kell az alkalmazás kódját.
A Stack Overflow-n a migrálással kapcsolatos kérdéseket tehet fel, és megjelölheti őket az "acs-google" címkével. A lehető leggyorsabban válaszolunk.
A Google terveiről az OpenID 2.0 áttelepítési útmutatójában talál további információt.
Áttelepítési ellenőrzőlista
Az alábbi táblázat egy ellenőrzőlistát tartalmaz, amely összefoglalja az ACS-névtér migrálásához szükséges lépéseket a Google OpenID Csatlakozás implementációjának használatához:
| Lépés | Description | Be kell fejezni a következővel: |
|---|---|---|
1 |
Hozzon létre egy Google+ alkalmazást a Google Developers Console-on. |
2015. június 1. |
2 |
Ha rendelkezik a Google mint identitásszolgáltató "minden jogcím átengedése" szabályával az alkalmazáshoz társított szabálycsoportban, tesztelje az alkalmazást, és győződjön meg arról, hogy az áttelepítésre kész; ellenkező esetben ez a lépés nem kötelező. |
2015. június 1. |
3 |
Az ACS felügyeleti portál használatával váltson az ACS-névtérre a Google OpenID Csatlakozás implementációjának használatára a Google+ alkalmazás paramétereinek (ügyfél-azonosító és titkos ügyfélkód) megadásával. Ha problémákba ütközik a migrálás során, 2015. június 1-ig visszaállíthatja az OpenID 2.0-s verzióra. |
2015. június 1. |
4 |
Telepítse át a háttérrendszer felhasználói azonosítóit az aktuális Google OpenID 2.0 azonosítókról az új Google OpenID Csatlakozás azonosítókra. Ehhez kódmódosításra van szükség. |
2017. január 1. |
Migrálási útmutató
Ha át szeretné telepíteni az ACS-névteret a Google OpenID Csatlakozás implementációjának használatára, hajtsa végre a következő lépéseket:
Google+ alkalmazás létrehozása
Ennek módjáról részletes útmutatást az Útmutató: Google+ alkalmazás létrehozása című szakaszban talál.
Győződjön meg arról, hogy az alkalmazás készen áll a migrálásra
Ha rendelkezik a Google"minden jogcím átengedési" szabályával identitásszolgáltatóként az alkalmazáshoz társított szabálycsoportban, kövesse az Útmutató: Az ACS-alkalmazás migrálási készültségének ellenőrzése című szakasz utasításait az alkalmazás migrálási készültségének teszteléséhez. Ennek az az oka, hogy a migráláskor egy új jogcímtípus (Tárgy) válik elérhetővé az ACS számára a Google-tól.
Megjegyzés
A "minden jogcím átengedése" szabály olyan szabály, amelyben a bemeneti jogcím típusa és a bemeneti jogcím értékeBármely , a Kimeneti jogcím típusa , a Kimeneti jogcím értéke pedig Az első bemeneti jogcímtípus átadása , illetve az Átmenő bemeneti jogcím értéke . A szabály az alább látható módon megjelenik az ACS felügyeleti portálon , és a Kimeneti jogcím oszlop átengedési értékre van állítva.
.png "Passthrough rule")
Ha korábban már létrehozott szabályokat, vagy manuálisan hozzáadott szabályokat a Google-hoz identitásszolgáltatóként az alkalmazáshoz társított szabálycsoportban, kihagyhatja ezt a lépést. Ennek az az oka, hogy ezekben az esetekben a migráláskor a rendszer nem küldi el az új Tulajdonos jogcímtípust az alkalmazásnak.
Ezekről a lehetőségekről további információt a Szabálycsoportok és szabályok című témakörben talál.
Váltás az ACS-névtérre a Google OpenID Csatlakozás implementációjának használatára
Nyissa meg a Microsoft Azure felügyeleti portált, jelentkezzen be, és kattintson az Active Directoryra. Válassza ki a migrálni kívánt ACS-névteret, és kattintson a Kezelés gombra az ACS felügyeleti portál elindításához.
Az ACS felügyeleti portálon kattintson a bal oldali fa identitásszolgáltatók elemére, vagy kattintson a Első lépések szakasz identitásszolgáltatók hivatkozására. Kattintson a Google gombra.
