ACS-névterek migrálása a Google OpenID Connectbe

Ez a témakör a Hozzáférés-vezérlési szolgáltatás (ACS) 2.0-s névtereinek tulajdonosai számára készült, amelyek jelenleg a Google-t használják identitásszolgáltatóként. Az ACS ezt a funkciót a Google OpenID 2.0-s implementációjával biztosítja. A Google azt tervezi, hogy 2015. április 20-ig megszünteti az OpenID 2.0 támogatását. Az ACS-névterek 2015. június 1-ig továbbra is együttműködnek a Google OpenID 2.0-s implementációjával, és ekkorra a névterek áttelepítését be kell fejeznie a Google OpenID Connect-implementációjának használatához, vagy a felhasználók már nem tudnak bejelentkezni az alkalmazásba Google-fiókkal. Az ACS-névterek OpenID Connectbe való migrálása nem okoz alkalmazás-leállást. Egyetlen kivétellel (lásd az alábbi megjegyzést) ez az áttelepítés az alkalmazáskód módosítása nélkül lehetséges. Miután migrálta az ACS-névtereket az OpenID Connect használatára, át kell telepítenie a háttérrendszer felhasználói azonosítóit OpenID Connect-azonosítókra. Ezt a migrálást 2017. január 1-ig kell befejezni. Ehhez kódmódosításra lesz szükség a háttérrendszerben. A migrálás mindkét fázisával kapcsolatos részletekért tekintse meg az alábbi fontos megjegyzést.

Fontos

Jegyezze fel a következő fontos dátumokat, és végezze el az egyes dátumokhoz szükséges műveleteket annak biztosításához, hogy a Google-t identitásszolgáltatóként használó ACS-névterek továbbra is működjenek:

• 2015. június 1-jei – Az ACS-névterek nem működnek tovább a Google OpenID 2.0-s implementációjával. A Google OpenID Connect ezen a napon történő használatához be kell fejeznie az ACS-névtér migrálását. Ezen dátum előtt visszatérhet az OpenID 2.0-ra, ha problémákba ütközik a migrálás során. Azoknak a névtereknek a esetében, amelyeket eddig a dátumig nem migráltak, a felhasználók már nem tudnak bejelentkezni Google-fiókkal, és egy olyan oldal jelenik meg, amely azt jelzi, hogy a Google-fiókok OpenID 2.0-s azonosítója megszűnt. A Google-fiókokkal való bejelentkezési képesség visszaállításához át kell telepítenie a névteret.
  
  A legtöbb esetben nincs szükség alkalmazáskód-módosításokra. Ha rendelkezik az alkalmazáshoz társított szabálycsoport identitásszolgáltatójaként a Google "minden jogcím" szabályával, előfordulhat, hogy módosítania kell a kódokat. Ennek az az oka, hogy migráláskor egy új jogcímtípus (Tárgy) válik elérhetővé az ACS számára a Google-tól, és előfordulhat, hogy kódmódosításokat kell végrehajtania annak érdekében, hogy az alkalmazás megfelelően kezelje az új jogcímtípus jelenlétét. A migrálás sikeres befejezéséhez nincs szükség az új jogcímtípus feldolgozására az alkalmazásban.
  
  
• 2017. január 1-jei – A Google OpenID 2.0-s és OpenID Connect-implementációi különböző azonosítókkal azonosítják a Google-felhasználókat. Az ACS-névtér migrálásakor az ACS két azonosítót hoz létre, az aktuális OpenID 2.0 azonosítót és az új OpenID Connect-azonosítót is, amely elérhető az alkalmazás számára. Ezen a napon át kell állítania a háttérrendszer felhasználói azonosítóit OpenID Connect-azonosítókra, és csak az OpenID Connect-azonosítókat kell használnia. Ehhez alkalmazáskód-módosításokra van szükség.
  
  

A migrálással kapcsolatos kérdéseket közzéteheti Stack Overflow, és megjelölheti őket az "acs-google" címkével. A lehető leggyorsabban válaszolunk.

