Compartilhar via


Como configurar o Google como um provedor de identidade

Atualizado em: 19 de junho de 2015

Aplica-se ao Azure

Importante

Desde 19 de maio de 2014, os novos namespaces do ACS não podem usar o Google como um provedor de identidade. Os namespaces do ACS que usaram o Google e foram registrados antes dessa data não serão afetados. Para obter mais informações, consulte Notas de Versão.

Aplica-se A

  • Access Control do Active Directory do Microsoft Azure (também conhecido como Access Control Service ou ACS)

Resumo

Este How To explica como configurar o Google como um ACS do provedor de identidade. Configurar o Google como um provedor de identidade para seu aplicativo Web ASP.NET permite aos usuários autenticar o aplicativo Web ASP.NET quando eles entram em suas respectivas contas do Google.

Sumário

  • Objetivos

  • Visão geral

  • Resumo das etapas

  • Etapa 1 – Criar um namespace

  • Etapa 2 – Configurar o Google como um provedor de identidade

  • Etapa 3 – Configurar a confiança com a terceira parte confiável

  • Etapa 4 – Configurar as regras de transformação do token

  • Etapa 5 – Analisar os pontos de extremidade expostos pelo namespace

Objetivos

  • Crie um projeto Microsoft Azure e um namespace.

  • Configurar um namespace para ser usado com o Google como um provedor de identidade.

  • Configurar a confiança e as regras de transformação do token.

  • Familiarizar-se com a referência do ponto de extremidade, lista de serviços e pontos de extremidade dos metadados.

Visão geral

Configurar o Google como um provedor de identidade elimina a necessidade de criar e gerenciar o mecanismo de gerenciamento de identidade e autenticação. Isso ajuda na experiência do usuário final se houver procedimentos de autenticação conhecidos. Usando o ACS, é fácil configurar uma configuração que permite que seu aplicativo o consuma prontamente e ofereça essa funcionalidade aos usuários finais. Esse Manual explica como realizar essa tarefa. O diagrama a seguir ilustra o fluxo geral de configuração de uma parte confiável do ACS para uso.

ACS v2 Workflow

Resumo das etapas

Complete as etapas a seguir para configurar o Google como um provedor de identidade para seu aplicativo :

  • Etapa 1 – Criar um namespace

  • Etapa 2 – Configurar o Google como um provedor de identidade

  • Etapa 3 – Configurar a confiança com a terceira parte confiável

  • Etapa 4 – Configurar as regras de transformação do token

  • Etapa 5 – Analisar os pontos de extremidade expostos pelo namespace

Etapa 1 – Criar um namespace

Esta etapa cria um namespace Controle de Acesso no projeto do Azure. Você pode ignorar essa etapa se quiser configurar o Google como um provedor de identidade para um namespace existente.

Para criar um namespace Controle de Acesso em seu projeto do Azure

  1. Vá para o Portal de Gerenciamento do Microsoft Azure (https://manage.WindowsAzure.com), entre e clique em Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou não está disponível)

  2. Para criar um namespace do Access Control clique em Novo, clique em Serviços de Aplicativo, clique em Access Control, e depois em Criação Rápida. (Or, clique em Namespaces do Access Control antes de clicar em Novo.)

Etapa 2 – Configurar o Google como um provedor de identidade

Essa etapa mostra como configurar o Google como um provedor de identidade para um namespace existente.

Para configurar o Google como um provedor de identidade para um namespace existente

  1. Vá para o Portal de Gerenciamento do Microsoft Azure (https://manage.WindowsAzure.com), entre e clique em Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou não está disponível)

  2. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

  3. No portal do ACS, clique em Provedores de Identidade.

  4. Na página Adicionar provedor de identidade, clique em Adicionar e depois selecione Google.

  5. Na página Adicionar provedor de identidade do Google, clique em Salvar.

Etapa 3 – Configurar a confiança com a terceira parte confiável

Esta etapa mostra como configurar a confiança entre seu aplicativo, chamado de terceira parte confiável e ACS.

Para configurar a confiança

  1. Vá para o Portal de Gerenciamento do Microsoft Azure (https://manage.WindowsAzure.com), entre e clique em Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou não está disponível)

  2. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

  3. No portal do ACS, clique em Aplicativos de Terceira Parte Confiável e clique em Adicionar.

  4. Na página Adicionar aplicativo de terceira parte confiável, especifique os seguintes valores para os campos a seguir:

    • Nome—Um nome arbitrário de sua escolha.

