Практическое руководство. Добавление клиента Azure AD в качестве поставщика удостоверений
Обновлено: 19 июня 2015 г.
Область применения: Azure
Применяется к
- Microsoft Azure Active Directory Access Control (также называется Access Control Service или ACS)
Обзор
В этом разделе объясняется, как добавить клиент Azure Active Directory (AD) в список поставщиков удостоверений в пространстве имен контроль доступа. Эта функция позволяет использовать клиент в качестве поставщика удостоверений для приложений, связанных с этим пространством имен.
В процесс входят два основных элемента.
Добавьте пространство имен контроль доступа в клиент Azure AD в качестве веб-приложения. Это позволяет пространству имен (веб-приложению) получать токены из Azure AD.
Добавьте клиент Azure AD в пространство имен контроль доступа в качестве поставщика удостоверений.
Остальные шаги являются стандартными для всех поставщиков удостоверений в ACS. Вы можете добавить приложения проверяющей стороны и правила, определяющие, какие утверждения удостоверений передаются от поставщиков удостоверений в приложения проверяющей стороны.
Требования
В инструкциях этого раздела требуется следующее.
Подписка Azure. Дополнительные сведения см. в статье начало работы в Azure.
Пространство имен службы контроля доступа Azure. Дополнительные сведения см. в статье "Практическое руководство. Создание пространства имен контроль доступа".
Visual Studio 2012
Сводка действий
Чтобы добавить клиент Azure AD в качестве поставщика удостоверений, выполните следующие действия.
Шаг 1. Поиск имени пространства имен контроль доступа
Шаг 2. Добавление пространства имен контроль доступа в качестве веб-приложения
Шаг 3. Добавление поставщика удостоверений клиента Azure AD в пространство имен контроль доступа
Шаг 4. Использование поставщика удостоверений клиента Azure AD с приложением
Шаг 1. Поиск имени пространства имен контроль доступа
В этом шаге мы скопируем имя пространства имен для использования в следующем шаге. Имя пространства имен нужно, чтобы указать, что токены следует отправлять в конечную точку, которая получает ответы входа WS-Federation.
Хотя URL-адрес пространства имен находится в поле, отмеченном как Портал управления, токены отправляются в указанную конечную точку, а не на портал.
Перейдите на портал управления Microsoft Azure (https://manage.WindowsAzure.com), войдите в систему и щелкните Active Directory. (Совет по устранению неполадок: элемент Active Directory отсутствует или недоступен)
Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)
Нажмите кнопку Интеграция приложений.
Скопируйте значение поля Портал управления.
URL-адрес в поле "Портал управления" имеет следующий формат:
< https:// Namespace.accesscontrol.windows.net/>
Сохраните значение. Оно понадобится в следующем шаге.
Значение поля Портал управления — это имя пространства имен и URL-адрес конечной точки, которая получает ответы входа WS-Federation.
Шаг 2. Добавление пространства имен контроль доступа в качестве веб-приложения
На этом шаге вы будете использовать функции портала управления Azure для добавления пространства имен контроль доступа в качестве веб-приложения в клиенте Azure AD. Это сделает клиент получателем токенов, которые создает Azure AD.
Перейдите на портал управления Azure и войдите в систему. Щелкните Active Directory, щелкните каталог, щелкните "Приложения" и нажмите кнопку "Добавить".
Введите имя приложения. В поле Тип выберите Веб-приложение и (или) веб-интерфейс API (значение по умолчанию). Чтобы продолжить, нажмите стрелку.
В текстовых полях "URL-адрес приложения" и "Универсальный код ресурса идентификатора приложения" вставьте URL-адрес, указанный в поле Портал управления на странице Интеграция приложения. Чтобы продолжить, нажмите стрелку.
URL-адрес приложения — это адрес, на который отправляются токены, когда пользователь успешно выполняет проверку подлинности. Универсальный код ресурса идентификатора приложения — это аудитория, которой ограничен токен. Если мы использовали любое значение, отличное от entityID пространства имен контроль доступа, служба ACS будет интерпретировать ее как токен, повторно используемый из атаки "злоумышленник в середине".
