ACS-naamruimten migreren naar Google OpenID Verbinding maken
Dit onderwerp is bedoeld voor eigenaren van Access Control Service (ACS) 2.0-naamruimten die momenteel Google gebruiken als id-provider. ACS biedt deze mogelijkheid met behulp van de OpenID 2.0-implementatie van Google. Google is van plan om openID 2.0-ondersteuning tegen 20 april 2015 te beëindigen. ACS-naamruimten blijven werken met de OpenID 2.0-implementatie van Google tot en met 1 juni 2015, waarna u de migratie van deze naamruimten moet voltooien om de OpenID van Google te gebruiken Verbinding maken implementatie of gebruikers zich niet meer kunnen aanmelden bij uw toepassing met een Google-account. Als u uw ACS-naamruimten migreert naar OpenID Verbinding maken leidt dit niet tot uitvaltijd van toepassingen. Met één uitzondering (zie de opmerking hieronder), is deze migratie mogelijk zonder toepassingscode te wijzigen. Nadat u uw ACS-naamruimten hebt gemigreerd om OpenID-Verbinding maken te gebruiken, moet u de id's van uw gebruikers in uw back-end migreren naar OpenID Verbinding maken-id's. Deze migratie moet worden voltooid op 1 januari 2017. Hiervoor zijn codewijzigingen in uw back-end vereist. Zie de belangrijke opmerking hieronder voor meer informatie over beide fasen van de migratie.
Belangrijk
Let op de volgende belangrijke datums en voltooi de acties die voor elke datum zijn vereist om ervoor te zorgen dat uw ACS-naamruimten die Gebruikmaken van Google als id-provider blijven werken:
- 1 juni 2015 - ACS-naamruimten werken niet meer met de OpenID 2.0-implementatie van Google. U moet de migratie van de ACS-naamruimte voltooien om Google OpenID te kunnen gebruiken Verbinding maken op deze datum. Voor deze datum kunt u terugkeren naar OpenID 2.0 als u problemen ondervindt tijdens de migratie. Voor naamruimten die niet zijn gemigreerd op deze datum, kunnen gebruikers zich niet meer aanmelden met een Google-account en krijgen ze een pagina te zien die aangeeft dat OpenID 2.0 voor Google-accounts is verdwenen. Als u de aanmeldingsmogelijkheid met Google-accounts wilt herstellen, moet u de naamruimte migreren.
In de meeste gevallen hoeven er geen wijzigingen in de toepassingscode te worden aangebracht. Als u de regel 'passthrough alle claims' voor Google hebt als id-provider in een regelgroep die is gekoppeld aan uw toepassing, moet u mogelijk codewijzigingen aanbrengen. Dit komt doordat bij migratie een nieuw claimtype (Onderwerp) beschikbaar wordt voor ACS van Google en u mogelijk codewijzigingen moet aanbrengen om ervoor te zorgen dat uw toepassing de aanwezigheid van het nieuwe claimtype probleemloos kan verwerken. Als u de migratie wilt voltooien, hoeft u het nieuwe claimtype niet in uw toepassing te verwerken.
- 1 januari 2017 – Google OpenID 2.0 en OpenID Verbinding maken implementaties gebruiken verschillende id's om Google-gebruikers uniek te identificeren. Wanneer u uw ACS-naamruimte migreert, maakt ACS twee id's, zowel de huidige OpenID 2.0-id als de nieuwe OpenID-Verbinding maken-id, beschikbaar voor uw toepassing. U moet op deze datum de id's van uw gebruikers in uw back-endsysteem wijzigen in OpenID Verbinding maken-id's en alleen OpenID Verbinding maken-id's gebruiken. Hiervoor zijn wijzigingen in de toepassingscode vereist.
U kunt vragen over migratie op Stack Overflow plaatsen en deze taggen met 'acs-google'. We zullen zo snel mogelijk reageren.
Zie de OpenID 2.0-migratiehandleiding voor meer informatie over de abonnementen van Google.