    • Realm — O realm é o URI para o qual os tokens emitidos pelo ACS são válidos.

    • URL de retorno — a URL de retorno define a URL para a qual o ACS posta o token emitido para um determinado aplicativo de terceira parte confiável.

    • Formato de token — O formato de token define o tipo de problemas acs de token para um aplicativo de terceira parte confiável.

    • Política de criptografia de token — Opcionalmente, o ACS pode criptografar qualquer token SAML 1.1 ou SAML 2.0 emitido para um aplicativo de terceira parte confiável.

    • Tempo de vida do token — o tempo de vida do token especifica a TTL (Vida Útil) do token emitido pelo ACS para o aplicativo de terceira parte confiável.

    • Provedores de identidade—O campo provedores de identidade permite especificar quais provedores de identidade usar com seu aplicativo de parte confiável. Verifique se o Google está selecionado.

    • Grupos de regras—Grupos de regras contém regras que definem quais declarações de identidade do usuário são transmitidas de provedores de identidade para seu aplicativo de parte confiável.

    • Assinatura de token — o ACS assina todos os tokens de segurança que emite usando um certificado X.509 (com uma chave privada) ou uma chave simétrica de 256 bits.

    Para obter mais informações sobre cada campo, consulte Aplicativos de Terceira Parte Confiável.

  5. Clique em Salvar.

Etapa 4 – Configurar as regras de transformação do token

Esta etapa mostra como configurar declarações a serem enviadas pelo ACS para o aplicativo de terceira parte confiável. Por exemplo, o Google, por padrão, não envia email para os usuários. Você precisa configurar o provedor de identidade para fornecer as declarações desejadas para seu aplicativo e como transformá-lo. O procedimento a seguir mostra como adicionar uma regra para passar por um endereço de email no token para que seu aplicativo possa usá-lo.

Para configurar as regras de transformação de declarações de token

  1. Vá para o Portal de Gerenciamento do Microsoft Azure (https://manage.WindowsAzure.com), entre e clique em Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou não está disponível)

  2. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

  3. No portal do ACS, clique em Grupos de Regras e clique em Adicionar. Ou você pode editar um grupo de regras existente.

  4. Especifique um nome para seu novo grupo e depois clique em Salvar.

  5. Em Editar grupo de regras, clique em Adicionar.

  6. Na página Adicionar regra de declaração, especifique os valores a seguir:

    • Emissor de Declaração: Selecione o provedor de identidade e o Google.

    • Tipo de declaração de entrada: selecione Selecionar tipo e https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.

    • Valor da declaração de entrada: Selecionar Qualquer.

    • Tipo de declaração de saída: Selecione Passar pelo tipo de declaração de entrada.

    • Valor da declaração de saída: selecione Passar pelo valor da declaração de entrada.

    • Opcionalmente, em Descrição, adicione uma descrição para a regra.

  7. Nas páginas Editar grupo de regras e Grupos de regras, clique em Salvar.

  8. Clique nos Aplicativos de terceira parte desejados.

  9. Role até a seção Grupos de regras, selecione o novo Grupo de regras e depois clique em Salvar.

Etapa 5 – Analisar os pontos de extremidade expostos pelo namespace

Esta etapa familiariza você com os pontos de extremidade expostos pelo ACS. Por exemplo, o ACS expõe o ponto de extremidade de metadados WS-Federation usado pelo FedUtil ao configurar ASP.NET aplicativos Web para autenticação federada.

Para analisar os pontos de extremidade expostos pelo ACS

  1. Acesse o Portal de Gerenciamento de Microsoft Azure (https://manage.WindowsAzure.com), entre e clique no Active Directory. (Dica de solução de problemas: o item "Active Directory" está ausente ou não está disponível)

  2. Para gerenciar um namespace do Access Control, selecione o namespace e clique em Gerenciar. (Or, clique em Namespaces do Access Control, selecione o namespace e clique em Gerenciar.)

  3. No portal do ACS, clique em Integração de aplicativos

  4. Analise a tabela de Referência do ponto de extremidade. Por exemplo, os metadados de WS-Federation expostos pela URL devem ser semelhantes ao que se segue (seu namespace será diferente).

    https://my-namespace1.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml
    

Consulte Também

Conceitos

Instruções do ACS