.png "Access Control Service Identity Providers Dialog")
A Google Identitásszolgáltató szerkesztése lapon jelölje be az OpenID Csatlakozás használata jelölőnégyzetet.
.png "Edit Google Identity Provider dialog")
Az Ügyfél-azonosító és az Ügyfélkód mezőkben (most már engedélyezve) másolja a megfelelő értékeket a Google+ alkalmazásból.
.png "Edit Google Identity Provider dialog")
Megjegyzés
Ezen a ponton, ha a Mentés gombra kattint, az ACS-névtérből érkező összes Google-identitásszolgáltatói kérés automatikusan a Google OpenID Csatlakozás implementációját fogja használni. Ha vissza szeretne gördíteni, törölje az OpenID Csatlakozás jelölőnégyzet jelölését. Az ügyfél-azonosító és az ügyfél titkos kódja mentve marad, és később újra felhasználható.
Kattintson a Mentés gombra.
Próbáljon meg google-azonosítóval bejelentkezni, és győződjön meg arról, hogy az OpenID Csatlakozás használatára való váltás sikeres volt. Ha nem tud bejelentkezni, lépjen vissza a Google Identitásszolgáltató szerkesztése lapra, és törölje az OpenID Csatlakozás használata jelölőnégyzet jelölését az OpenID 2.0-ra való visszaállításhoz. A visszaállítás után ellenőrizze, hogy a Google Fejlesztői konzolról kimásolt ügyfél-azonosító és titkos kód helyesen van-e megadva a névtérhez; például ellenőrizze az elírásokat.
Migrálja a háttérrendszer felhasználói azonosítóit az Open ID 2.0-ról az OpenID Csatlakozás
A háttérrendszer felhasználói azonosítóit át kell telepítenie a meglévő Google Open ID 2.0 azonosítókról az új Google OpenID Csatlakozás azonosítókra 2017. január 1. előtt. Ehhez a lépéshez kódmódosításra van szükség. További információ: A felhasználók meglévő Open ID 2.0-s azonosítóinak áttelepítése új OpenID Csatlakozás felhasználói azonosítókba
Útmutató: Google+ alkalmazás létrehozása
A következő lépések végrehajtásához Google-fiókra lesz szüksége; ha nincs, akkor kap egyet .https://accounts.google.com/SignUp
Egy böngészőablakban lépjen a Google Fejlesztői konzolra , és jelentkezzen be Google-fiókja hitelesítő adataival.
Kattintson a Create Project (Létrehozás) gombra, és adjon meg egy Project nevet és Project azonosítót. Jelölje be a Szolgáltatási feltételek jelölőnégyzetet. Végül kattintson a Létrehozás elemre. Ez regisztrálja az alkalmazást a Google-on.
.png "Google Developer Console New Project dialog")
A bal oldali panelen kattintson az API-k & hitelesítésére . Ezután kattintson a Hitelesítő adatok elemre. Az OAuth területen kattintson az Új ügyfél-azonosító létrehozása elemre. Válassza ki a webalkalmazást , és kattintson a Hozzájárulás konfigurálása képernyőre. Adja meg a termék nevét , és kattintson a Mentés gombra.
.png "Google Developer Console Consent screen")
A bal oldali panelen kattintson az API-k & hitelesítésére . Ezután kattintson az API-kra. Az API-k tallózása területen keresse meg és keresse meg a Google+ API-t. Kapcsolja be azállapotot.
.png "Google Developer Console Browse APIs")
Az Ügyfél-azonosító létrehozása párbeszédpanelen válassza ki a webalkalmazástalkalmazástípusként.
Az Engedélyezett Javascript-források mezőben adja meg a névtér teljes tartománynevének (FQDN) URL-címét, beleértve a kezdő "HTTPS://" és a záró port számát; például https://contoso.accesscontrol.windows.net:443.
Az Engedélyezett átirányítási URI-k mezőben adjon meg egy URI-t, amely tartalmazza a névtér teljes tartománynév (FQDN) URL-címét, beleértve a kezdő "HTTPS://" és a záró portszámot, majd a "/v2/openid" kifejezést; például https://contoso.accesscontrol.windows.net:443/v2/openid.
Kattintson az Ügyfél-azonosító létrehozása gombra.
