Espaços de nomes ACS migrando para o Google OpenID Ligação
Este tópico destina-se aos proprietários de Controlo de Acesso Service (ACS) 2.0 espaços de nome que atualmente utilizam o Google como fornecedor de identidade. O ACS fornece esta capacidade utilizando a implementação OpenID 2.0 da Google. A Google planeia descontinuar o suporte openID 2.0 até 20 de abril de 2015. Os espaços de nomes ACS continuarão a trabalhar com a implementação openid 2.0 da Google até 1 de junho de 2015, altura em que terá de completar a migração destes espaços para utilizar a implementação do OpenID Ligação da Google ou os utilizadores deixarão de poder inscrever-se na sua aplicação com uma conta Google. Migrar os seus espaços de nomes ACS para OpenID Ligação não causará tempo de inatividade da aplicação. Com uma exceção (ver nota abaixo), esta migração é possível sem alterar o código de aplicação. Depois de migrar os seus espaços de nome ACS para utilizar Ligação OpenID, terá de migrar os identificadores dos seus utilizadores no seu backend para identificadores de Ligação OpenID. Esta migração deve estar concluída até 1 de janeiro de 2017. Requer alterações de código no seu backend. Consulte a nota importante abaixo para mais detalhes sobre ambas as fases de migração.
Importante
Note as seguintes datas importantes e complete as ações necessárias por cada data para garantir que os seus espaços de nome ACS que utilizam o Google como fornecedor de identidade continuam a funcionar:
- 1 de junho de 2015 - Os espaços de nomes ACS deixarão de funcionar com a implementação openID 2.0 da Google. Tem de completar a migração do espaço de nomes ACS para utilizar o Google OpenID Ligação até esta data. Antes desta data, pode voltar ao OpenID 2.0 se encontrar problemas durante a migração. Para espaços de nomes que não tenham sido migrados até esta data, os utilizadores deixarão de poder iniciar scontabilidade com uma conta google e serão apresentados com uma página que indica que o OpenID 2.0 para as contas da Google desapareceu. Para restaurar a capacidade de inscrição nas contas do Google, terá de migrar o espaço de nomes.
Na maioria dos casos, não devem ser necessárias alterações ao código de aplicação. Se tiver a regra de "passar todas as reclamações" para a Google como fornecedor de identidade num grupo de regras associado à sua aplicação, poderá ter de fazer alterações de código. Isto porque, após a migração, um novo tipo de reclamação (Assunto) fica disponível para ACS da Google, e poderá ter de fazer alterações de código para garantir que a sua aplicação pode lidar com a presença do novo tipo de reclamação graciosamente. Para completar com sucesso a migração, não haverá necessidade de processar o novo tipo de reclamação na sua aplicação.
- jan 1, 2017 – As implementações openID 2.0 e OpenID Ligação da Google utilizam diferentes identificadores para identificar exclusivamente os utilizadores do Google. Ao migrar o seu espaço de nome ACS, o ACS disponibiliza dois identificadores, tanto o atual identificador OpenID 2.0 como o novo identificador OpenID Ligação, disponíveis para a sua aplicação. Tem de trocar os identificadores dos seus utilizadores no seu sistema de backend para os identificadores openID Ligação até esta data, e começar a utilizar apenas os identificadores openID Ligação que vão para a frente. Isto requer alterações no código de aplicação.
Pode publicar perguntas sobre migração no Stack Overflow e marcá-las com 'acs-google'. Responderemos o mais rápido possível.
Para mais informações sobre os planos da Google, consulte o seu Guia de Migração OpenID 2.0.
Lista de Verificação de Migração
A tabela a seguir contém uma lista de verificação que resume os passos necessários para migrar o seu espaço de nome ACS para utilizar a implementação de Ligação OpenID da Google:
| Passo | Description | Deve ser preenchido por |
|---|---|---|
1 |
Crie uma aplicação Google+ na Consola de Desenvolvedores do Google. |
1 de junho de 2015 |
2 |
Se tiver a regra "passthrough all claims" para a Google como fornecedor de identidade num grupo de regras associado à sua aplicação, teste a sua aplicação para garantir que está pronta para a migração; caso contrário, este passo é opcional. |
1 de junho de 2015 |
3 |
Utilize o Portal de Gestão ACS para mudar o seu espaço de nome ACS para utilizar a implementação do OpenID Ligação da Google, fornecendo-o com os parâmetros da sua aplicação Google+ (ID do cliente e segredo do Cliente). Se encontrar problemas com a sua migração, volte a OpenID 2.0 é possível até 1 de junho de 2015. |
1 de junho de 2015 |
4 |
Migrar os identificadores dos seus utilizadores no seu sistema de backend dos atuais identificadores Google OpenID 2.0 para os novos identificadores Ligação Do Google OpenID. Isto requer alterações de código. |
Jan 1, 2017 |
Passagem de migração
Para migrar o seu espaço de nome ACS para utilizar a implementação de Ligação OpenID da Google, complete os seguintes passos:
Criar uma aplicação Google+
Para obter instruções detalhadas sobre como fazê-lo, consulte a secção Como: Criar uma secção de aplicação Do Google+.