Controlelijst voor migratie
De volgende tabel bevat een controlelijst met een overzicht van de stappen die nodig zijn om uw ACS-naamruimte te migreren voor het gebruik van de OpenID-Verbinding maken-implementatie van Google:
| Stap | Beschrijving | Moet worden voltooid door |
|---|---|---|
1 |
Maak een Google+-toepassing in de Google Developers Console. |
1 juni 2015 |
2 |
Als u beschikt over de regel 'passthrough all claims' voor Google als id-provider in een regelgroep die is gekoppeld aan uw toepassing, test u uw toepassing om ervoor te zorgen dat deze gereed is voor migratie; anders is deze stap optioneel. |
1 juni 2015 |
3 |
Gebruik de ACS-beheerportal om uw ACS-naamruimte te wijzigen om de OpenID-Verbinding maken-implementatie van Google te gebruiken door deze op te geven met de parameters van uw Google+-toepassing (client-id en clientgeheim). Als u problemen ondervindt met uw migratie, kunt u terugkeren naar OpenID 2.0 tot 1 juni 2015. |
1 juni 2015 |
4 |
Migreer de id's van uw gebruikers in uw back-endsysteem van de huidige Google OpenID 2.0-id's naar de nieuwe Google OpenID Verbinding maken-id's. Hiervoor zijn codewijzigingen vereist. |
1 januari 2017 |
Overzicht van migratie
Voer de volgende stappen uit om uw ACS-naamruimte te migreren om de OpenID-Verbinding maken-implementatie van Google te gebruiken:
Een Google+-toepassing maken
Zie de sectie Procedure: Een Google+-toepassing maken voor gedetailleerde instructies.
Zorg ervoor dat uw toepassing gereed is voor migratie
Als u de regel 'passthrough all claims' voor Google hebt als id-provider in een regelgroep die is gekoppeld aan uw toepassing, volgt u de instructies in de sectie Procedure: Zorg ervoor dat de migratiegereedheid van een ACS-toepassing wordt gecontroleerd om uw toepassing te testen op migratiegereedheid. Dit komt doordat bij migratie een nieuw claimtype (Onderwerp) beschikbaar komt voor ACS van Google.
Notitie
Een regel 'passthrough all claims' is een regel waarbij invoerclaimtype en invoerclaimwaarde zijn ingesteld op Any en Output claim type en Output claim value worden ingesteld op Pass through first input claim type en Pass through input claim value respectievelijk. De regel wordt vermeld in de ACS-beheerportal , zoals hieronder wordt weergegeven, waarbij de kolom Uitvoerclaim is ingesteld op Passthrough.
.png "Passthrough rule")
Als u eerder regels hebt gegenereerd of regels handmatig hebt toegevoegd voor Google als id-provider in een regelgroep die is gekoppeld aan uw toepassing, kunt u deze stap overslaan. Dit komt doordat bij de migratie het nieuwe claimtype Onderwerp niet naar de toepassing wordt verzonden.
Zie Regelgroepen en regels voor meer informatie over deze opties.
De ACS-naamruimte wijzigen om de OpenID-Verbinding maken-implementatie van Google te gebruiken
Ga naar de Microsoft Azure-beheerportal, meld u aan en klik op Active Directory. Selecteer de ACS-naamruimte die moet worden gemigreerd en klik op Beheren om de ACS-beheerportal te starten.
Klik in de ACS-beheerportal op Id-providers in de structuur aan de linkerkant of klik op de koppeling Identity Providers onder de sectie Aan de slag. Klik op Google.
.png "Access Control Service Identity Providers Dialog")
Schakel op de pagina Google Identity Provider bewerkenhet selectievakje OpenID-Verbinding maken gebruiken in.
.png "Edit Google Identity Provider dialog")
Kopieer in de velden Client-id en Clientgeheim (nu ingeschakeld) de bijbehorende waarden uit uw Google+-toepassing.
.png "Edit Google Identity Provider dialog")
Notitie
Als u nu op Opslaan klikt, worden alle Aanvragen van google-id-providers van uw ACS-naamruimte automatisch gebruikt voor de OpenID van Google Verbinding maken implementatie. Als u wilt terugdraaien, schakelt u OpenID-Verbinding maken gebruiken uit. De client-id en het clientgeheim blijven opgeslagen en kunnen later opnieuw worden gebruikt.
Klik op Opslaan.
Probeer u aan te melden met een Google-id om ervoor te zorgen dat de overstap naar het gebruik van OpenID Verbinding maken is geslaagd. Als u problemen ondervindt met aanmelden, gaat u terug naar de pagina Google Identity Provider bewerken en schakelt u OpenID-Verbinding maken gebruiken uit om terug te keren naar OpenID 2.0. Nadat u de client-id en het geheim hebt teruggedraaid, controleert u of de client-id en het geheim dat u hebt gekopieerd uit de Google Developer Console correct zijn ingevoerd voor uw naamruimte; Controleer bijvoorbeeld op typfouten.
