Delen via

Procedure: Mijn eerste claimbewuste ASP.NET-toepassing maken met ACS

  • Artikel

Bijgewerkt: 19 juni 2015

Van toepassing op: Azure

Belangrijk

ACS-naamruimten kunnen hun configuraties van de Google-id-provider migreren van OpenID 2.0 naar OpenID Verbinding maken. De migratie moet vóór 1 juni 2015 zijn voltooid. Zie ACS-naamruimten migreren naar Google OpenID Verbinding maken voor gedetailleerde richtlijnen. Totdat u de migratie uitvoert, kan deze zelfstudie worden voltooid met behulp van een andere id-provider, zoals Facebook.

Van toepassing op

  • Microsoft Azure Active Directory Access Control (ook wel bekend als Access Control Service of ACS)

Overzicht

In dit onderwerp wordt het scenario beschreven voor het integreren van ACS met een ASP.NET relying party-toepassing. Door uw webtoepassing te integreren met ACS, factor u de functies van verificatie en autorisatie uit uw code. Met andere woorden, ACS biedt het mechanisme voor het verifiëren en autoriseren van gebruikers voor uw webtoepassing.

In dit praktijkscenario verifieert ACS gebruikers met een Google-identiteit in een test ASP.NET relying party-toepassing.

Stappen voor het integreren van ACS met een ASP.NET Relying Party-toepassing

Belangrijk

Voordat u de volgende stappen uitvoert, moet u ervoor zorgen dat uw systeem voldoet aan alle vereisten voor .NET Framework en platform die worden samengevat in ACS-vereisten.

Voer de volgende stappen uit om ACS te integreren met een ASP.NET relying party-toepassing:

  • Stap 1: een Access Control-naamruimte maken

  • Stap 2: de ACS-beheerportal starten

  • Stap 3: Id-providers toevoegen

  • Stap 4: een Relying Party-toepassing toevoegen

  • Stap 5: Regels maken

  • Stap 6: de integratiegegevens van de toepassing controleren

  • Stap 7: een ASP.NET Relying Party-toepassing maken

  • Stap 8: Vertrouwensrelatie tussen ACS en uw ASP.NET Relying Party-toepassing configureren

  • Stap 9: de integratie tussen ACS en uw ASP.NET Relying Party-toepassing testen

Stap 1: een Access Control-naamruimte maken

Zie Een Access Control-naamruimte maken voor gedetailleerde instructies over het maken van een Access Control naamruimte.

Stap 2: de ACS-beheerportal starten

Met de ACS-beheerportal kunt u uw Access Control naamruimte configureren door id-providers toe te voegen, relying party-toepassingen te configureren, regels en groepen regels te definiëren en de referenties vast te stellen die uw relying party-toepassing vertrouwt.

De ACS-beheerportal starten

  1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

  2. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

Stap 3: Id-providers toevoegen

In deze sectie wordt beschreven hoe u id-providers toevoegt voor gebruik met uw relying party-toepassing voor verificatie. Zie Identity Providers voor meer informatie over id-providers.

Id-providers toevoegen

  1. Klik in de ACS-beheerportal op Id-providers in de structuur aan de linkerkant of klik op de koppeling Id-providers in de sectie Aan de slag.

  2. Klik op de pagina Id-providers op Toevoegen, selecteer Google als id-provider en klik vervolgens op Volgende.

  3. Op de pagina Google Identity Provider toevoegen wordt u gevraagd om de tekst van de aanmeldingskoppeling (de standaardinstelling is Google) en een afbeeldings-URL in te voeren. Deze URL verwijst naar een bestand van een afbeelding die kan worden gebruikt als de aanmeldingskoppeling voor deze id-provider. Het bewerken van deze velden is optioneel. Bewerk ze niet voor deze oefening en klik op Opslaan.

Stap 4: een Relying Party-toepassing toevoegen

In deze sectie wordt beschreven hoe u een relying party-toepassing toevoegt en configureert. Zie Relying Party-toepassingen voor meer informatie over relying party-toepassingen.

Een relying party-toepassing instellen

  1. Klik in de ACS-beheerportal op Relying Party-toepassingen in de structuur aan de linkerkant of klik op de koppeling Relying Party-toepassingen onder de sectie Aan de slag.

  2. Klik op de pagina Relying Party-toepassingen op Toevoegen.

  3. Ga als volgt te werk op de pagina Relying Party-toepassing toevoegen :

    • Typ in Naam de naam van de relying party-toepassing. Voor deze oefening typt u TestApp.

    • Selecteer in de modus de optie Instellingen handmatig invoeren.

    • Typ in Realm de URI waarop het door ACS uitgegeven beveiligingstoken van toepassing is. Typ voor deze oefening https://localhost:7777/.

    • Typ in de retour-URL de URL waarnaar ACS het beveiligingstoken retourneert. Typ voor deze oefening https://localhost:7777/.

