Procedure: Een Azure AD-tenant toevoegen als id-provider

Bijgewerkt: 19 juni 2015

Van toepassing op: Azure

Van toepassing op

• Microsoft Azure Active Directory Access Control (ook wel bekend als Access Control Service of ACS)

Overzicht

In dit onderwerp wordt uitgelegd hoe u een ad-tenant (Azure Active Directory) toevoegt aan de lijst met id-providers in uw Access Control naamruimte. Met deze functie kunt u de tenant als id-provider gebruiken voor toepassingen die zijn gekoppeld aan de naamruimte.

Het proces heeft twee belangrijke elementen:

1. Voeg de Access Control naamruimte toe aan de Azure AD-tenant als web-app. Hierdoor kan de naamruimte (web-app) tokens ontvangen van Azure AD.

2. Voeg de Azure AD tenant toe aan de Access Control naamruimte als id-provider.

De resterende stappen zijn gebruikelijk voor alle id-providers in ACS. U kunt relying party-toepassingen en -regels toevoegen die bepalen welke identiteitsclaims worden doorgegeven van id-providers aan de relying party-toepassingen.

Vereisten

Voor de instructies in dit onderwerp is het volgende vereist:

1. Een Azure-abonnement. Zie Aan de slag met Azure voor meer informatie.

2. Een Azure Access Control-naamruimte. Zie Voor hulp: Een Access Control naamruimte maken.

3. Visual Studio 2012

Samenvatting van de stappen

Voer de volgende stappen uit om een Azure AD tenant toe te voegen als id-provider:

• Stap 1: de naam van de Access Control naamruimte zoeken

• Stap 2: De Access Control-naamruimte toevoegen als een webtoepassing

• Stap 3: de Azure AD tenant-id-provider toevoegen aan de Access Control-naamruimte

• Stap 4: De Azure AD tenant-id-provider gebruiken met uw app

Stap 1: de naam van de Access Control naamruimte zoeken

In deze stap kopiëren we de naamruimtenaam voor gebruik in de volgende stap. U hebt de naamruimtenaam nodig om aan te geven dat tokens moeten worden verzonden naar het eindpunt dat WS-Federation aanmeldingsreacties ontvangt.

Hoewel de naamruimte-URL zich in een veld bevindt met het label Beheerportal, worden de tokens verzonden naar het opgegeven eindpunt, niet naar de portal.

1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

2. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

3. Klik op Toepassingsintegratie.

4. Kopieer de waarde van het veld Beheerportal .

   De URL in het veld Beheerportal heeft de volgende indeling:

   < https:// Namespace.accesscontrol.windows.net/>

   Sla de waarde op. U hebt deze nodig in de volgende stap.

De waarde van het veld Beheerportal is de naamruimtenaam en de URL van het eindpunt dat WS-Federation aanmeldingsreacties ontvangt.

Stap 2: De Access Control-naamruimte toevoegen als een webtoepassing

In deze stap gebruikt u de functies van Azure Management Portal om de Access Control naamruimte toe te voegen als een webtoepassing in de Azure AD-tenant. Hierdoor wordt de tenant een ontvanger van de tokens die Azure AD gegenereerd.

1. Ga naar azure Management Portal en meld u aan. Klik op Active Directory, klik op een map, klik op Toepassingen en klik vervolgens op Toevoegen.

   

2. voer een naam voor de app in. Selecteer in het veld Typewebtoepassing en/of web-API (de standaardinstelling). Klik op de pijl om door te gaan.

   

3. Plak in de tekstvakken App-URL en App ID-URI de URL die zich in het veld Beheerportal bevindt op de pagina Toepassingsintegratie . Klik op de pijl om door te gaan.

   De APP-URL is het adres waarnaar het token wordt verzonden wanneer een gebruiker wordt geverifieerd. De app-id-URI is de doelgroep waarop het token is gericht. Als we een andere waarde dan de entityID van de Access Control naamruimte hebben gebruikt, wordt deze door ACS geïnterpreteerd als een token dat opnieuw wordt gebruikt van een man-in-the-middle-aanval.

   Wanneer u plakt, moet u ervoor zorgen dat u geen volgspaties of extra tekens na de laatste slash (/) opneemt. Anders markeert Azure AD de URL als ongeldig.