Migreer de id's van uw gebruikers in uw back-endsysteem van Open ID 2.0 naar OpenID Verbinding maken
U moet de id's van uw gebruikers in uw back-endsysteem migreren van de bestaande Google Open ID 2.0-id's naar de nieuwe Google OpenID Verbinding maken-id's vóór 1 januari 2017. Voor deze stap zijn codewijzigingen vereist. Zie Procedure voor meer informatie: de bestaande Open ID 2.0-id's van uw gebruikers migreren naar nieuwe OpenID-id's Verbinding maken gebruikers-id's
Procedure: Een Google+-toepassing maken
U hebt een Google-account nodig om de volgende stappen uit te voeren; Als je er geen hebt, kun je er een krijgen op https://accounts.google.com/SignUp.
Navigeer in een browservenster naar de Google Developers-console en meld u aan met uw Google-accountreferenties.
Klik op Project maken en voer een Project naam en Project-id in. Schakel het selectievakje Servicevoorwaarden in. Klik vervolgens op Maken. Hiermee wordt de toepassing geregistreerd bij Google.
.png "Google Developer Console New Project dialog")
Klik op VERIFICATIE van API's & in het linkerdeelvenster. Klik vervolgens op Referenties. Klik onder OAuth op Nieuwe client-id maken. Selecteer Webtoepassing en klik op Toestemmingsscherm configureren. Geef een productnaam op en klik op Opslaan.
.png "Google Developer Console Consent screen")
Klik op VERIFICATIE van API's & in het linkerdeelvenster. Klik vervolgens op API's. Zoek en zoek google+API onder Bladeren-API's. Schakel de statusin op AAN.
.png "Google Developer Console Browse APIs")
Selecteer in het dialoogvenster Client-id maken de webtoepassing als het toepassingstype.
Geef in het veld Geautoriseerde JavaScript Origins de FQDN-URL (Fully Qualified Domain Name) van uw naamruimte op, inclusief de voorloopnaam 'HTTPS://' en het volgpoortnummer; bijvoorbeeld https://contoso.accesscontrol.windows.net:443.
Geef in het veld Geautoriseerde omleidings-URI's een URI op die de FQDN-URL (Fully Qualified Domain Name) van uw naamruimte bevat, inclusief de voorloopnaam 'HTTPS://' en het volgpoortnummer, gevolgd door '/v2/openid'; bijvoorbeeld https://contoso.accesscontrol.windows.net:443/v2/openid.
Klik op Client-id maken.
.png "Google Developer Console Create Client ID screen")
Noteer de waarden van de client-id en het clientgeheim van de client-id voor de webpagina van de webtoepassing . U hebt ze nodig om de OpenID-Verbinding maken-implementatie van Google te configureren in de ACS-beheerportal.
.png "Google Developer Console Client ID for Web App")
Belangrijk
Clientgeheim is een belangrijke beveiligingsreferentie. Bewaar het geheim.
Procedure: de bestaande Open ID 2.0-id's van uw gebruikers migreren naar nieuwe OpenID Verbinding maken gebruikers-id's
Nadat u uw ACS-naamruimte hebt gemigreerd om de OpenID-Verbinding maken-implementatie van Google te gebruiken, hebt u tot 1 januari 2017 (volgens de OpenID 2.0-migratiehandleiding van Google) om de id's van uw gebruikers in uw back-endsysteem te migreren van de huidige OpenID 2.0-id's naar de nieuwe OpenID Verbinding maken-id's.
In de volgende tabel ziet u claimtypen die beschikbaar komen voor ACS van Google zodra de ACS-naamruimte is gemigreerd om de OpenID-Verbinding maken-implementatie van Google te gebruiken:
| Claimtype | URI | Description | Beschikbaarheid van protocol |
|---|---|---|---|
Naam-id |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
Een unieke id voor het gebruikersaccount, geleverd door Google. Dit is de (bestaande) OpenID 2.0-id. |
OpenID 2.0, OpenID-Verbinding maken |
Onderwerp |
https://schemas.microsoft.com/identity/claims/subject |
Een unieke id voor het gebruikersaccount, geleverd door Google. Dit is de (nieuwe) OpenID Verbinding maken-id. |
OpenID Connect |
Name |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
De weergavenaam voor het gebruikersaccount, geleverd door Google. |
OpenID 2.0, OpenID-Verbinding maken (zie de opmerking hieronder) |
E-mailadres |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Het e-mailadres voor het gebruikersaccount, geleverd door Google |
OpenID 2.0, OpenID-Verbinding maken |
Identiteitsprovider |
https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider |
Een claim van ACS die de relying party-toepassing vertelt dat de gebruiker is geverifieerd met behulp van de standaard Google-id-provider. De waarde van deze claim is zichtbaar in de ACS-beheerportal via het veld Realm op de pagina Id-provider bewerken. |
OpenID 2.0, OpenID-Verbinding maken |
Notitie
Voor een Google-gebruiker die geen (geregistreerd) Google+-profiel heeft, is de waarde van het claimtype Naam hetzelfde als de waarde van het claimtype e-mailadres in OpenID Verbinding maken.