További információ a Google terveiről: OpenID 2.0 migration guide.

Áttelepítési ellenőrzőlista

Az alábbi táblázat egy ellenőrzőlistát tartalmaz, amely összefoglalja az ACS-névtér migrálásához szükséges lépéseket a Google OpenID Connect-implementációjának használatához:

Lépés	Leírás	Be kell fejezni a következő szerint:
1	Google+ alkalmazás létrehozása a Google Developers Console.	2015. június 1.
2	Ha az alkalmazáshoz társított szabálycsoportban a Google identitásszolgáltatójaként a "átengedi az összes jogcímet" szabályt, tesztelje az alkalmazást, hogy az migrálásra kész legyen; ellenkező esetben ez a lépés nem kötelező.	2015. június 1.
3	Az ACS felügyeleti portál az ACS-névtér váltásához használja a Google OpenID Connect implementációját a Google+ alkalmazás paramétereinek (ügyfélazonosító és ügyfélkód) megadásával. Ha problémákba ütközik a migrálással kapcsolatban, 2015. június 1-ig visszatérhet az OpenID 2.0-ra.	2015. június 1.
4	Migrálja a felhasználói azonosítókat a háttérrendszerben az aktuális Google OpenID 2.0-azonosítókról az új Google OpenID Connect-azonosítókra. Ehhez kódmódosításra van szükség.	2017. január 1.

Migrálási útmutató

Ha az ACS-névteret a Google OpenID Connect-implementációjának használatára szeretné migrálni, hajtsa végre a következő lépéseket:

1. Google+ alkalmazás létrehozása

   Ennek részletes útmutatását a Hogyan: Google+ alkalmazás létrehozása című szakaszban találja.

2. Győződjön meg arról, hogy az alkalmazás áttelepítésre kész

   Ha az alkalmazáshoz társított szabálycsoportban a Google identitásszolgáltatójaként a "átengedi az összes jogcímet" szabályt, kövesse az Útmutató: Az ACS-alkalmazás migrálási készültségi szakaszának utasításait az alkalmazás migrálási készültségének teszteléséhez. Ennek az az oka, hogy a migráláskor egy új jogcímtípus (Tárgy) válik elérhetővé a Google-ból az ACS számára.

   Jegyzet

   A "minden jogcím átengedése" szabály olyan szabály, amelyben Bemeneti jogcímtípus és Bemeneti jogcímértékBármely és Kimeneti jogcím típusa és Kimeneti jogcím értékeAz első bemeneti jogcímtípuson keresztüli átengedés és A bemeneti jogcím értéke. A szabály megjelenik az ACS felügyeleti portálon az alább látható módon, és a Kimeneti jogcím oszlop átengedési.

   

   Ha korábban már létrehozott szabályokat, vagy manuálisan hozzáadott szabályokat a Google-hoz identitásszolgáltatóként az alkalmazáshoz társított szabálycsoportban, kihagyhatja ezt a lépést. Ennek az az oka, hogy ezekben az esetekben a migráláskor a rendszer nem küldi el az új Tárgy jogcímtípust az alkalmazásnak.

   Ezekről a lehetőségekről további információt szabálycsoportok és szabályokcímű témakörben talál.

3. Az ACS-névtér váltása a Google OpenID Connect-implementációjának használatára

   1. Lépjen a Microsoft Azure Management Portal, jelentkezzen be, és kattintson Active Directory. Válassza ki a migrálni kívánt ACS-névteret, majd kattintson a kezelése gombra az ACS felügyeleti portálelindításához.

   2. Az ACS felügyeleti portálonkattintson a bal oldali fa Identitásszolgáltatók elemre, vagy kattintson a Identitásszolgáltatók hivatkozásra a Első lépések szakaszban. Kattintson Googleelemre.