.png "Google Developer Console Create Client ID screen")
Jegyezze fel a webalkalmazás ügyfél-azonosítójának és titkosügyfélkódjának értékeit . Szüksége lesz rájuk a Google OpenID Csatlakozás implementációjának konfigurálásához az ACS felügyeleti portálon.
.png "Google Developer Console Client ID for Web App")
Fontos
Az ügyfélkulcs fontos biztonsági hitelesítő adat. Tartsa titokban.
Útmutató: A felhasználók meglévő Open ID 2.0-s azonosítóinak áttelepítése új OpenID-Csatlakozás felhasználói azonosítókba
Miután sikeresen migrálta az ACS-névteret a Google OpenID Csatlakozás implementációjának használatához, 2017. január 1-jéig (a Google OpenID 2.0 áttelepítési útmutatója szerint) áttelepítheti a háttérrendszer felhasználói azonosítóit az aktuális OpenID 2.0 azonosítókról az új OpenID Csatlakozás azonosítókra.
Az alábbi táblázat azokat a jogcímtípusokat mutatja be, amelyek az ACS-ből a Google-ból az ACS-névtér migrálása után válnak elérhetővé a Google OpenID Csatlakozás implementációjának használatára:
| Jogcím típusa | URI | Description | Protokoll rendelkezésre állása |
|---|---|---|---|
Névazonosító |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
A felhasználói fiók egyedi azonosítója, amelyet a Google biztosít. Ez a (meglévő) OpenID 2.0 azonosító. |
OpenID 2.0, OpenID Csatlakozás |
Tárgy |
https://schemas.microsoft.com/identity/claims/subject |
A felhasználói fiók egyedi azonosítója, amelyet a Google biztosít. Ez az (új) OpenID Csatlakozás azonosítója. |
OpenID Connect |
Name |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
A felhasználói fiók megjelenítendő neve, amelyet a Google adott meg. |
OpenID 2.0, OpenID Csatlakozás (lásd az alábbi megjegyzést) |
E-mail-cím |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
A google által megadott felhasználói fiók e-mail-címe |
OpenID 2.0, OpenID Csatlakozás |
Identitásszolgáltató |
https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider |
Az ACS által biztosított jogcím, amely közli a függő entitás alkalmazásával, hogy a felhasználó az alapértelmezett Google-identitásszolgáltatóval hitelesített. A jogcím értéke az ACS felügyeleti portálon az Identitásszolgáltató szerkesztése lap Tartomány mezőjén keresztül látható. |
OpenID 2.0, OpenID Csatlakozás |
Megjegyzés
Olyan Google-felhasználók esetében, akik nem rendelkeznek (regisztrált) Google+ profillal, a Név jogcímtípus értéke megegyezik az OpenID Csatlakozás e-mail-cím jogcímtípusának értékével.
A Névazonosító és a Tárgy jogcímtípusok segítségével nyomon követheti és átválthatja a háttérrendszerben meglévő felhasználók egyedi azonosítóit, ha (régi) OpenID 2.0 azonosítókat (új) OpenID Csatlakozás azonosítókra képez le.
Ha rendelkezik a Google"minden jogcím átengedési" szabályával identitásszolgáltatóként az alkalmazáshoz társított szabálycsoportban, az alkalmazás automatikusan elkezdi megkapni a Tulajdonos jogcímtípust.
Ha korábban már létrehozott szabályokat, vagy manuálisan hozzáadott szabályokat a Google-hoz identitásszolgáltatóként az alkalmazáshoz társított szabálycsoportban, manuálisan kell hozzáadnia a Tulajdonos jogcímtípust. Ennek módjáról további információt a Szabálycsoportok és szabályok című témakörben talál.
.png "Input Claim Configuration")
Ha például korábban már létrehozott szabályokat a Google számára identitásszolgáltatóként egy szabálycsoportban, majd hozzáadta az új Tulajdonos jogcímtípust (a fent látható módon), az alábbiakat fogja látni.
.png "Google passthrough claims")
Az ezt a szabálycsoportot használó alkalmazás megkapja a Tárgy jogcímtípust, valamint a többi jogcímtípust.
Megjegyzés
2017. január 1-jét követően, amikor a Google megszünteti az azonosítóleképezés támogatását, az ACS a NameIdentifier és a Subject jogcímtípusokat is ugyanazzal az OpenID Csatlakozás felhasználói azonosítóval tölti fel.