De naam-id en de typen onderwerpclaims kunnen worden gebruikt om de unieke id's van bestaande gebruikers in uw back-end bij te houden en over te schakelen door (oude) OpenID 2.0-id's toe te voegen aan (nieuwe) OpenID-Verbinding maken-id's.
Als u beschikt over de regel 'passthrough all claims' voor Google als id-provider in een regelgroep die aan uw toepassing is gekoppeld, ontvangt uw toepassing automatisch het claimtype Onderwerp .
Als u eerder regels hebt gegenereerd of regels handmatig hebt toegevoegd voor Google als id-provider in een regelgroep die is gekoppeld aan uw toepassing, moet u het claimtype Onderwerp handmatig toevoegen. Zie Regelgroepen en regels voor meer informatie over hoe u dit doet.
.png "Input Claim Configuration")
Als u bijvoorbeeld eerder regels voor Google hebt gegenereerd als id-provider in een regelgroep en vervolgens het nieuwe claimtype Onderwerp (zoals hierboven weergegeven) hebt toegevoegd, ziet u het volgende.
.png "Google passthrough claims")
De toepassing die deze regelgroep gebruikt, ontvangt het claimtype Onderwerp , samen met andere claimtypen.
Notitie
Na 1 januari 2017, wanneer Google de ondersteuning voor id-toewijzing stopt, vult ACS zowel de claimtypen NameIdentifier als Subject met dezelfde OpenID Verbinding maken gebruikers-id in.
Procedure: Zorg ervoor dat de migratiegereedheid van een ACS-toepassing is
Met één uitzondering is het migreren van uw ACS-naamruimte voor het gebruik van de OpenID Verbinding maken implementatie van Google mogelijk zonder de toepassingscode te wijzigen. De uitzonderingscase is als u de regel 'passthrough all claims' voor Google hebt als id-provider in een regelgroep die is gekoppeld aan uw toepassing. Dit komt doordat bij migratie automatisch een nieuw claimtype (onderwerp) naar de toepassing wordt verzonden.
In deze sectie vindt u een overzicht van de aanbevolen wijzigings- en testprocedure die u kunt volgen om ervoor te zorgen dat elke toepassing die wordt beïnvloed door migratie, gereed is voor het afhandelen van het nieuwe claimtype.
Voor deze procedure wordt ervan uitgegaan dat u de eigenaar bent van een ACS-naamruimte met de naam ns-contoso en dat uw toepassing in productie ProdContosoApp wordt genoemd. Stel ook dat deze toepassing Gebruikmaakt van Google als id-provider en dat de regel 'passthrough all claims' is ingeschakeld voor Google.
Instellen
Als u wilt beginnen, gaat u naar de Microsoft Azure-beheerportal, meldt u zich aan en klikt u op Active Directory. Selecteer de ACS-naamruimte (ns-contoso) en klik vervolgens op Beheren om de ACS-beheerportal te starten.
Klik in de ACS-beheerportal op Relying Party-toepassingen in de structuur aan de linkerkant of klik op de koppeling Relying Party-toepassingen onder de sectie Aan de slag. Klik vervolgens op uw productietoepassing (ProdContosoApp).
Noteer eigenschappen van ProdContosoApp. U hebt deze later nodig.
.png "Edit Relying Party Application dialog")
Klik op Standaardregelgroep voor ProdContosoApp onder Regelgroepen om te controleren of de regel 'passthrough alle claims' is ingeschakeld voor Google.
Stap 1: Een testexemplaren van uw toepassing instellen in uw ACS-naamruimte voor productie
Stel een testexemplaren van uw toepassing , TestContosoApp, in op een andere hoofd-URI; bijvoorbeeld https://contoso-test.com:7777/. U moet deze registreren als een Relying Party-toepassing (Relying Party-toepassingen) in de naamruimte ns-contoso.
Klik in de ACS-beheerportal op Relying Party-toepassingen in de structuur aan de linkerkant of klik op de koppeling Relying Party-toepassingen onder de sectie Aan de slag. Klik vervolgens op De pagina Relying Party-toepassingentoevoegen.
Ga als volgt te werk op de pagina Relying Partying Application toevoegen :
Typ in Naam de naam van de testtoepassing. Hier is het TestContosoApp.
Selecteer in de modus de optie Instellingen handmatig invoeren.
Typ in Realm de URI van de testtoepassing. Hier is https://contoso-test.com:7777/het.
