Megosztás a következőn keresztül:


Útmutató: Az első jogcímérzékeny ASP.NET alkalmazás létrehozása az ACS használatával

Frissítve: 2015. június 19.

A következőkre vonatkozik: Azure

Fontos

Az ACS-névterek áttelepíthetik Google-identitásszolgáltatói konfigurációikat az OpenID 2.0-ról az OpenID Csatlakozás. A migrálást 2015. június 1. előtt kell elvégezni. Részletes útmutatásért lásd: ACS-névterek migrálása a Google OpenID Csatlakozás. A migrálás végrehajtásáig ez az oktatóanyag egy másik identitásszolgáltató, például a Facebook használatával is elvégezhető.

Érvényesség

  • Microsoft Azure Active Directory Access Control (más néven Access Control Szolgáltatás vagy ACS)

Áttekintés

Ez a témakör az ACS egy ASP.NET függő entitásalkalmazással való integrálásának forgatókönyvét ismerteti. A webalkalmazás ACS-vel való integrálásával a hitelesítés és az engedélyezés funkcióit a kódból számítja ki. Más szóval az ACS biztosítja a felhasználók hitelesítésének és engedélyezésének mechanizmusát a webalkalmazásban.

Ebben a gyakorlatban az ACS egy Google-identitással hitelesíti a felhasználókat egy teszt ASP.NET függő entitás alkalmazásában.

Az ACS ASP.NET függő entitás alkalmazással való integrálásának lépései

Fontos

A következő lépések végrehajtása előtt győződjön meg arról, hogy a rendszer megfelel az ACS-előfeltételekben összefoglalt összes .NET-keretrendszer- és platformkövetelményeknek.

Ha az ACS-t egy ASP.NET függő entitás alkalmazásával szeretné integrálni, hajtsa végre az alábbi lépéseket:

  • 1. lépés – Access Control-névtér létrehozása

  • 2. lépés – Az ACS felügyeleti portáljának elindítása

  • 3. lépés – Identitásszolgáltatók hozzáadása

  • 4. lépés – Függő entitás alkalmazásának hozzáadása

  • 5. lépés – Szabályok létrehozása

  • 6. lépés – Az alkalmazásintegrációs információk áttekintése

  • 7. lépés – ASP.NET függő entitás alkalmazásának létrehozása

  • 8. lépés – Megbízhatóság konfigurálása az ACS és a ASP.NET függő entitásalkalmazás között

  • 9. lépés – Az ACS és a ASP.NET függő entitás alkalmazás közötti integráció tesztelése

1. lépés – Access Control-névtér létrehozása

A Access Control névtér létrehozásával kapcsolatos részletes utasításokért lásd: Access Control névtér létrehozása.

2. lépés – Az ACS felügyeleti portáljának elindítása

Az ACS felügyeleti portálon identitásszolgáltatók hozzáadásával, függő entitásalkalmazások konfigurálásával, szabályok és szabálycsoportok meghatározásával, valamint a függő entitásalkalmazás által megbízhatónak számító hitelesítő adatok létrehozásával konfigurálhatja a Access Control névteret.

Az ACS felügyeleti portál indítása

  1. Nyissa meg a Microsoft Azure felügyeleti portált (https://manage.WindowsAzure.com), jelentkezzen be, majd kattintson az Active Directoryra. (Hibaelhárítási tipp: Az "Active Directory" elem hiányzik vagy nem érhető el)

  2. Egy Access Control névtér kezeléséhez jelölje ki a névteret, majd kattintson a Kezelés gombra. (Vagy kattintson Access Control Névterek elemre, jelölje ki a névteret, majd kattintson a Kezelés gombra.)

3. lépés – Identitásszolgáltatók hozzáadása

Ez a szakasz bemutatja, hogyan adhat hozzá identitásszolgáltatókat a függő entitás alkalmazásához hitelesítéshez. Az identitásszolgáltatókkal kapcsolatos további információkért lásd: Identitásszolgáltatók.

Identitásszolgáltatók hozzáadása

  1. Az ACS felügyeleti portálon kattintson a bal oldali fa identitásszolgáltatók elemére, vagy kattintson a Első lépések szakasz identitásszolgáltatók hivatkozására.

  2. Az Identitásszolgáltatók lapon kattintson a Hozzáadás gombra, válassza ki a Google-t identitásszolgáltatóként, majd kattintson a Tovább gombra.