    • Voer in fout-URL (optioneel) de URL in waarnaar ACS kan posten als er een fout optreedt tijdens het aanmelden. Laat dit veld voor deze oefening leeg.

    • Selecteer in tokenindeling een tokenindeling voor ACS die moet worden gebruikt bij het uitgeven van beveiligingstokens voor deze relying party-toepassing. Voor deze oefening selecteert u SAML 2.0. Zie Token-indelingen die worden ondersteund in ACS en Token-indelingen in Relying Party-toepassingen voor meer informatie over tokens en tokenindelingen.

    • Selecteer in tokenversleutelingsbeleid een versleutelingsbeleid voor tokens die zijn uitgegeven door ACS voor deze relying party-toepassing. Accepteer voor deze oefening de standaardwaarde Geen. Zie tokenversleutelingsbeleid in Relying Party-toepassingen voor meer informatie over tokenversleutelingsbeleid.

    • Geef in de levensduur van het token (secs) de hoeveelheid tijd op voor een beveiligingstoken dat is uitgegeven door ACS om geldig te blijven. Accepteer voor deze oefening de standaardwaarde van 600. Zie tokenlevensduur in Relying Party-toepassingen voor meer informatie.

    • Selecteer in Id-providers de id-providers die moeten worden gebruikt met deze relying party-toepassing. Accepteer voor deze oefening de ingeschakelde standaardwaarden (Google en Windows Live ID).

    • Selecteer in regelgroepen de regelgroepen voor deze relying party-toepassing die moet worden gebruikt bij het verwerken van claims. Voor deze oefening accepteert u Nieuwe regelgroep maken die standaard is ingeschakeld. Zie Regelgroepen en regels voor meer informatie over regelgroepen.

    • Selecteer in de sectie Token-ondertekening Instellingen of u SAML-tokens wilt ondertekenen met het certificaat voor de Access Control-naamruimte of met een aangepast certificaat dat specifiek is voor deze toepassing. Accepteer voor deze oefening de standaardwaarde van het certificaat van de servicenaamruimte gebruiken (standaard). Zie Token-ondertekening in Relying Party-toepassingen voor meer informatie over tokenondertekening.

  4. Klik op Opslaan.

Stap 5: Regels maken

In deze sectie wordt beschreven hoe u regels definieert die bepalen hoe claims worden doorgegeven van id-providers aan uw relying party-toepassing. Zie Regelgroepen en regels voor meer informatie over regels en regelgroepen.

Regels maken

  1. Klik op de startpagina van de ACS-beheerportal op Regelgroepen in de structuur aan de linkerkant of klik op de koppeling Regelgroepen onder de sectie Aan de slag.

  2. Klik op de pagina Regelgroepen op Standaardregelgroep voor TestApp (omdat u de testapp van uw relying party-toepassing de naam hebt genoemd).

  3. Klik op de pagina Regelgroep bewerken op Genereren.

  4. Accepteer op de pagina Regels genereren: Standaardregelgroep voor TestApp de id-providers die standaard zijn geselecteerd (in deze oefening Google en Windows Live ID) en klik vervolgens op de knop Genereren.

  5. Klik op de pagina Regelgroep bewerken op Opslaan.

Stap 6: de integratiegegevens van de toepassing controleren

U vindt alle informatie en code die nodig zijn om uw relying party-toepassing te wijzigen om met ACS te werken op de pagina Toepassingsintegratie van de ACS-beheerportal.

De integratiegegevens van de toepassing controleren

  • Klik op de startpagina van de ACS-beheerportal op Toepassingsintegratie in de structuur aan de linkerkant of klik op de koppeling Toepassingsintegratie onder de sectie Aan de slag.

    De ACS-URI's die worden weergegeven op de pagina Toepassingsintegratie, zijn uniek voor uw Access Control naamruimte.

    Voor deze oefening wordt u aangeraden deze pagina open te houden om de resterende stappen snel uit te voeren.

Stap 7: een ASP.NET Relying Party-toepassing maken

In deze sectie wordt beschreven hoe u een ASP.Net Relying Party-toepassing maakt die u uiteindelijk wilt integreren met ACS.

Een ASP.NET relying party-toepassing maken

  1. Als u Visual Studio 2010 wilt uitvoeren, klikt u op Startmenu, klikt u op Uitvoeren, typt u de volgende tekst en drukt u op Enter:
    devenv.exe

  2. Klik in Visual Studio op Bestand en klik vervolgens op Nieuw Project.

  3. Selecteer in het venster Nieuw Project de Visual Basic of de Visual C#-sjabloon en selecteer vervolgens ASP.NET MVC 2-webtoepassing.