Voor deze procedure kunt u fout-URL (optioneel) leeg laten.
Gebruik voor de eigenschappen tokenindeling, tokenversleutelingsbeleid en levensduur van tokens (secs) en de sectie Token-ondertekening Instellingen dezelfde waarden die u hebt gebruikt voor ProdContosoApp.
Zorg ervoor dat u Google hebt geselecteerd als id-provider.
Selecteer onder Regelgroepen de optie Nieuwe regelgroep maken.
.png "Add Relying Party Application dialog")
Klik op Opslaan onder aan de pagina.
Stap 2: Maak een regelgroep die de indeling van het ACS-token simuleert dat de toepassing ontvangt zodra de naamruimte is gemigreerd om de OpenID-Verbinding maken-implementatie van Google te gebruiken
Klik in de ACS-beheerportal op Regelgroepen in de structuur aan de linkerkant of klik op de koppeling Regelsgroep onder de sectie Aan de slag. Klik vervolgens op De pagina Regelgroepentoevoegen.
Geef op de pagina Regelgroep toevoegen een naam op voor de nieuwe regelgroep, bijvoorbeeld ManualGoogleRuleGroup. Klik op Opslaan.
.png "Add Rule Group dialog")
Klik op de pagina Regelgroep bewerken op de koppeling Toevoegen .
.png "Edit Rule Group dialog")
Controleer op de pagina Claimregel toevoegen of u de volgende waarden hebt en klik op Opslaan. Hiermee wordt een 'passthrough all claims'-regel voor Google gegenereerd.
Als sectie:
Id-provider is Google.
Selectie van invoerclaimtype is Any.
De waarde van de invoerclaim is Any.
Vervolgens sectie:
Het uitvoerclaimtype is Pass through first claim type.
De waarde van de uitvoerclaim is Pass through first input claim value.
Sectie Regelinformatie :
- Laat het veld Beschrijving (optioneel) leeg.
.png "Add Claim Rule dialog")
Klik op de pagina Regelgroep bewerken nogmaals op de koppeling Toevoegen .
Controleer op de pagina Claimregel toevoegen of u de volgende waarden hebt en klik op Opslaan. Hiermee wordt een 'statische' claimregel gegenereerd voor Google die het toevoegen van een nieuw claimtype simuleert, Onderwerp, de nieuwe gebruiker OpenID Verbinding maken-id die Google de toepassing verzendt bij migratie.
Als sectie:
Id-provider is Google.
Selectie van invoerclaimtype is Any.
De waarde van de invoerclaim is Any.
Vervolgens sectie:
Type uitvoerclaim is Enter-type. Typ https://schemas.microsoft.com/identity/claims/subjectin het veld .
De waarde van de uitvoerclaim is Enter-waarde. Typ 123456 in het veld.
Sectie Regelinformatie :
- Laat het veld Beschrijving (optioneel) leeg.
.png "Add Claim Rull dialog")
Klik op Opslaan op de pagina Regelgroep bewerken .
Stap 3: de nieuwe regelgroep koppelen aan het testexemplaren van de toepassing
Klik in de ACS-beheerportal op Relying Party-toepassingen in de structuur aan de linkerkant of klik op de koppeling Relying Party Applications in de sectie Aan de slag. Klik vervolgens op TestContosoApp op de pagina Relying Party Applications .
Selecteer ManualGoogleRuleGroup op de pagina Relying Party bewerken in de sectie Verificatie Instellingen en klik op Opslaan.
.png "Authentication Settings")
Op dit moment bevatten alle Aanmeldingsaanvragen van Google voor uw testtoepassingen het nieuwe claimtype.
Stap 4: Test om ervoor te zorgen dat uw toepassing de toevoeging van het claimtype Onderwerp kan verwerken
Test uw toepassing om ervoor te zorgen dat deze de aanwezigheid van het nieuwe claimtype (Onderwerp) correct kan verwerken. Normaal gesproken moet een goed geschreven toepassing robuust zijn voor nieuwe claimtypen die worden toegevoegd aan het token. Zoek en los eventuele problemen op. U kunt desgewenst ook de procedure volgen: de bestaande Open ID 2.0-id's van uw gebruikers migreren naar de nieuwe sectie OpenID Verbinding maken gebruikers-id's om gebruikers-id's toe te passen.
Stap 5: Uw productieomgeving migreren
Uw productietoepassing opnieuw bouwen en implementeren (ProdContosoApp). Migreer de naamruimte (ns-contoso) om de OpenID-Verbinding maken-implementatie van Google te gebruiken door de stappen in het migratiescenario te volgen. Controleer of ProdContosoApp werkt zoals verwacht.