      

   3. A Google Identitásszolgáltató szerkesztése lapon jelölje be Az OpenID Connecthasználata.

      

   4. Az Ügyfélazonosító és Titkos ügyfélkód mezőkbe (most engedélyezve) másolja a Google+ alkalmazás megfelelő értékeit.

      

      Jegyzet

      Ezen a ponton, ha a Mentésgombra kattint, az ACS-névtérből érkező Összes Google-identitásszolgáltatói kérés automatikusan a Google OpenID Connect-implementációját fogja használni. Ha vissza kell állítania a elemet, törölje Az OpenID Connecthasználata jelölőnégyzet jelölését. Az ügyfélazonosító és az ügyfél titkos kódja továbbra is mentve marad, és később újra felhasználható.

   5. Kattintson a Mentésgombra.

   6. Próbáljon meg bejelentkezni egy Google-azonosítóval, hogy az OpenID Connect használatára való váltás sikeres legyen. Ha nem tud bejelentkezni, lépjen vissza a A Google Identitásszolgáltató szerkesztése lapra, és törölje a jelölést Az OpenID Connect használatával térjen vissza az OpenID 2.0-ra. A visszaállítás után ellenőrizze, hogy a ügyfélazonosító és Titkos, amelyet a Google Fejlesztői konzol másolt, helyesen van-e megadva a névtérhez; például ellenőrizze az elírásokat.

4. A háttérrendszer felhasználói azonosítóinak áttelepítése a 2.0-s open id-ről az OpenID Connect

   A háttérrendszer felhasználói azonosítóit át kell telepítenie a meglévő Google Open ID 2.0 azonosítókról az új Google OpenID Connect-azonosítókra 2017. január 1. előtt. Ehhez a lépéshez kódmódosításra van szükség. További információ: A felhasználók meglévő Open ID 2.0-azonosítóinak áttelepítése új OpenID Connect felhasználói azonosítókra

Útmutató: Google+ alkalmazás létrehozása

A következő lépések végrehajtásához Google-fiókra lesz szüksége; ha nincs, akkor kap egyet https://accounts.google.com/SignUp.

1. A böngészőablakban lépjen a Google Developers Console, és jelentkezzen be Google-fiókjának hitelesítő adataival.

2. Kattintson a Projektlétrehozása gombra, és adjon meg egy projektnevet és projektazonosítót. Jelölje be a Szolgáltatási feltételek jelölőnégyzetet. Ezután kattintson létrehozása gombra. Ez regisztrálja az alkalmazást a Google-on.

   

3. Kattintson API-kra & hitelesítési a bal oldali panelen. Ezután kattintson hitelesítő adatok. Az OAuthterületen kattintson az Új ügyfélazonosító létrehozásaelemre. Válassza webalkalmazás-, majd kattintson a Hozzájárulás konfigurálása képernyőelemre. Adjon meg egy terméknevet, majd kattintson a Mentésgombra.

   

4. Kattintson API-kra & hitelesítési a bal oldali panelen. Ezután kattintson API-k. A Tallózás API-kterületen keresse meg Google+ API. Kapcsolja be a ÁllapotON.

   

5. Az Ügyfélazonosító létrehozása párbeszédpanelen válassza webalkalmazás-alkalmazástípus.

   Az Engedélyezett Javascript-forráskódok mezőben adja meg a névtér teljes tartománynevét (FQDN), beleértve a kezdő "HTTPS://" és a záró port számát; például https://contoso.accesscontrol.windows.net:443.

   Az Engedélyezett átirányítási URI-k mezőben adjon meg egy URI-t, amely tartalmazza a névtér teljes tartománynév (FQDN) URL-címét, beleértve a kezdő "HTTPS://" és a záró port számát, majd a "/v2/openid" értéket; például https://contoso.accesscontrol.windows.net:443/v2/openid.

   Kattintson Ügyfélazonosító létrehozásaelemre.

   

6. Jegyezze fel az ügyfélazonosító és titkos ügyfélkód értékét a webalkalmazás lap ügyfélazonosítójából. Szüksége lesz rájuk, hogy konfigurálják a Google OpenID Connect implementációját az ACS felügyeleti portálon.