Certifique-se de que a sua aplicação está pronta para a migração
Se tiver a regra de "passthrough all claims" para a Google como fornecedor de identidade num grupo de regras associado à sua aplicação, siga as instruções no Como: Garantir a secção de prontidão de migração de uma aplicação ACS para testar a sua aplicação para prontidão de migração. Isto porque, após a migração, um novo tipo de reclamação (Assunto) fica disponível para ACS da Google.
Nota
Uma regra de "passagem através de todas as reclamações" é uma regra em que o tipo de reclamação de entrada e o valor de reclamação de entrada são definidos para Qualquertipo de reclamação e saída e o valor de reclamação de saída são definidos para Passar através do primeiro tipo de reclamação de entrada e passar pelo valor de reclamação de entrada , respectivamente. A regra está listada no Portal de Gestão ACS , conforme mostrado abaixo, com a coluna 'Claim' de saída definida para Passthrough.
.png "Passthrough rule")
Se já gerou regras ou adicionou regras manualmente para a Google como fornecedor de identidade num grupo de regras associado à sua aplicação, pode saltar este passo. Isto porque, nestes casos, após a migração o novo tipo de reclamação de assunto não é enviado para o pedido.
Para saber mais sobre estas opções, consulte Grupos de Regras e Regras.
Mude o espaço de nomes ACS para utilizar a implementação de Ligação OpenID da Google
Vá ao Portal de Gestão Microsoft Azure, inscreva-se e clique no Ative Directory. Selecione o espaço de nomes ACS que precisa de ser migrado e clique em Gerir para lançar o Portal de Gestão ACS.
No Portal de Gestão acs, clique em Fornecedores de Identidade na árvore do lado esquerdo ou clique no link Fornecedores de Identidade na secção Introdução. Clique no Google.
.png "Access Control Service Identity Providers Dialog")
Na página Editar o Fornecedor de Identidade do Google, consulte o Ligação OpenID.
.png "Edit Google Identity Provider dialog")
Nos campos secretos do Cliente ID e cliente (agora habilitado), copie os valores correspondentes da sua aplicação Google+.
.png "Edit Google Identity Provider dialog")
Nota
Neste momento, se clicar em Guardar, todos os pedidos do fornecedor de identidade da Google do seu espaço de nome ACS utilizarão automaticamente a implementação de Ligação OpenID da Google. Se precisar de recuar, pode desmarcar o Ligação OpenID. A identificação do cliente e o cliente secreto permanecem guardados e podem ser reutilizados mais tarde.
Clique em Guardar.
Experimente iniciar sessão com um ID do Google para garantir que o interruptor para utilizar o OpenID Ligação foi bem sucedido. Se tiver problemas em iniciar sessão, volte à página do Fornecedor de Identidade do Google e desescote o Ligação de utilização para voltar a OpenID 2.0. Depois de voltar, verifique se o ID do Cliente e o Segredo que copiou da Consola do Desenvolvedor do Google são introduzidos corretamente para o seu espaço de nome; por exemplo, verifique se há tipografias.
Migrar os identificadores dos seus utilizadores no seu sistema de backend de Open ID 2.0 para OpenID Ligação
Tem de migrar os identificadores dos seus utilizadores no seu sistema de backend dos identificadores existentes do Google Open ID 2.0 para os novos identificadores do Google OpenID Ligação antes de 1 de janeiro de 2017. Este passo requer alterações de código. Para obter mais informações, consulte Como: Migrar os identificadores Open ID 2.0 existentes dos seus utilizadores para novos identificadores de Ligação de utilizador OpenID
Como: Criar uma aplicação Google+
Vai precisar de uma conta google para executar os seguintes passos; Se não tiver um, pode conseguir um em https://accounts.google.com/SignUp.