  3. Az Add Google Identity Provider (Google Identitásszolgáltató hozzáadása ) oldal kéri, hogy adja meg a bejelentkezési hivatkozás szövegét (alapértelmezés szerint a Google) és egy kép URL-címét. Ez az URL-cím egy képfájlra mutat, amely az identitásszolgáltató bejelentkezési hivatkozásaként használható. A mezők szerkesztése nem kötelező. Ebben a gyakorlatban ne szerkessze őket, kattintson a Mentés gombra.

4. lépés – Függő entitás alkalmazásának hozzáadása

Ez a szakasz egy függő entitás alkalmazásának hozzáadását és konfigurálását ismerteti. A függő entitások alkalmazásairól további információt a függő entitások alkalmazásai című témakörben talál.

Függő entitás alkalmazásának beállítása

  1. Az ACS felügyeleti portálon kattintson a bal oldali fa függő entitásalkalmazásaira, vagy kattintson a függő entitásalkalmazások hivatkozásra a Első lépések szakaszban.

  2. A Függő entitás alkalmazásai lapon kattintson a Hozzáadás gombra.

  3. A függő entitás alkalmazásának hozzáadása lapon tegye a következőket:

    • A Név mezőbe írja be a függő entitás alkalmazásának nevét. Ehhez a gyakorlathoz írja be a TestApp parancsot.

    • Módban válassza a Beállítások manuális megadása lehetőséget.

    • A Tartomány mezőbe írja be azt az URI-t, amelyre az ACS által kiadott biztonsági jogkivonat vonatkozik. Ehhez a gyakorlathoz írja be a következőt https://localhost:7777/: .

    • A Visszatérési URL-cím mezőbe írja be azt az URL-címet, amelybe az ACS visszaadja a biztonsági jogkivonatot. Ehhez a gyakorlathoz írja be a következőt https://localhost:7777/: .

    • A hiba URL-címében (nem kötelező) adja meg azt az URL-címet, amelyet az ACS közzé tud tenni, ha hiba történik a bejelentkezés során. Ebben a gyakorlatban hagyja üresen ezt a mezőt.

    • Token formátumban válassza ki az ACS-nek azt a jogkivonat-formátumot, amelyet a függő entitás alkalmazásának biztonsági jogkivonatok kiadásakor kell használnia. Ehhez a gyakorlathoz válassza az SAML 2.0-t. A jogkivonatokkal és a jogkivonat-formátumokkal kapcsolatos további információkért tekintse meg az ACS-ben támogatott jogkivonat-formátumokat és a függő entitások alkalmazásaiban a "Token Format" (Jogkivonat formátuma) című témakört.

    • A tokentitkosítási szabályzatban válasszon egy titkosítási szabályzatot az ACS által a függő entitás alkalmazásához kiadott jogkivonatokhoz. Ebben a gyakorlatban fogadja el a Nincs alapértelmezett értéket. A jogkivonat-titkosítási szabályzattal kapcsolatos további információkért tekintse meg a függő entitásalkalmazások tokentitkosítási szabályzatát.

    • A jogkivonat élettartama (másodperc) alatt adja meg az ACS által kiadott biztonsági jogkivonat érvényességének időtartamát. Ebben a gyakorlatban fogadja el az alapértelmezett 600 értéket. További információ: "Token Lifetime" (Jogkivonat élettartama) a függő entitások alkalmazásaiban.

    • Az identitásszolgáltatókban válassza ki azokat az identitásszolgáltatókat, amelyeket ezzel a függő entitásalkalmazással szeretne használni. Ebben a gyakorlatban fogadja el az ellenőrzött alapértelmezett értékeket (Google és Windows Live ID).

    • A szabálycsoportokban válassza ki a függő entitásalkalmazáshoz tartozó szabálycsoportokat, amelyeket a jogcímek feldolgozásakor használni szeretne. Ebben a gyakorlatban fogadja el az alapértelmezés szerint bejelölt Új szabálycsoport létrehozása elemet . A szabálycsoportokkal kapcsolatos további információkért lásd a Szabálycsoportok és szabályok című témakört.

    • A jogkivonat-aláírási Gépház szakaszban válassza ki, hogy az SAML-jogkivonatokat a Access Control névtér tanúsítványával vagy az alkalmazáshoz tartozó egyéni tanúsítvánnyal szeretné-e aláírni. Ebben a gyakorlatban fogadja el a Use service namespace certificate (standard) alapértelmezett értékét. További információ a jogkivonat-aláírásról: "Token Signing" in Relying Party Applications.