При вставке будьте внимательны и не указывайте пробелы в конце или дополнительные символы после косой черты (/). В противном случае Azure AD отметит URL-адрес как недопустимый.
На странице "Доступ к каталогу" выберите параметр по умолчанию — Единый вход. Поскольку ACS не вызывает API Graph, параметр не используется. Чтобы завершить процесс, установите флажок.
На этом этапе ваш клиент Azure AD знает о пространстве имен контроль доступа и может выдавать маркеры для него.
На последней странице скопируйте URL-адрес метаданных федерации. Он понадобится через несколько минут.
Чтобы вернуться на эту страницу, выполните следующие действия.
Перейдите на портал управления Azure и войдите в систему.
Щелкните каталог Azure.
Выберите Приложения.
Щелкните приложение.
URL-адрес метаданных федерации также указан на странице приложения Конечные точки приложения. Чтобы просмотреть эту страницу, на странице "Приложение" щелкните кнопку Просмотреть конечные точки.
Шаг 3. Добавление поставщика удостоверений клиента Azure AD в пространство имен контроль доступа
На этом шаге вы добавите службу маркеров безопасности (STS) для клиента Azure AD в пространство имен контроль доступа.
Перейдите на портал управления Microsoft Azure (https://manage.WindowsAzure.com), войдите в систему и щелкните Active Directory. (Совет по устранению неполадок: элемент Active Directory отсутствует или недоступен)
Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)
Это действие открывает портал управления ACS для пространства имен контроль доступа.
Щелкните Поставщики удостоверений и нажмите кнопку Добавить.
Выберите поставщика удостоверений WS-Federation и нажмите кнопку "Далее".
Введите отображаемое имя и текст ссылки входа. Для этих значений нет специальных требований.
В разделе метаданных WS-Federation щелкните URL-адрес и вставьте URL-адрес метаданных федерации, скопированный на странице приложения. Нажмите кнопку Сохранить.
Еще одно полезное поле на этой странице — это поле Текст ссылки входа. Это значение поля, которое появляется в списке поставщиков удостоверений, предлагаемом пользователям при входе в приложение.
Шаг 4. Использование поставщика удостоверений клиента Azure AD с приложением
Клиент Azure AD теперь зарегистрирован в качестве поставщика удостоверений для пространства имен контроль доступа. В некотором смысле наша задача завершена. Однако на этом шаге мы покажем, как использовать новый поставщик удостоверений, добавив его в предложение поставщиков удостоверений для веб-приложения.
Чтобы выбрать нового поставщика удостоверений для приложения, следуйте стандартной процедуре.
Запустите Visual Studio 2012 и откройте веб-приложение.
В обозревателе решений щелкните правой кнопкой мыши имя приложения и нажмите кнопку Удостоверение и доступ.
На вкладке "Поставщики" щелкните Использовать службу контроля доступа Azure.
Чтобы связать приложение с пространством имен службы контроля доступа, необходим ключ управления для пространства имен. Вот, как найти его.
Перейдите на портал управления Microsoft Azure (https://manage.WindowsAzure.com), войдите в систему и щелкните Active Directory. (Совет по устранению неполадок: элемент Active Directory отсутствует или недоступен)
Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)
Щелкните кнопку Служба управления, нажмите Клиент управления, а затем — Симметричный ключ.
Щелкните кнопку Отобразить ключ, скопируйте значение ключа и нажмите Скрыть ключ.
Вернувшись к диалоговому окну Настройка пространства имен ACS Visual Studio, введите имя пространства имен службы контроля доступа и вставьте значение ключа управления.
Затем выберите поставщика удостоверений клиента Azure AD из списка поставщиков удостоверений в пространстве имен.
При запуске приложения в диалоговом окне входа среди вариантов поставщиков удостоверений появится поставщик удостоверений клиента Azure AD. (Имя, которое отображается на этой странице, указано в поле Текст ссылки входа на странице параметров поставщика удостоверений.)
Выберите клиент Azure AD и войдите с помощью учетной записи организации.
После этого вы получите доступ к своему приложению. Токены проверки подлинности перенаправляются в клиент Azure AD, который используется в качестве поставщика удостоверений.