Delen via


Procedure: AD FS 2.0 configureren als id-provider

Bijgewerkt: 19 juni 2015

Van toepassing op: Azure

Van toepassing op

  • Microsoft Azure Active Directory Access Control (ook wel Access Control Service of ACS genoemd)

  • Active Directory® Federation Services 2.0

Samenvatting

In deze procedure wordt beschreven hoe u configureert als een id-provider. Als u configureert als id-provider voor uw ASP.NET-webtoepassing, kunnen uw gebruikers zich verifiëren bij uw ASP.NET-webtoepassing door u aan te melden bij hun bedrijfsaccount dat wordt beheerd door Active Directory.

Inhoud

  • Doelen

  • Overzicht

  • Samenvatting van de stappen

  • Stap 1: AD FS 2.0 toevoegen als id-provider in de ACS-beheerportal

  • Stap 2: voeg een certificaat toe aan ACS voor het ontsleutelen van tokens die zijn ontvangen van AD FS 2.0 in de ACS-beheerportal (optioneel)

  • Stap 3: Voeg uw Access Control naamruimte toe als een Relying Party in AD FS 2.0

  • Stap 4: Claimregels toevoegen voor de Access Control naamruimte in AD FS 2.0

Doelen

  • Vertrouwensrelatie tussen ACS en .

  • De beveiliging van token- en metagegevensuitwisseling verbeteren.

Overzicht

Als u configureert als id-provider, kunt u bestaande accounts die worden beheerd door zakelijke Active Directory opnieuw gebruiken voor verificatie. Het elimineert de noodzaak voor het bouwen van complexe accountsynchronisatiemechanismen of het ontwikkelen van aangepaste code waarmee de taken worden uitgevoerd voor het accepteren van referenties, het valideren ervan op basis van het archief met referenties en het beheren van de identiteiten. De integratie van ACS en wordt alleen uitgevoerd door configuratie. Er is geen aangepaste code nodig.

Samenvatting van de stappen

  • Stap 1: AD FS 2.0 toevoegen als id-provider in de ACS-beheerportal

  • Stap 2: voeg een certificaat toe aan ACS voor het ontsleutelen van tokens ontvangen van AD FS 2.0 in de ACS-beheerportal (optioneel)

  • Stap 3: Voeg uw Access Control naamruimte toe als een Relying Party in AD FS 2.0

  • Stap 4: Claimregels toevoegen voor de Access Control naamruimte in AD FS 2.0

Stap 1: AD FS 2.0 toevoegen als id-provider in de ACS-beheerportal

Deze stap wordt toegevoegd als een id-provider in de ACS-beheerportal.

AD FS 2.0 toevoegen als id-provider in de Access Control naamruimte

  1. Klik op de hoofdpagina van de ACS-beheerportal op Id-providers.

  2. Klik op Id-provider toevoegen.

  3. Klik naast Microsoft Active Directory Federation Services 2.0 op Toevoegen.

  4. Voer in het veld Weergavenaam een weergavenaam in voor deze id-provider. Deze naam wordt zowel weergegeven in de ACS-beheerportal als standaard op de aanmeldingspagina's voor uw toepassingen.

  5. Voer in het veld metagegevens van WS-Federation de URL in naar het metagegevensdocument voor uw exemplaar of gebruik de optie Bestand om een lokale kopie van het metagegevensdocument te uploaden. Wanneer u een URL gebruikt, kunt u het URL-pad naar het metagegevensdocument vinden in de sectie Service\Endpoints van de beheerconsole. De volgende twee stappen behandelen de opties voor aanmeldingspagina's voor uw relying party-toepassingen; ze zijn optioneel en kunnen worden overgeslagen.

  6. Als u de tekst wilt bewerken die wordt weergegeven voor deze id-provider op de aanmeldingspagina's voor uw toepassingen, voert u de gewenste tekst in het tekstveld voor de aanmeldingskoppeling in.

  7. Als u een afbeelding voor deze id-provider wilt weergeven op de aanmeldingspagina's voor uw toepassingen, voert u een URL in naar een afbeeldingsbestand in het veld Afbeeldings-URL . In het ideale geval moet dit afbeeldingsbestand worden gehost op een vertrouwde site (indien mogelijk met HTTPS, om beveiligingswaarschuwingen in de browser te voorkomen) en moet u toestemming van uw partner hebben om deze afbeelding weer te geven. Zie help over aanmeldingspagina's en Home Realm Discovery voor aanvullende richtlijnen over instellingen voor aanmeldingspagina's.

  8. Als u gebruikers wilt vragen zich aan te melden met hun e-mailadres in plaats van op een koppeling te klikken, voert u de achtervoegsels van het e-maildomein in die u wilt koppelen aan deze id-provider in het veld Naam(en) van e-maildomein . Als de id-provider bijvoorbeeld gebruikersaccounts host waarvan de e-mailadressen eindigen @contoso.com, voert u contoso.com in. Gebruik puntkomma's om de lijst met achtervoegsels te scheiden (bijvoorbeeld contoso.com; fabrikam.com). Zie help over aanmeldingspagina's en Home Realm Discovery voor aanvullende richtlijnen over instellingen voor aanmeldingspagina's.