   

4. Selecteer op de pagina Directory Access de standaardinstelling eenmalige aanmelding. Omdat ACS de Graph API niet aanroept, wordt de instelling niet gebruikt. Als u het proces wilt voltooien, klikt u op het vinkje.

   Op dit moment weet uw Azure AD tenant over uw Access Control naamruimte en kan er tokens voor uitgeven.

   

5. Kopieer op de laatste pagina de URL van de federatieve metagegevens. U hebt het over een paar minuten nodig.

   Ga als volgt te werk om terug te keren naar deze pagina:

   • Ga naar azure Management Portal en meld u aan.

   • Klik op een Azure-map.

   • Klik op Toepassingen.

   • Klik op de toepassing.

   De URL voor federatieve metagegevens wordt ook weergegeven op de pagina App-eindpunten voor de toepassing. Als u deze pagina wilt weergeven, klikt u op de pagina Toepassing op Eindpunten weergeven.

   

Stap 3: de Azure AD tenant-id-provider toevoegen aan de Access Control-naamruimte

In deze stap voegt u de beveiligingstokenservice (STS) voor de Azure AD-tenant toe aan de Access Control naamruimte.

1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

2. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

   Met deze actie opent u de ACS-beheerportal voor de Access Control naamruimte.

   

3. Klik op Id-providers en klik vervolgens op Toevoegen.

4. Selecteer WS-Federation id-provider en klik vervolgens op Volgende.

   

5. Voer een weergavenaam en aanmeldingskoppelingstekst in. Er zijn geen speciale vereisten voor deze waarden.

6. Klik in de sectie WS-Federation metagegevens op URL en plak de URL voor federatieve metagegevens die u hebt gekopieerd van de toepassingspagina. Klik vervolgens op Opslaan.

   Een ander handig veld op deze pagina is het veld Aanmeldingskoppelingstekst . De waarde van dat veld wordt weergegeven in de lijst met id-providers die aan gebruikers worden aangeboden wanneer ze zich aanmelden bij de toepassing.

   

Stap 4: De Azure AD tenant-id-provider gebruiken met uw app

De Azure AD-tenant is nu geregistreerd als id-provider voor de Access Control naamruimte. In zekere zin is onze taak voltooid. In deze stap laten we u echter zien hoe u de nieuwe id-provider kunt gebruiken door deze toe te voegen aan het aanbod van id-providers voor een webtoepassing.

Als u de nieuwe id-provider voor uw app wilt selecteren, gebruikt u de standaardprocedure:

1. Startmenu Visual Studio 2012 en open een webtoepassing.

2. Klik in Solution Explorer met de rechtermuisknop op de naam van de app en klik vervolgens op Identiteit en Toegang.

3. Klik op het tabblad Providers op Azure Access Control Service gebruiken.

4. Als u de app wilt koppelen aan een Access Control naamruimte, hebt u de beheersleutel voor de naamruimte nodig. U kunt het als volgt vinden.

   1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

   2. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

   3. Klik op Management Service, klik op Beheerclient en klik vervolgens op Symmetrische sleutel.

   4. Klik op Sleutel weergeven, kopieer de sleutelwaarde en klik vervolgens op Sleutel verbergen.

5. Voer nu in het dialoogvenster Visual Studio ACS-naamruimte configureren de naam van de Access Control naamruimte in en plak de waarde van de beheersleutel.

   

6. Selecteer vervolgens de Azure AD tenant-id-provider in de lijst met id-providers in de naamruimte.

   

7. Wanneer u de app uitvoert, bevat een aanmeldingsdialoogvenster de Azure AD tenant-id-provider onder de keuzes van de id-provider. (De naam die op deze pagina wordt weergegeven, wordt gedefinieerd in het veld Tekst voor aanmeldingskoppeling op de pagina instellingen van de id-provider.)

   

8. Selecteer de Azure AD tenant en meld u vervolgens aan met uw organisatieaccount.

   

U hebt nu toegang tot uw toepassing. De verificatietokens worden doorgestuurd naar de Azure AD-tenant als id-provider.

Zie ook

Concepten

ACS-instructies