Condividi tramite

Procedura: Configurare AD FS 2.0 come provider di identità

  • Articolo

Aggiornamento: 19 giugno 2015

Si applica a: Azure

Si applica a

  • Microsoft Azure Active Directory Access Control (anche noto come Servizio di controllo di accesso o ACS)

  • Active Directory® Federation Services 2.0

Riepilogo

In questo articolo viene descritto come configurare come provider di identità. La configurazione come provider di identità per l'applicazione Web ASP.NET consente agli utenti di eseguire l'autenticazione all'applicazione Web ASP.NET accedendo al proprio account aziendale gestito da Active Directory.

Contenuto

  • Obiettivi

  • Panoramica

  • Riepilogo dei passaggi

  • Passaggio 1: Aggiungere ADFS 2.0 come provider di identità nel portale di gestione ACS

  • Passaggio 2: Aggiungere un certificato in ACS per la decrittografia dei token ricevuti da ADFS 2.0 nel portale di gestione ACS (facoltativo)

  • Passaggio 3 - Aggiungere lo spazio dei nomi Controllo di accesso come relying party in AD FS 2.0

  • Passaggio 4 - Aggiungere regole attestazioni per lo spazio dei nomi Controllo di accesso in AD FS 2.0

Obiettivi

  • Configurazione dell'attendibilità tra ACS e .

  • Miglioramento della sicurezza dello scambio di token e metadati.

Panoramica

La configurazione come provider di identità consente di riutilizzare gli account esistenti gestiti da Active Directory aziendale per l'autenticazione. Questo approccio elimina la necessità di creare meccanismi complessi di sincronizzazione degli account o di sviluppare codice personalizzato per l'esecuzione delle attività di accettazione delle credenziali dell'utente finale, convalida di tali credenziali rispetto all'archivio delle credenziali e gestione delle identità. L'integrazione di ACS e viene eseguita solo dalla configurazione: non è necessario alcun codice personalizzato.

Riepilogo dei passaggi

  • Passaggio 1: Aggiungere ADFS 2.0 come provider di identità nel portale di gestione ACS

  • Passaggio 2: Aggiungere un certificato in ACS per la decrittografia dei token ricevuti da ADFS 2.0 nel portale di gestione ACS (facoltativo)

  • Passaggio 3 - Aggiungere lo spazio dei nomi Controllo di accesso come relying party in AD FS 2.0

  • Passaggio 4 - Aggiungere regole attestazioni per lo spazio dei nomi Controllo di accesso in AD FS 2.0

Passaggio 1: Aggiungere ADFS 2.0 come provider di identità nel portale di gestione ACS

Questo passaggio aggiunge come provider di identità nel portale di gestione di ACS.

Per aggiungere AD FS 2.0 come provider di identità nello spazio dei nomi Controllo di accesso

  1. Nella pagina principale del portale di gestione di ACS fare clic su Provider di identità.

  2. Fare clic su Add Identity Provider.

  3. Accanto a Microsoft Active Directory Federation Services 2.0 fare clic su Add.

  4. Nel campo Display name immettere un nome visualizzato per il provider di identità. Questo nome verrà visualizzato nel portale di gestione ACS e, per impostazione predefinita, nelle pagine di accesso per le applicazioni.

  5. Nel campo metadati WS-Federation immettere l'URL del documento dei metadati per l'istanza o usare l'opzione File per caricare una copia locale del documento dei metadati. Quando si usa un URL, il percorso URL del documento dei metadati è disponibile nella sezione Service\Endpoints della Console di gestione. I due passaggi successivi riguardano le opzioni della pagina di accesso per le applicazioni relying party e possono essere ignorati perché sono facoltativi.

  6. Se si vuole modificare il testo visualizzato per il provider di identità nelle pagine di accesso per le applicazioni, immettere il testo desiderato nel campo Login link text.

  7. Se si vuole visualizzare un'immagine per il provider di identità nelle pagine di accesso per le applicazioni, immettere un URL di un file di immagine nel campo Image URL. Idealmente, questo file di immagine deve essere ospitato in un sito attendibile (usando HTTPS, se possibile, per evitare avvisi di sicurezza del browser) e si dovrebbe avere l'autorizzazione dal partner per visualizzare questa immagine. Per altre indicazioni sulle impostazioni della pagina di accesso, vedere la Guida su Pagine di accesso e Individuazione area home .

  8. Se si vuole richiedere agli utenti di accedere usando l'indirizzo e-mail anziché facendo clic su un collegamento, immettere i suffissi di dominio e-mail da associare a questo provider di identità nel campo Email domain name(s). Ad esempio, se il provider di identità ospita gli account utente i cui indirizzi di posta elettronica terminano con @contoso.com, immettere contoso.com. Usare i punti e virgola per separare l'elenco di suffisso , ad esempio contoso.com; fabrikam.com. Per altre indicazioni sulle impostazioni della pagina di accesso, vedere la Guida su Pagine di accesso e Individuazione area home .