  9. Selecteer in het veld Relying Party-toepassingen alle bestaande relying party-toepassingen die u wilt koppelen aan deze id-provider. Hierdoor wordt de id-provider weergegeven op de aanmeldingspagina voor die toepassing en kunnen claims worden geleverd van de id-provider naar de toepassing. Houd er rekening mee dat regels nog steeds moeten worden toegevoegd aan de regelgroep van de toepassing die definieert welke claims moeten worden geleverd.

  10. Klik op Opslaan.

Stap 2: voeg een certificaat toe aan ACS voor het ontsleutelen van tokens ontvangen van AD FS 2.0 in de ACS-beheerportal (optioneel)

Met deze stap wordt een certificaat toegevoegd en geconfigureerd voor het ontsleutelen van tokens die worden ontvangen van. Dit is een optionele stap die helpt bij het versterken van de beveiliging. Het helpt met name bij het beveiligen van de inhoud van het token, zodat deze niet kan worden bekeken en gemanipuleerd.

Een certificaat toevoegen aan de Access Control naamruimte voor het ontsleutelen van tokens die zijn ontvangen van AD FS 2.0 (optioneel)

  1. Als u niet bent geverifieerd met Windows Live ID (Microsoft-account), moet u dit doen.

  2. Nadat u bent geverifieerd met uw Windows Live ID (Microsoft-account), wordt u omgeleid naar de pagina Mijn projecten in de Microsoft Azure-portal.

  3. Klik op de gewenste projectnaam op de pagina Mijn Project.

  4. Klik op de pagina Project:<<uw projectnaam>> op de koppeling Access Control naast de gewenste naamruimte.

  5. Klik op de Access Control Instellingen: <<uw naamruimtepagina>> op de koppeling Access Control beheren.

  6. Klik op de hoofdpagina van de ACS-beheerportal op Certificaten en sleutels.

  7. Klik op Tokenontsleutelingscertificaat toevoegen.

  8. Voer in het veld Naam een weergavenaam in voor het certificaat.

  9. Blader in het veld Certificaat naar het X.509-certificaat met een persoonlijke sleutel (PFX-bestand) voor deze Access Control naamruimte en voer vervolgens het wachtwoord in voor het PFX-bestand in het veld Wachtwoord. Als u geen certificaat hebt, volgt u de instructies op het scherm om er een te genereren of raadpleegt u hulp bij certificaten en sleutels voor aanvullende richtlijnen voor het verkrijgen van een certificaat.

  10. Klik op Opslaan.

Stap 3: Voeg uw Access Control naamruimte toe als een Relying Party in AD FS 2.0

Deze stap helpt bij het configureren van ACS als relying party in.

De Access Control naamruimte toevoegen als relying party in AD FS 2.0

  1. Klik in de beheerconsole op AD FS 2.0 en klik vervolgens in het deelvenster Acties op Relying Party Trust toevoegen om de wizard Relying Party Trust toevoegen te starten.

  2. Op de Welkom pagina Start.

  3. Klik op de pagina Gegevensbron selecteren op Gegevens importeren over de relying party die online of in een lokaal netwerk is gepubliceerd, typ de naam van uw Access Control naamruimte en klik vervolgens op Volgende.

  4. Voer op de pagina Weergavenaam opgeven een weergavenaam in en klik vervolgens op Volgende.

  5. Klik op de pagina Uitgifteautorisatieregels kiezen op Toestaan dat alle gebruikers toegang hebben tot deze Relying Party en klik vervolgens op Volgende.

  6. Controleer op de pagina Gereed om vertrouwen toe te voegen de vertrouwensinstellingen van de relying party en klik vervolgens op Volgende om de configuratie op te slaan.

  7. Klik op de pagina Voltooien op Sluiten om de wizard af te sluiten. Hiermee opent u ook de pagina Claimregels bewerken voor de eigenschappenpagina van de WIF-voorbeeld-app . Laat dit dialoogvenster geopend en ga vervolgens naar de volgende procedure.

Stap 4: Claimregels toevoegen voor de Access Control naamruimte in AD FS 2.0

Met deze stap configureert u claimregels in . Op deze manier zorgt u ervoor dat de gewenste claims worden doorgegeven aan ACS.

Claimregels toevoegen voor de Access Control naamruimte in AD FS 2.0

  1. Klik op de eigenschappenpagina Claimregels bewerken op het tabblad Regels voor uitgiftetransformatie op Regel toevoegen om de wizard Claimregel voor transformatie toevoegen te starten.

  2. Klik op de pagina Regelsjabloon selecteren, onder Claimregelsjabloon, op Pass Through of Filter een binnenkomende claim in het menu en klik vervolgens op Volgende.

  3. Typ op de pagina Regel configureren , in claimregelnaam, een weergavenaam voor de regel.

  4. Selecteer in de vervolgkeuzelijst Voor binnenkomende claimtypen het identiteitsclaimtype dat u wilt doorgeven aan de toepassing en klik vervolgens op Voltooien.

  5. Klik op OK om de eigenschappenpagina te sluiten en de wijzigingen in de relying party-vertrouwensrelatie op te slaan.

  6. Herhaal stap 1-5 voor elke claim die u wilt uitgeven aan uw Access Control naamruimte.

  7. Klik op OK.