Útmutató: Az ACS-alkalmazások migrálási felkészültségének biztosítása
Egy kivétellel az ACS-névtér migrálása a Google OpenID Csatlakozás implementációjának használatára az alkalmazáskód módosítása nélkül lehetséges. Ez alól kivételt képeznek azok a szabályok, amelyek szerint a Google identitásszolgáltatóként rendelkezik az összes jogcím átengedésével egy, az alkalmazáshoz társított szabálycsoportban. Ennek az az oka, hogy ebben az esetben a migráláskor a rendszer automatikusan egy új jogcímtípust (Tárgyat) küld az alkalmazásnak.
Ez a szakasz az ajánlott módosítási és tesztelési eljárást ismerteti, amelyet követve meggyőződhet arról, hogy a migrálás által érintett összes alkalmazás készen áll az új jogcímtípus kezelésére.
Ebben az útmutatóban feltételezzük, hogy Ön az ns-contoso nevű ACS-névtér tulajdonosa, és az éles környezetben használt alkalmazás neve ProdContosoApp. Azt is feltételezzük, hogy ez az alkalmazás a Google-t használja identitásszolgáltatóként, és "átengedi az összes jogcímet" szabály engedélyezve van a Google számára.
Telepítés
Első lépésként nyissa meg a Microsoft Azure Felügyeleti portált, jelentkezzen be, majd kattintson az Active Directoryra. Válassza ki az ACS-névteret (ns-contoso), majd kattintson a Kezelés gombra az ACS felügyeleti portál elindításához.
Az ACS felügyeleti portálon kattintson a bal oldali fa függő entitásalkalmazásai elemre, vagy kattintson a függő entitások alkalmazásai hivatkozásra a Első lépések szakaszban. Ezután kattintson az éles alkalmazásra (ProdContosoApp).
Jegyezze fel a ProdContosoApp tulajdonságait. Ezekre később szüksége lesz.
.png "Edit Relying Party Application dialog")
Kattintson a ProdContosoApp alapértelmezett szabálycsoportja elemre a Szabálycsoportok területen annak ellenőrzéséhez, hogy a "minden jogcím átengedése" szabály engedélyezve van-e a Google-hoz.
1. lépés: Az alkalmazás tesztpéldányának beállítása az éles ACS-névtérben
Állítson be egy TesztContosoApp nevű tesztpéldányt egy másik gyökér URI-n; például https://contoso-test.com:7777/. Függő entitásalkalmazásként (függő entitásalkalmazásként) kell regisztrálnia az ns-contoso névtérben.
Az ACS felügyeleti portálon kattintson a bal oldali fa függő entitásalkalmazásai elemre, vagy kattintson a függő entitások alkalmazásai hivatkozásra a Első lépések szakaszban. Ezután kattintson a Hozzáadás gombra a Függő entitás alkalmazásai lapon.
A Függő entitás alkalmazás hozzáadása lapon tegye a következőket:
A Név mezőbe írja be a tesztalkalmazás nevét. Itt a TestContosoApp.
Módban válassza a Beállítások manuális megadása lehetőséget.
A Tartomány mezőbe írja be a tesztalkalmazás URI-ját. Itt van .https://contoso-test.com:7777/
Ebben az útmutatóban üresen hagyhatja a hiba URL-címét (nem kötelező).
A Token formátum, a Jogkivonat-titkosítási szabályzat és a Token élettartam (mps) tulajdonságai és a Jogkivonat-aláírás Gépház szakaszban ugyanazokat az értékeket használja, mint a ProdContosoApp esetében.
Győződjön meg arról, hogy a Google-t választotta identitásszolgáltatóként.
A Szabálycsoportok területen válassza az Új szabálycsoport létrehozása lehetőséget.
.png "Add Relying Party Application dialog")
Kattintson a lap alján található Mentés gombra.
2. lépés: Hozzon létre egy szabálycsoportot, amely szimulálja az alkalmazás által a névtér migrálása után kapott ACS-jogkivonat formátumát a Google OpenID Csatlakozás implementációjának használatához
Az ACS felügyeleti portálon kattintson a bal oldali fában a Szabálycsoportok elemre, vagy kattintson a szabálycsoport hivatkozására a Első lépések szakaszban. Ezután kattintson a Szabálycsoportok lapon a Hozzáadás gombra.