   

   Fontos

   Titkos ügyfélkód fontos biztonsági hitelesítő adatok. Tartsa titokban.

Útmutató: A felhasználók meglévő Open ID 2.0-azonosítóinak áttelepítése új OpenID Connect felhasználói azonosítókra

Miután sikeresen migrálta az ACS-névteret a Google OpenID Connect implementációjának használatára, 2017. január 1-ig (a Google OpenID 2.0 áttelepítési útmutatója) 2017. január 1-ig áttelepítheti a háttérrendszer felhasználói azonosítóit az aktuális OpenID 2.0-azonosítókról az új OpenID Connect-azonosítókra.

Az alábbi táblázat azokat a jogcímtípusokat mutatja be, amelyek a Google-ból az ACS-névtér migrálása után válnak elérhetővé az ACS számára a Google OpenID Connect-implementációjának használatához:

Jogcím típusa	URI	Leírás	Protokoll rendelkezésre állása
Névazonosító	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier	A Google által megadott felhasználói fiók egyedi azonosítója. Ez a (meglévő) OpenID 2.0 azonosító.	OpenID 2.0, OpenID Connect
Tárgy	https://schemas.microsoft.com/identity/claims/subject	A Google által megadott felhasználói fiók egyedi azonosítója. Ez az (új) OpenID Connect-azonosító.	OpenID Connect
Név	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name	A Google által megadott felhasználói fiók megjelenítendő neve.	OpenID 2.0, OpenID Connect (lásd az alábbi megjegyzést)
E-mail-cím	https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress	A Google által megadott felhasználói fiók e-mail-címe	OpenID 2.0, OpenID Connect
Identitásszolgáltató	https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider	Az ACS által biztosított jogcím, amely közli a függő entitásalkalmazással, hogy a felhasználó az alapértelmezett Google-identitásszolgáltatóval hitelesített. A jogcím értéke az ACS felügyeleti portálon az Identitásszolgáltató szerkesztése lap Tartomány mezőjén keresztül látható.	OpenID 2.0, OpenID Connect

Jegyzet

Olyan Google-felhasználó esetében, aki nem rendelkezik (regisztrált) Google+ profillal, a Név jogcímtípus értéke megegyezik az OpenID Connect e-mail-cím jogcímtípusának értékével.

A Névazonosító és Tulajdonos jogcímtípusok segítségével nyomon követheti és átválthatja a meglévő felhasználók egyedi azonosítóit a háttérrendszerben az OpenID 2.0 azonosítók (új) OpenID Connect-azonosítókra való leképezésével.

Ha rendelkezik az alkalmazáshoz társított szabálycsoportban a Google identitásszolgáltatójaként a "minden jogcím átengedése" szabálysal, az alkalmazás automatikusan megkapja a Tárgy jogcímtípust.

Ha korábban már létrehozott szabályokat vagy manuálisan hozzáadott szabályokat a Google-hoz identitásszolgáltatóként az alkalmazáshoz társított szabálycsoportban, manuálisan kell hozzáadnia a Tárgy jogcímtípust. Ennek módjáról további információt szabálycsoportok és szabályokcímű témakörben talál.

Ha például korábban létrehozott szabályokat a Google-hoz identitásszolgáltatóként egy szabálycsoportban, majd hozzáadta az új Tulajdonos jogcímtípust (a fent látható módon), az alábbiakat fogja látni.

A szabálycsoportot használó alkalmazás megkapja a Tárgy jogcímtípust, valamint a többi jogcímtípust.

Jegyzet

2017. január 1-jét követően, amikor a Google megszünteti az azonosítóleképezés támogatását, az ACS feltölti a NameIdentifier és Tulajdonos jogcímtípusokat ugyanazzal az OpenID Connect felhasználói azonosítóval.