Numa janela do navegador, navegue para a Consola do Google Developers e inscreva-se com as credenciais da sua conta Google.
Clique em Criar Project e introduza um nome Project e Project ID. Consulte a caixa de verificação dos Termos de Serviço . Em seguida, clique em Criar. Isto regista a aplicação com o Google.
.png "Google Developer Console New Project dialog")
Clique em APIs & auth no painel esquerdo. E, em seguida, clique em Credenciais. Em OAuth, clique em Criar novo ID do Cliente. Selecione Aplicação Web e clique no ecrã de consentimento de Configuração. Forneça um Nome de Produto e clique em Guardar.
.png "Google Developer Console Consent screen")
Clique em APIs & auth no painel esquerdo. E, em seguida, clique em APIs. Em IAP de navegação, procure e encontre a API do Google+. Ligue o estado para ON.
.png "Google Developer Console Browse APIs")
No diálogo ID do cliente Create , selecione a Aplicação Web como o Tipo de Aplicação.
No campo Origens Javascript Autorizadas, especifique o URL de nome de domínio totalmente qualificado (FQDN) do seu espaço de nome, incluindo o "HTTPS://" e o número da porta de fuga; por exemplo, https://contoso.accesscontrol.windows.net:443. .
No campo URIs de redirecionamento autorizado , especifique um URI que contenha o URL de nome de domínio totalmente qualificado (FQDN) do seu espaço de nome, incluindo o "HTTPS://" e o número da porta de fuga, seguido de "/v2/openid"; por exemplo, https://contoso.accesscontrol.windows.net:443/v2/openid. .
Clique em Criar ID do cliente.
.png "Google Developer Console Create Client ID screen")
Note os valores do ID do Cliente e do segredo do Cliente a partir do ID do Cliente para página de aplicação web . Vai precisar deles para configurar a implementação do OpenID Ligação da Google no Portal de Gestão ACS.
.png "Google Developer Console Client ID for Web App")
Importante
A Client Secret é uma importante credencial de segurança. Mantenha-o em segredo.
Como: Migrar os identificadores open ID 2.0 existentes dos seus utilizadores para novos identificadores de utilizador openID Ligação
Depois de ter migrado com sucesso o seu espaço de nomes ACS para utilizar a implementação do OpenID Ligação da Google, tem até 1 de janeiro de 2017 (de acordo com o Guia de Migração OpenID 2.0 da Google) para migrar os identificadores dos seus utilizadores no seu sistema de backend dos atuais identificadores OpenID 2.0 para os novos identificadores OpenID Ligação.
A tabela que se segue mostra os tipos de reclamação que ficam disponíveis para ACS da Google uma vez que o espaço de nome ACS foi migrado para utilizar a implementação de Ligação OpenID da Google:
| Tipo de Reclamação | URI | Description | Disponibilidade de Protocolo |
|---|---|---|---|
Identificador de Nome |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
Um identificador único para a conta de utilizador, fornecido pela Google. Este é o (existente) identificador OpenID 2.0. |
OpenID 2.0, OpenID Ligação |
Assunto |
https://schemas.microsoft.com/identity/claims/subject |
Um identificador único para a conta de utilizador, fornecido pela Google. Este é o (novo) identificador de Ligação OpenID. |
OpenID Connect |
Name |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
O nome de exibição da conta de utilizador, fornecido pela Google. |
OpenID 2.0, OpenID Ligação (ver nota abaixo) |
Endereço de E-mail |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
O endereço de e-mail para a conta de utilizador, fornecido pela Google |
OpenID 2.0, OpenID Ligação |
Fornecedor de Identidade |
https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider |
Uma reclamação fornecida pela ACS que diz à aplicação da parte que o utilizador autenticou usando o fornecedor de identidade padrão da Google. O valor desta reclamação é visível no Portal de Gestão da ACS através do campo Realm na página Do Fornecedor de Identidade de Edição. |
OpenID 2.0, OpenID Ligação |
Nota
Para um utilizador do Google que não tenha um perfil (registado) do Google+, o valor do tipo de reclamação name é o mesmo que o valor do tipo de reclamação de endereço de e-mail em OpenID Ligação.