  9. Nel campo Relying party applications selezionare tutte le applicazioni relying party esistenti da associare al provider di identità. In questo modo, il provider di identità viene visualizzato nella pagina di accesso per l'applicazione e le attestazioni possono essere recapitate dal provider di identità all'applicazione. È comunque necessario aggiungere regole al gruppo di regole dell'applicazione per definire le attestazioni da recapitare.

  10. Fare clic su Salva.

Passaggio 2: Aggiungere un certificato in ACS per la decrittografia dei token ricevuti da ADFS 2.0 nel portale di gestione ACS (facoltativo)

Questo passaggio permette di aggiungere e configurare un certificato per decrittografare i token ricevuti da . Si tratta di un passaggio facoltativo che contribuisce a rafforzare la sicurezza. In particolare, questo passaggio aiuta a proteggere il contenuto del token dalla visualizzazione e dalla manomissione.

Per aggiungere un certificato allo spazio dei nomi Controllo di accesso per decrittografare i token ricevuti da AD FS 2.0 (facoltativo)

  2. Se non si è autenticati usando Windows Live ID (account Microsoft), sarà necessario eseguire questa operazione.

  3. Dopo l'autenticazione con il Windows Live ID (account Microsoft), si viene reindirizzati alla pagina Progetti personali nel portale di Microsoft Azure.

  4. Fare clic sul nome di progetto desiderato nella pagina My Project.

  5. Nella pagina Project:<<nome progetto>> fare clic sul collegamento Controllo di accesso accanto allo spazio dei nomi desiderato.

  6. Nella pagina Controllo di accesso Impostazioni: <<lo spazio dei nomi>> fare clic sul collegamento Gestisci Controllo di accesso.

  7. Nella pagina principale del portale di gestione ACS fare clic su Certificates and Keys.

  8. Fare clic su Add Token Decryption Certificate.

  9. Nel campo Name immettere un nome visualizzato per il certificato.

  10. Nel campo Certificato cercare il certificato X.509 con una chiave privata (file pfx) per questo spazio dei nomi Controllo di accesso e quindi immettere la password per il file pfx nel campo Password. Se non si dispone di un certificato, seguire le istruzioni sullo schermo per generare una o vedere la Guida su Certificati e chiavi per altre indicazioni su come ottenere un certificato.

  11. Fare clic su Salva.

Passaggio 3 - Aggiungere lo spazio dei nomi Controllo di accesso come relying party in AD FS 2.0

Questo passaggio consente di configurare ACS come relying party in .

Per aggiungere lo spazio dei nomi Controllo di accesso come relying party in AD FS 2.0

  1. Nella console di gestione fare clic su AD FS 2.0 e quindi, nel riquadro Azioni , fare clic su Aggiungi trust di relying party per avviare la Creazione guidata trust di Relying Party.

  2. Nella pagina iniziale fare clic Avvia.

  3. Nella pagina Seleziona origine dati fare clic su Importa dati sulla relying party pubblicata online o su una rete locale, digitare il nome dello spazio dei nomi Controllo di accesso e quindi fare clic su Avanti.

  4. Nella pagina Specify Display Name immettere un nome visualizzato e quindi fare clic su Next.

  5. Nella pagina Choose Issuance Authorization Rules fare clic su Permit all users to access this Relying Party e quindi fare clic su Next.

  6. Nella pagina Ready to Add Trust controllare le impostazioni di attendibilità della relying party e quindi fare clic su Next per salvare la configurazione.

  7. Nella pagina Finish fare clic su Close per chiudere la procedura guidata. Verrà anche visualizzata la pagina delle proprietà Edit Claim Rules for WIF Sample App. Lasciare aperta questa finestra di dialogo e quindi passare alla procedura successiva.

Passaggio 4 - Aggiungere regole attestazioni per lo spazio dei nomi Controllo di accesso in AD FS 2.0

Questo passaggio permette di configurare regole attestazioni in . In questo modo, assicurarsi che le attestazioni desiderate vengano passate da a ACS.

Per aggiungere regole attestazioni per lo spazio dei nomi Controllo di accesso in AD FS 2.0

  1. Nella scheda Issuance Transform Rules della pagina delle proprietà Edit Claim Rules fare clic su Add Rule per avviare la procedura guidata per l'aggiunta di regole attestazioni di trasformazione.

  2. In Claim rule template nella pagina Select Rule Template scegliere Pass Through or Filter an Incoming Claim dal menu e quindi fare clic su Avanti.

  3. In Claim rule name nella pagina Configure Rule digitare un nome visualizzato per la regola.

  4. Nell'elenco a discesa Incoming claim type selezionare il tipo di attestazione di identità di cui si vuole eseguire il pass-through all'applicazione e quindi fare clic su Finish.

  5. Fare clic su OK per chiudere la pagina delle proprietà e salvare le modifiche apportate all'attendibilità della relying party.

  6. Ripetere i passaggi da 1 a 5 per ogni attestazione da cui si vuole eseguire il problema dallo spazio dei nomi Controllo di accesso.

  7. Fare clic su OK.