Útmutató: Az ACS-alkalmazások migrálási készültségének biztosítása

Egy kivétellel az ACS-névtér migrálása a Google OpenID Connect-implementációjának használatára az alkalmazáskód módosítása nélkül lehetséges. A kivételes eset az, ha a Google identitásszolgáltatójaként a Google-hez tartozó "átengedi az összes jogcímet" szabályt az alkalmazáshoz társított szabálycsoportban. Ennek az az oka, hogy ebben az esetben a migráláskor a rendszer automatikusan egy új jogcímtípust (Tárgy) küld az alkalmazásnak.

Ez a szakasz az ajánlott módosítási és tesztelési eljárást ismerteti, amelyet követve biztosíthatja, hogy az áttelepítés által érintett összes alkalmazás készen álljon az új jogcímtípus kezelésére.

Ennek a útmutatónak az alkalmazásában tegyük fel, hogy Ön egy ns-contoso nevű ACS-névtér tulajdonosa, és hogy az éles környezetben lévő alkalmazás neve ProdContosoApp. Azt is feltételezzük, hogy ez az alkalmazás a Google-t használja identitásszolgáltatóként, és "átengedi az összes jogcímet" szabályt, amely engedélyezve van a Google számára.

Beállít

1. Első lépésként nyissa meg a Microsoft Azure Management Portal, jelentkezzen be, majd kattintson Active Directory. Jelölje ki az ACS-névteret (ns-contoso), majd kattintson a kezelése elemre az ACS felügyeleti portálelindításához.

2. Az ACS felügyeleti portálonkattintson a bal oldali fa Függő entitásalkalmazások elemre, vagy kattintson a Függő entitásalkalmazások hivatkozásra az Első lépések szakasz alatt. Ezután kattintson az éles alkalmazásra (ProdContosoApp).

3. Jegyezze fel ProdContosoApptulajdonságait, ezekre később lesz szüksége.

   

4. Kattintson A ProdContosoApp alapértelmezett szabálycsoportja Szabálycsoportok csoportban annak ellenőrzéséhez, hogy a "átengedi az összes jogcímet" szabály engedélyezve van-e a Google számára.

   

1. lépés: Az alkalmazás tesztpéldányának beállítása az éles ACS-névtérben

Állítson be egy tesztpéldányt az alkalmazáshoz, TestContosoAppegy másik gyökér URI-n; például https://contoso-test.com:7777/. Függő entitásalkalmazásként (függő entitásalkalmazásként) kell regisztrálnia az ns-contoso névtérben.

1. Az ACS felügyeleti portálonkattintson a bal oldali fa Függő entitásalkalmazások elemre, vagy kattintson a Függő entitásalkalmazások hivatkozásra az Első lépések szakasz alatt. Ezután kattintson hozzáadása a Függő entitásalkalmazások lapon.

2. A Függő entitás alkalmazás hozzáadása lapon tegye a következőket:

   • A Névmezőbe írja be a tesztalkalmazás nevét. Itt TestContosoApp.

   • A módúválassza Adja meg manuálisan a beállításokat.

   • A Tartománymezőbe írja be a tesztalkalmazás URI-ját. Itt van https://contoso-test.com:7777/.

   • Ennek a útmutatónak a alkalmazásában üresen hagyhatja hiba URL-címét (nem kötelező),.

   • A Token formátum, a Jogkivonat titkosítási szabályzatés Token élettartamának (másodperc) tulajdonságai és a Token-aláírási beállítások szakaszban ugyanazokat az értékeket használja, mint a ProdContosoApp .

   • Győződjön meg arról, hogy a Google identitásszolgáltatóként.

   • A Szabálycsoportokcsoportban válassza Új szabálycsoport létrehozásalehetőséget.

   

3. Kattintson a lap alján található Mentés elemre.

2. lépés: Hozzon létre egy szabálycsoportot, amely szimulálja annak az ACS-jogkivonatnak a formátumát, amelyet az alkalmazás a névtér migrálása után kap a Google OpenID Connect-implementációjának használatához

1. Az ACS felügyeleti portálonkattintson a bal oldali fa Szabálycsoportok elemre, vagy kattintson a Szabálycsoport hivatkozásra a Első lépések szakasz alatt. Ezután kattintson hozzáadása a Szabálycsoportok lapon.