  4. Typ in Naam de volgende tekst en klik vervolgens op OK:
    TestApp

  5. Selecteer in Moduletest maken Projectnee, maak geen eenheidstestproject en klik vervolgens op OK.

  6. Klik in Solution Explorer met de rechtermuisknop op TestApp en selecteer Vervolgens Eigenschappen.

  7. Selecteer in het venster TestApp-eigenschappen het tabblad Web, klik onder Use Visual Studio Development Server op Specific port en wijzig vervolgens de waarde in 7777.

  8. Druk op F5 om de toepassing uit te voeren en fouten op te sporen die u zojuist hebt gemaakt. Als er geen fouten zijn gevonden, wordt in uw browser een leeg MVC-project weergegeven.

    Houd Visual Studio 2010 open om de volgende stap te voltooien.

Stap 8: Vertrouwensrelatie tussen ACS en uw ASP.NET Relying Party-toepassing configureren

In deze sectie wordt beschreven hoe u ACS integreert met de ASP.NET Relying Party-toepassing die u in de vorige stap hebt gemaakt.

Vertrouwensrelatie tussen de ASP.NET relying party-toepassing en ACS configureren

  1. Klik in Visual Studio 2010 in Solution Explorer voor TestApp met de rechtermuisknop op TestApp en selecteer STS-verwijzing toevoegen.

  2. Ga als volgt te werk in de wizard Federation Utility :

    1. Voer op de pagina Welkom bij de wizard Federatiehulpprogramma in de toepassings-URI de toepassings-URI in en klik vervolgens op Volgende. In deze demo is https://localhost:7777/de toepassings-URI.

      Notitie

      De afsluitende slash is belangrijk omdat deze overeenkomt met de waarde die u hebt ingevoerd in de ACS-beheerportal voor uw relying party-toepassing. Zie stap 4: een Relying Party-toepassing toevoegen voor meer informatie.

    2. Er verschijnt een waarschuwing: id 1007: De toepassing wordt niet gehost op een beveiligde https-verbinding. Wilt u doorgaan? Klik voor deze demo op Ja.

      Notitie

      In een productieomgeving is deze waarschuwing over het gebruik van SSL geldig en mag niet worden genegeerd.

    3. Selecteer Bestaande STS gebruiken op de pagina Beveiligingstokenservice, voer de WS-Federation metagegevens-URL in die door ACS is gepubliceerd en klik vervolgens op Volgende.

      Notitie

      U vindt de waarde van de WS-Federation Metagegevens-URL op de pagina Toepassingsintegratie van de ACS-beheerportal. Zie stap 6 voor meer informatie: bekijk de integratiegegevens van de toepassing.

    4. Klik op de pagina validatiefout in stS-handtekeningcertificaatketen op Volgende.

    5. Klik op de pagina Beveiligingstokenversleuteling op Volgende.

    6. Klik op de pagina Aangeboden claims op Volgende.

    7. Klik op de pagina Samenvatting op Voltooien.

    Zodra u de wizard Federation Utility hebt uitgevoerd, wordt er een verwijzing toegevoegd naar de Microsoft.IdentityModel.dll assembly en worden waarden naar uw Web.config-bestand geschreven waarmee de Windows Identity Foundation in uw ASP.NET MVC 2-webtoepassing (TestApp) wordt geconfigureerd.

  3. Open Web.config en zoek het hoofdelement system.web. Het kan er als volgt uitzien:

    <system.web>
    <authorization>
      <deny users="?" />
    </authorization>

    Wijzig Web.config om aanvraagvalidatie in te schakelen door de volgende code toe te voegen onder het hoofdelement system.web:

        <!--set this value-->
    <httpRuntime requestValidationMode="2.0"/>

    Nadat u de update hebt uitgevoerd, moet het bovenstaande codefragment er als volgt uitzien:

    
   <system.web>
    <!--set this value-->
    <httpRuntime requestValidationMode="2.0"/>
    <authorization>
    <deny users="?" />
    </authorization>

Stap 9: de integratie tussen ACS en uw ASP.NET Relying Party-toepassing testen

In deze sectie wordt beschreven hoe u de integratie tussen uw relying party-toepassing en ACS kunt testen.

De integratie tussen de ASP.NET relying party-toepassing en ACS testen

  1. Houd Visual Studio 2010 open en druk op F5 om te beginnen met het opsporen van fouten in uw ASP.NET relying party-toepassing.

    Als er geen fouten worden gevonden, wordt uw browser omgeleid naar een startpagina van ACS die u vraagt een id-provider te kiezen in plaats van de standaard MVC-toepassing te openen.

  2. Selecteer Google.

    De browser laadt vervolgens de Google-aanmeldingspagina.

  3. Voer uw Google-testreferenties in en accepteer de gebruikersinterface voor toestemming die wordt weergegeven op de Google-website.

    De browser plaatst vervolgens terug naar ACS, ACS geeft een token en plaatst dat token op uw MVC-site.

Zie ook

Concepten

ACS-instructies