Os tipos de identificação de nomes e reclamações de assunto podem ser usados para rastrear e trocar os identificadores únicos dos utilizadores existentes no seu backend, mapeando (antigos) identificadores OpenID 2.0 para (novos) identificadores de Ligação OpenID.
Se tiver a regra "passthrough all claims" para a Google como fornecedor de identidade num grupo de regras associado à sua aplicação, a sua aplicação começará automaticamente a receber o tipo de reclamação de Assunto .
Se já gerou regras ou adicionou regras manualmente para a Google como fornecedor de identidade num grupo de regras associado à sua aplicação, terá de adicionar manualmente o tipo de reclamação de reclamação do Assunto . Para obter mais informações sobre como fazê-lo, consulte Os Grupos de Regras e Regras.
.png "Input Claim Configuration")
Por exemplo, se já tinha gerado regras para a Google como fornecedor de identidade num grupo de regras e, em seguida, adicionar o novo tipo de reclamação de Assunto (como mostrado acima), verá o seguinte.
.png "Google passthrough claims")
A aplicação utilizando este grupo de regras receberá o tipo de reclamação de assunto , juntamente com outros tipos de reclamação.
Nota
Depois de 1 de janeiro de 2017, quando a Google descontinuar o seu suporte ao mapeamento do identificador, o ACS irá povoar os tipos de reclamação nameIdentifier e Subject com o mesmo identificador de utilizador OpenID Ligação.
Como: Garantir a prontidão da migração de uma aplicação ACS
Com uma exceção, migrar o seu espaço de nome ACS para utilizar o OpenID da Google Ligação implementação é possível sem alterar o código de aplicação. O caso de exceção é se tiver a regra "passthrough all claims" para a Google como fornecedor de identidade num grupo de regras associado à sua aplicação. Isto porque, neste caso, após a migração é automaticamente enviado para o pedido um novo tipo de reclamação (Sujeito).
Esta secção descreve o procedimento de alteração e teste recomendado que pode seguir para garantir que todas as aplicações que serão impactadas pela migração estejam prontas para lidar com o novo tipo de reclamação.
Para efeitos deste Como Fazer, assuma que é proprietário de um espaço de nome ACS chamado ns-contoso e que a sua aplicação em produção se chama ProdContosoApp. Assuma também que esta aplicação utiliza o Google como fornecedor de identidade e tem a regra "passthrough all claims" ativada para a Google.
Configuração
Para começar, vá ao Portal de Gestão de Microsoft Azure, inicie sção e clique em Ative Directory. Selecione o espaço de nomes ACS (ns-contoso) e, em seguida, clique em Gerir para lançar o Portal de Gestão ACS.
No Portal de Gestão acs, clique em Aplicações do Partido De Gestão de Relying na árvore do lado esquerdo ou clique no link Aplicações do Partido De Gestão de Pessoas Em Gestão de Relying na secção Introdução. Em seguida, clique na sua aplicação de produção (ProdContosoApp).
Note as propriedades do ProdContosoApp, vai precisar destas mais tarde.
.png "Edit Relying Party Application dialog")
Clique em Predefinição de Regras Para ProdContosoApp nos grupos De regras para verificar se tem a regra "passthrough all claims" ativada para a Google.
Passo 1: Configurar uma instância de teste da sua aplicação no espaço de nomes ACS de produção
Configurar uma instância de teste da sua aplicação, TestContosoApp, num URI de raiz diferente; por exemplo, https://contoso-test.com:7777/. . Terá de registá-lo como uma aplicação do partido de relying (Aplicações do Partido De Gestão de Festas) no espaço de nomes ns-contoso.
No Portal de Gestão acs, clique em Aplicações do Partido De Gestão de Relying na árvore do lado esquerdo ou clique no link Aplicações do Partido De Gestão de Pessoas Em Gestão de Relying na secção Introdução. Em seguida, clique em Adicionar na página Aplicações do Partido De Relying .
Na página 'Adicionar Inscrição de Festas de Inscrição ', faça o seguinte:
Em Nome, digite o nome da aplicação de teste. Aqui é TestContosoApp.
No Modo, selecione Introduzir as definições manualmente.
No Reino, escreva no URI da aplicação de teste. Aqui está https://contoso-test.com:7777/.
Para efeitos deste Modo, pode deixar o URL de Erro (opcional) em branco.