2. A Szabálycsoport hozzáadása lapon adjon nevet az új szabálycsoportnak, például ManualGoogleRuleGroup. Kattintson a Mentés gombra.

   

3. A Szabálycsoport szerkesztése lapon kattintson a hozzáadása hivatkozásra.

   

4. A Jogcímszabály hozzáadása lapon győződjön meg arról, hogy a következő értékek vannak érvényben, és kattintson a Mentésgombra. Ez létrehoz egy "átengedi az összes jogcímet" szabályt a Google számára.

   • Ha szakasz:

     • Identitásszolgáltató a Google.

     • Bemeneti jogcím típusa kijelölés Bármely.

     • bemeneti jogcím értéke bármely.

   • Ezután szakasz:

     • Kimeneti jogcímtípusAz első jogcímtípus.

     • Kimeneti jogcím értékeAz első bemeneti jogcímérték.

   • szabályinformációk szakasz:

     • Hagyja üresen a Leírás (nem kötelező) mezőt.

   

5. A Szabálycsoport szerkesztése lapon kattintson ismét a hozzáadása hivatkozásra.

6. A Jogcímszabály hozzáadása lapon győződjön meg arról, hogy a következő értékek vannak érvényben, és kattintson a Mentés gombra. Ez létrehoz egy "statikus" jogcímszabályt a Google számára, amely egy új jogcímtípus hozzáadását szimulálja, Tárgy, amely az új felhasználó OpenID Connect-azonosítója, amelyet a Google az áttelepítéskor küld az alkalmazásnak.

   • Ha szakasz:

     • Identitásszolgáltató a Google.

     • Bemeneti jogcím típusa kijelölés Bármely.

     • bemeneti jogcím értéke bármely.

   • Ezután szakasz:

     • Kimeneti jogcím típusaEnter típusú. Írja be a mezőbe a https://schemas.microsoft.com/identity/claims/subject.

     • Kimeneti jogcím értékeAdja meg az értéket. A mezőbe írja be a 123456.

   • szabályinformációk szakasz:

     • Hagyja üresen a Leírás (nem kötelező) mezőt.

   

7. A Szabálycsoport szerkesztése lapon kattintson a Mentés elemre.

3. lépés: Az új szabálycsoport társítása az alkalmazás tesztpéldányával

1. Az ACS felügyeleti portálonkattintson a bal oldali fa Függő entitásalkalmazások elemre, vagy kattintson a Függő entitásalkalmazások hivatkozásra az Első lépések szakasz alatt. Ezután kattintson TestContosoApp a Függő entitásalkalmazások lapon.

2. A Függő entitás szerkesztése lapon válassza ManualGoogleRuleGroup a Hitelesítési beállítások szakaszban, majd kattintson a Mentésgombra.

   

Ezen a ponton minden Google-bejelentkezési kérés a tesztalkalmazásokhoz az új jogcímtípust fogja tartalmazni.

4. lépés: Annak tesztelése, hogy az alkalmazás képes-e kezelni a Tulajdonos jogcímtípus hozzáadását

Tesztelje az alkalmazást, hogy az megfelelően kezelje az új jogcímtípus (Tárgy) jelenlétét. Általában egy jól megírt alkalmazásnak robusztusnak kell lennie a jogkivonathoz hozzáadott új jogcímtípusokhoz. Keresse meg és javítsa ki a problémákat. A felhasználói azonosítók leképezéséhez kövesse a következő útmutatót is: A felhasználók meglévő Open ID 2.0-s azonosítóinak áttelepítése új OpenID Connect felhasználói azonosítók szakaszba.

5. lépés: Az éles környezet migrálása

Éles alkalmazás újraépítése és üzembe helyezése (ProdContosoApp). Migrálja a névteret (ns-contoso) a Google OpenID Connect-implementációjának használatához a migrálási útmutató lépéseit követve. Ellenőrizze, hogy ProdContosoApp a várt módon működik-e.