  4. Kattintson a Mentés gombra.

5. lépés – Szabályok létrehozása

Ez a szakasz azt ismerteti, hogyan definiálhat olyan szabályokat, amelyek meghatározzák, hogy a jogcímek hogyan legyenek átadva az identitásszolgáltatóktól a függő entitás alkalmazásának. A szabályokkal és szabálycsoportokkal kapcsolatos további információkért lásd: Szabálycsoportok és szabályok.

Szabályok létrehozása

  1. Az ACS felügyeleti portál kezdőlapján kattintson a bal oldali fában a Szabálycsoportok elemre, vagy kattintson a szabálycsoportok hivatkozásra a Első lépések szakaszban.

  2. A Szabálycsoportok lapon kattintson a TestApp alapértelmezett szabálycsoportjára (mivel elnevezte a függő entitás alkalmazását , a TestAppot).

  3. A Szabálycsoport szerkesztése lapon kattintson a Létrehozás gombra.

  4. A Szabályok létrehozása: A TestApp alapértelmezett szabálycsoportja lapon fogadja el az alapértelmezés szerint kiválasztott identitásszolgáltatókat (ebben a gyakorlatban a Google és Windows Live ID), majd kattintson a Létrehozás gombra.

  5. A Szabálycsoport szerkesztése lapon kattintson a Mentés gombra.

6. lépés – Az alkalmazásintegrációs információk áttekintése

A függő entitás alkalmazásának módosításához szükséges összes információt és kódot megtalálhatja az ACS-vel való együttműködéshez az ACS felügyeleti portál alkalmazásintegrációs oldalán.

Az alkalmazásintegrációs információk áttekintése

  • Az ACS felügyeleti portál kezdőlapján kattintson az Alkalmazásintegráció elemre a bal oldali fában, vagy kattintson az alkalmazásintegráció hivatkozásra a Első lépések szakaszban.

    Az Alkalmazásintegráció lapon megjelenő ACS URI-k egyediek a Access Control névtérben.

    Ebben a gyakorlatban azt javasoljuk, hogy a hátralévő lépések gyors végrehajtásához tartsa nyitva ezt a lapot.

7. lépés – ASP.NET függő entitás alkalmazásának létrehozása

Ez a szakasz bemutatja, hogyan hozhat létre egy ASP.Net függő entitás alkalmazását, amelyet végül integrálni szeretne az ACS-sel.

ASP.NET függő entitás alkalmazásának létrehozása

  1. A 2010-es Visual Studio futtatásához kattintson a Start menü, majd a Futtatás gombra, írja be a következő szöveget, majd nyomja le az Enter billentyűt:
    devenv.exe

  2. A Visual Studio kattintson a Fájl, majd az Új Project elemre.

  3. Az Új Project ablakban válassza a Visual Basic vagy a Visual C# sablont, majd válassza ASP.NET MVC 2 webalkalmazást.

  4. A Név mezőbe írja be a következő szöveget, majd kattintson az OK gombra:
    TestApp

  5. Az Egységteszt létrehozása Project válassza a Nem lehetőséget, ne hozzon létre egységteszt-projektet, majd kattintson az OK gombra.

  6. A Megoldáskezelő kattintson a jobb gombbal a TestApp elemre, majd válassza a Tulajdonságok parancsot.

  7. A TestApp tulajdonságok ablakában válassza a Web fület, a Use Visual Studio Development Server (Fejlesztési kiszolgáló használata) területen kattintson az Adott port elemre, majd módosítsa az értéket 7777 értékre.

  8. Az imént létrehozott alkalmazás futtatásához és hibakereséséhez nyomja le az F5 billentyűt. Ha nem található hiba, a böngésző üres MVC-projektet jelenít meg.

    A következő lépés végrehajtásához hagyja nyitva Visual Studio 2010-et.

8. lépés – Az ACS és a ASP.NET függő entitás alkalmazás közötti megbízhatóság konfigurálása

Ez a szakasz azt ismerteti, hogyan integrálható az ACS az előző lépésben létrehozott ASP.NET Függő entitás alkalmazással.