A Szabálycsoport hozzáadása lapon adjon nevet az új szabálycsoportnak, például ManualGoogleRuleGroup. Kattintson a Mentés gombra.
.png "Add Rule Group dialog")
A Szabálycsoport szerkesztése lapon kattintson a Hozzáadás hivatkozásra.
.png "Edit Rule Group dialog")
A Jogcímszabály hozzáadása lapon győződjön meg arról, hogy a következő értékek vannak a helyén, és kattintson a Mentés gombra. Ez létrehoz egy "minden jogcím átengedése" szabályt a Google számára.
Ha szakasz:
Az identitásszolgáltató a Google.
A bemeneti jogcím típusának kiválasztása Bármely.
A bemeneti jogcím értékeBármely.
Ezután szakasz:
A kimeneti jogcím típusaAz első jogcímtípus átadása.
A kimeneti jogcím értékeátmegy az első bemeneti jogcímértéken.
Szabályinformációk szakasz:
- Hagyja üresen a Leírás (nem kötelező) mezőt.
.png "Add Claim Rule dialog")
A Szabálycsoport szerkesztése lapon kattintson ismét a Hozzáadás hivatkozásra.
A Jogcímszabály hozzáadása lapon győződjön meg arról, hogy a következő értékek vannak a helyén, majd kattintson a Mentés gombra. Ez létrehoz egy "statikus" jogcímszabályt a Google számára, amely egy új jogcímtípus( Subject) hozzáadását szimulálja, amely az új felhasználó OpenID Csatlakozás azonosítója, amelyet a Google elküld az alkalmazásnak a migráláskor.
Ha szakasz:
Az identitásszolgáltató a Google.
A bemeneti jogcím típusának kiválasztása Bármely.
A bemeneti jogcím értékeBármely.
Ezután szakasz:
A kimeneti jogcím típusaEnter típus. Írja be a mezőbe a következőt https://schemas.microsoft.com/identity/claims/subject: .
A kimeneti jogcím értékeEnter érték. Írja be a mezőbe a 123456.
Szabályinformációk szakasz:
- Hagyja üresen a Leírás (nem kötelező) mezőt.
.png "Add Claim Rull dialog")
Kattintson a Mentés gombra a Szabálycsoport szerkesztése lapon.
3. lépés: Az új szabálycsoport társítása az alkalmazás tesztpéldányával
Az ACS felügyeleti portálon kattintson a bal oldali fa függő entitásalkalmazásai elemre, vagy kattintson a függő entitások alkalmazásai hivatkozásra a Első lépések szakaszban. Ezután kattintson a TestContosoApp elemre a Függő entitás alkalmazásai lapon.
A Függő entitás szerkesztése lapon válassza a ManualGoogleRuleGroup lehetőséget a Hitelesítés Gépház szakaszban, majd kattintson a Mentés gombra.
.png "Authentication Settings")
Ezen a ponton a tesztalkalmazásoknak küldött összes Google-bejelentkezési kérelem tartalmazni fogja az új jogcímtípust.
4. lépés: Annak tesztelése, hogy az alkalmazás képes-e kezelni a Tárgy jogcímtípus hozzáadását
Tesztelje az alkalmazást, és győződjön meg arról, hogy az képes megfelelően kezelni az új jogcímtípus (Subject) jelenlétét. Általában egy jól megírt alkalmazásnak robusztusnak kell lennie a jogkivonathoz hozzáadott új jogcímtípusokhoz. Keresse meg és javítsa ki a problémákat. Ha szeretné, a felhasználói azonosítók leképezéséhez kövesse az Útmutató: A felhasználók meglévő Open ID 2.0 azonosítóinak áttelepítése új OpenID Csatlakozás felhasználói azonosítók szakaszba.
5. lépés: Az éles környezet migrálása
Hozza létre újra és helyezze üzembe az éles alkalmazást (ProdContosoApp). A migrálási útmutató lépéseit követve migrálja a névteret (ns-contoso) a Google OpenID Csatlakozás implementációjának használatához. Ellenőrizze, hogy a ProdContosoApp a várt módon működik-e.