Delen via

Procedure: Vertrouwensrelatie tussen ACS en ASP.NET webtoepassingen configureren met behulp van X.509-certificaten

  • Artikel

Bijgewerkt: 19 juni 2015

Van toepassing op: Azure

Van toepassing op

  • Microsoft Azure Active Directory Access Control (ook wel bekend als Access Control Service of ACS)

  • ASP.NET

Samenvatting

In dit onderwerp wordt beschreven hoe u vertrouwen configureert tussen uw toepassing en ACS. Vertrouwen wordt tot stand gebracht door de tokens te ondertekenen die worden uitgewisseld tussen uw ASP.NET webtoepassing en ACS.

Inhoud

  • Doelen

  • Overzicht

  • Overzicht van de stappen

  • Stap 1: ga naar de sectie Certificaten voor tokenondertekening

  • Stap 2: Vertrouwensrelatie configureren met X.509-certificaten

  • Stap 3: bekijk Trust-Related kenmerken in web.config en de ACS-beheerportal

Doelen

  • Raak vertrouwd met de sectie Vertrouwensbeheer in de ACS-beheerportal.

  • Vertrouwensrelatie beheren met X.509-certificaten.

  • Controleer de vereiste configuratie in web.config en in de beheerportal.

Overzicht

Het tot stand brengen van vertrouwen is vereist voor het correct uitwisselen van tokens tussen uw toepassing en ACS. Vertrouwen zorgt ervoor dat de tokens niet in transit worden gemanipuleerd en dat ze worden uitgegeven door een vertrouwde partij. Voor ASP.NET vertrouwensrelatie van webtoepassingen wordt beheerd met behulp van X.509-certificaten en is deze gebaseerd op de configuratie van de ACS-beheerportal en de web.config-configuratie.

Samenvatting van de stappen

Voer de volgende stappen uit om een vertrouwensrelatie tussen een ASP.NET-webtoepassing en ACS tot stand te brengen en te beheren:

  • Stap 1: ga naar de sectie Certificaten voor tokenondertekening

  • Stap 2: Vertrouwensrelatie configureren met X.509-certificaten

  • Stap 3: bekijk Trust-Related kenmerken in web.config en de ACS-beheerportal

Stap 1: ga naar de sectie Certificaten voor tokenondertekening

In deze stap ziet u hoe u naar de sectie Vertrouwensbeheer van de ACS-beheerportal navigeert.

  1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

  2. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

  3. Klik in de ACS-portal op Relying Party-toepassingen.

  4. Klik op een relying party-toepassing.

  5. Schuif op de pagina Relying Party-toepassing bewerken omlaag naar de sectie Certificaten voor tokenondertekening .

  6. Selecteer een certificaat.

Stap 2: Vertrouwensrelatie configureren met X.509-certificaten

In deze stap ziet u hoe u de vertrouwensrelatie tussen ACS en een ASP.NET webtoepassing configureert en beheert met behulp van een X.509-certificaat. Gebruik een X.509-certificaatondertekeningsreferentie als u de Windows ® Identity Foundation (WIF) gebruikt in uw relying party-toepassing.

Vertrouwen configureren en beheren met behulp van een X.509-certificaat

  1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

  2. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

  3. Klik op Certificaten en sleutels en selecteer vervolgens een X.509-certificaat.

  4. Geef op de pagina Token-handtekeningcertificaat of sleutelcertificaat bewerken de volgende waarden op:

    • Naam: Een willekeurige naam van uw keuze.

    • Type: X.509-certificaat.

    • Certificaat: Als u het certificaat wilt gebruiken dat DOOR ACS standaard wordt gemaakt, is er geen actie vereist. U kunt ook uw eigen X.509-certificaat uploaden.

      Het certificaat moet met een wachtwoord zijn beveiligd. Het heeft meestal een PFX-extensie. bij het uploaden van uw eigen X.509-certificaat. Geef het pfx-bestandswachtwoord op in het tekstvak Wachtwoord

    • Wachtwoord: Als u het standaardcertificaat gebruikt, is er geen actie vereist. Als u een certificaat uploadt, moet het certificaat met een wachtwoord zijn beveiligd. Voer het PFX-bestandswachtwoord in het tekstvak Wachtwoord in.

  5. Klik op Opslaan.

Een X.509-certificaat ophalen

Er zijn verschillende manieren om een X.509-certificaat op te halen voor tokenondertekening of -versleuteling. De methode die u gaat gebruiken, is afhankelijk van uw vereisten en de hulpprogramma's die beschikbaar zijn voor uw organisatie.

Lokale certificeringsinstantie

Als uw organisatie een certificeringsinstantie (CA) heeft geïmplementeerd, zoals Active Directory Certificate Services (AD CS), kunt u een X.509-certificaat aanvragen. Mogelijk moet u contact opnemen met uw certificeringsinstantiebeheerder voor instructies of machtigingen. Zie Active Directory Certificate Services () voor meer informatie over Active Directory Certificate Services.https://go.microsoft.com/fwlink/?linkid=208371

Commerciële certificeringsinstantie

U kunt een X.509-certificaat kopen bij een commerciële certificeringsinstantie, zoals Verisign. Aangezien dit een Labs-release is, wordt u aangeraden uw lokale certificeringsinstantie (indien beschikbaar) te gebruiken of een zelfondertekend certificaat te genereren (zie hieronder).

Een Self-Signed-certificaat genereren

U kunt software gebruiken om uw eigen zelfondertekende certificaat te genereren voor gebruik met ACS. Hoewel dit doorgaans alleen wordt aanbevolen voor testdoeleinden, kan dit door iedereen worden gedaan zonder toegang tot een lokale CA of betaling aan een commerciële CERTIFICERINGsinstantie. Als u Windows uitvoert, kunt u MakeCert.exe downloaden als onderdeel van de Windows SDK (https://go.microsoft.com/fwlink/?linkid=84091) en dit gebruiken om een certificaat te genereren.

Een Self-Signed-certificaat exporteren

Zie Certificaten en sleutels voor instructies over het exporteren van een zelfondertekend certificaat.

Stap 3: bekijk Trust-Related kenmerken in web.config en de ACS-beheerportal

In deze stap ziet u hoe u vertrouwensgerelateerde configuratiekenmerken in de web.config van uw ASP.NET webtoepassing kunt valideren.

  1. Open het web.config-bestand voor uw ASP.NET-webtoepassing.

  2. Navigeer naar het knooppunt audiencesUris en controleer of de waarde van het onderliggende add-knooppunt hetzelfde is als die waarde die u hebt ingevoerd in het veld Realm van de pagina Relying Party bewerken van de ACS-beheerportal.

    1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

    2. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

    3. Klik op Relying Party-toepassingen.

    4. Klik op de pagina Toepassingen van antwoord party's op de gewenste toepassing.

    5. Controleer het realm-kenmerk op de pagina Relying Party-toepassing bewerken.

Zie ook

Concepten

ACS-procedures