Megbízhatóság konfigurálása a ASP.NET függő entitásalkalmazás és az ACS között

  1. 2010 Visual Studio a TestApp Megoldáskezelő-ben kattintson a jobb gombbal a TestApp elemre, majd válassza az STS-referencia hozzáadása lehetőséget.

  2. Az Összevonási segédprogram varázslóban tegye a következőket:

    1. Az Összevonási segédprogram varázsló kezdőlapján, az Alkalmazás URI-jában adja meg az alkalmazás URI-ját, majd kattintson a Tovább gombra. Ebben a bemutatóban az alkalmazás URI-ja .https://localhost:7777/

      Megjegyzés

      A záró perjel azért fontos, mert megegyezik a függő entitásalkalmazás ACS felügyeleti portálján megadott értékkel. További információ: 4. lépés – Függő entitás alkalmazásának hozzáadása.

    2. Megjelenik egy figyelmeztetés: Id 1007: Az alkalmazás nem biztonságos HTTPS-kapcsolaton fut. Folytatja? Ehhez a bemutatóhoz kattintson az Igen gombra.

      Megjegyzés

      Éles környezetben az SSL használatára vonatkozó figyelmeztetés érvényes, ezért nem szabad elvetni.

    3. A Biztonságijogkivonat-szolgáltatás lapon válassza a Meglévő STS használata lehetőséget, adja meg az ACS által közzétett WS-Federation metaadatok URL-címét, majd kattintson a Tovább gombra.

      Megjegyzés

      A WS-Federation metaadatok URL-címének értékét az ACS felügyeleti portál alkalmazásintegrációs oldalán találja. További információ: 6. lépés – Az alkalmazásintegrációs információk áttekintése.

    4. Az STS aláíró tanúsítványlánc érvényesítési hibalapján kattintson a Tovább gombra.

    5. A Biztonsági jogkivonat titkosítása lapon kattintson a Tovább gombra.

    6. A Felajánlott jogcímek lapon kattintson a Tovább gombra.

    7. Az Összegzés lapon kattintson a Befejezés gombra.

    Miután sikeresen befejezte az Összevonási segédprogram varázsló futtatását, hozzáad egy hivatkozást a Microsoft.IdentityModel.dll szerelvényhez, és értékeket ír a Web.config fájlba, amely konfigurálja az Windows Identity Foundation szolgáltatást az ASP.NET MVC 2 webalkalmazásban (TestApp).

  3. Nyissa meg Web.config, és keresse meg a system.web fő elemet. Az alábbihoz hasonlóan nézhet ki:

    <system.web>
        <authorization>
          <deny users="?" />
        </authorization>
    

    Módosítsa Web.config úgy, hogy engedélyezze a kérések érvényesítését a következő kód hozzáadásával a system.web fő eleméhez:

        <!--set this value-->
        <httpRuntime requestValidationMode="2.0"/>
    
    

    A frissítés végrehajtása után a fenti kódrészletnek így kell kinéznie:

    
       <system.web>
        <!--set this value-->
        <httpRuntime requestValidationMode="2.0"/>
        <authorization>
        <deny users="?" />
        </authorization>
    

9. lépés – Az ACS és a ASP.NET függő entitás alkalmazása közötti integráció tesztelése

Ez a szakasz azt ismerteti, hogyan tesztelheti a függő entitásalkalmazás és az ACS közötti integrációt.

A ASP.NET függő entitásalkalmazás és az ACS közötti integráció tesztelése

  1. Ha nyitva tartja Visual Studio 2010-et, nyomja le az F5 billentyűt a ASP.NET függő entitásalkalmazás hibakeresésének megkezdéséhez.

    Ha nem talál hibát, az alapértelmezett MVC-alkalmazás megnyitása helyett a böngésző átirányítja a böngészőt egy, az ACS által üzemeltetett Home Realm Discovery oldalra, amely egy identitásszolgáltató kiválasztását kéri.

  2. Válassza a Google lehetőséget.

    A böngésző ezután betölti a Google bejelentkezési oldalát.

  3. Adja meg a teszt Google hitelesítő adatait, és fogadja el a Google webhelyén megjelenő hozzájárulási felhasználói felületet.

    A böngésző ezután visszaküldi a bejegyzéseket az ACS-nek, az ACS kiad egy jogkivonatot, és közzéteszi a jogkivonatot az MVC-webhelyen.

Lásd még:

Alapelvek

Az ACS útmutatója