Para o formato Token, a política de encriptação Token e as propriedades de vida útil (secs) e a secção token signing Definições, utilize os mesmos valores que usou para o ProdContosoApp.
Certifique-se de que selecionou o Google como Fornecedor de Identidade.
Nos grupos de regras, selecione Criar um novo grupo de regras.
.png "Add Relying Party Application dialog")
Clique em Guardar na parte inferior da página.
Passo 2: Criar um Grupo de Regras que simula o formato do token ACS que a aplicação receberá uma vez que o espaço de nome tenha sido migrado para usar a implementação de Ligação OpenID da Google
No Portal de Gestão acs, clique em Grupos de Regras na árvore do lado esquerdo ou clique na ligação 'Grupo de Regras' na secção Introdução. Em seguida, clique em Adicionar na página Grupos de Regras .
Na página 'Adicionar Regras Grupo ', forneça um nome para o novo grupo de regras, por exemplo , ManualGoogleRuleGroup. Clique em Guardar.
.png "Add Rule Group dialog")
Na página 'Grupo regra de edição' , clique no link Adicionar .
.png "Edit Rule Group dialog")
Na página 'Adicionar Regra reclamação ', certifique-se de que tem os seguintes valores no lugar e clique em Guardar. Isto gera uma regra de "passthrough all claims" para o Google.
Se seção:
O Fornecedor de Identidade é o Google.
A seleção do tipo de reclamação de entrada é Qualquer.
O valor da reclamação de entrada é Qualquer.
Em seguida, secção:
O tipo de reclamação de saída é Passar através do primeiro tipo de reclamação.
O valor da reclamação de saída é passar pelo valor de reclamação de primeira entrada.
Secção de informação sobre regras:
- Deixe o campo Descrição (opcional) em branco.
.png "Add Claim Rule dialog")
Na página 'Grupo regra de edição ', clique novamente no link Adicionar .
Na página 'Adicionar Regra reclamação' , certifique-se de que tem os seguintes valores no lugar e clique em Guardar. Isto gera uma regra de reivindicação "estática" para a Google que simula a adição de um novo tipo de reivindicação, Subject, que é o novo utilizador OpenID Ligação identificador que a Google envia a aplicação após migração.
Se seção:
O Fornecedor de Identidade é o Google.
A seleção do tipo de reclamação de entrada é Qualquer.
O valor da reclamação de entrada é Qualquer.
Em seguida, secção:
O tipo de reclamação de saída é o tipo De Entrada. No campo, tipo https://schemas.microsoft.com/identity/claims/subject.
O valor da reclamação de saída é o valor Enter. No campo, tipo 123456.
Secção de informação sobre regras:
- Deixe o campo Descrição (opcional) em branco.
.png "Add Claim Rull dialog")
Clique em Guardar na página 'Grupo de Regras de Edição '.
Passo 3: Associar o novo Grupo de Regras à instância de teste da aplicação
No Portal de Gestão acs, clique em Aplicações do Partido De Gestão de Relying na árvore do lado esquerdo ou clique no link Aplicações do Partido De Gestão de Pessoas Em Gestão de Relying na secção Introdução. Em seguida, clique em TestContosoApp na página Aplicações do Partido De Gestão de Partidos Confiantes .
Na página Editar Relying Party, selecione ManualGoogleRuleGroup na secção Definições autenticação e clique em Guardar.
.png "Authentication Settings")
Neste momento, todos os pedidos de inscrição do Google nas suas aplicações de teste incluirão o novo tipo de reclamação.
Passo 4: Teste para garantir que a sua aplicação pode lidar com a adição do tipo de reclamação de assunto
Teste a sua aplicação para garantir que pode lidar com a presença do novo tipo de reclamação (Sujeito) graciosamente. Normalmente, uma aplicação bem escrita deve ser robusta para novos tipos de reclamações serem adicionados ao token. Encontre e corrija qualquer problema. Opcionalmente, também pode seguir o Como: Migrar os identificadores Open ID 2.0 existentes dos seus utilizadores para a nova secção de identificadores de Ligação openID para fazer o mapeamento do identificador do utilizador.
Passo 5: Migrar o seu ambiente de produção
Reu construa e implemente a sua aplicação de produção (ProdContosoApp). Migrar o espaço de nomes (ns-contoso) para utilizar a implementação do OpenID Ligação da Google seguindo os passos na passagem da migração. Verifique se o ProdContosoApp funciona como esperado.