Практическое руководство. Настройка Google в качестве поставщика удостоверений
Обновлено: 19 июня 2015 г.
Область применения: Azure
Важно!
С 19 мая 2014 г. новые пространства имен ACS не могут использовать Google как поставщик удостоверений. Это не распространяется на пространства имен ACS, использовавшие Google и зарегистрированные до указанной даты. Дополнительные сведения см. в заметках о выпуске.
Применяется к
- Microsoft Azure Active Directory Access Control (также называется Access Control Service или ACS)
Сводка
В этом руководстве объясняется, как настроить Google в качестве поставщика удостоверений ACS. Настройка Google в качестве поставщика удостоверений для веб-приложения ASP.NET даст вашим пользователям возможность проходить проверку подлинности в приложении, входя по своей учетной записи Google.
Содержимое
Задачи
Обзор
Сводка действий
Шаг 1. Создание пространства имен
Шаг 2. Настройка Google в качестве поставщика удостоверений
Шаг 3. Настройка отношения доверия с проверяющей стороной
Шаг 4. Настройка правил преобразования токенов
Шаг 5. Проверка конечных точек, предоставляемых пространством имен
Задачи
Создайте проект Microsoft Azure и пространство имен.
Настроить Google в качестве поставщика удостоверений.
Настроить отношения доверия и правила преобразования токенов.
Ознакомиться со справочником по конечным точкам, списком служб и конечными точками метаданных.
Обзор
Настройка Google в качестве поставщика удостоверений устраняет необходимость в создании и обслуживании механизма проверки подлинности и управления удостоверениями. Это также упрощает пользовательский интерфейс благодаря наличию знакомых процедур проверки подлинности. С помощью ACS можно легко настроить конфигурацию, которая позволяет приложению легко использовать его и предоставлять пользователям такие функциональные возможности. В данном руководстве описано, как этого добиться. На следующей схеме показан общий поток настройки проверяющей стороны ACS для использования.
Сводка действий
Чтобы настроить Google как поставщик удостоверений для приложения, выполните следующие действия:
Шаг 1. Создание пространства имен
Шаг 2. Настройка Google в качестве поставщика удостоверений
Шаг 3. Настройка отношения доверия с проверяющей стороной
Шаг 4. Настройка правил преобразования токенов
Шаг 5. Проверка конечных точек, предоставляемых пространством имен
Шаг 1. Создание пространства имен
На этом шаге создается пространство имен контроль доступа в проекте Azure. Его можно пропустить, если вы хотите настроить Google как поставщик удостоверений для существующего пространства имен.
Создание пространства имен контроль доступа в проекте Azure
Перейдите на портал управления Microsoft Azure (https://manage.WindowsAzure.com), войдите и щелкните Active Directory. (Совет по устранению неполадок: элемент Active Directory отсутствует или недоступен)
Чтобы создать пространство имен Access Control, щелкните Создать, Службы приложений, Управление доступом, а затем выберите Быстрое создание. (Или щелкните Пространства имен Access Control перед тем, как щелкнуть Создать.)
Шаг 2. Настройка Google в качестве поставщика удостоверений
Здесь объясняется, как настроить Google в качестве поставщика удостоверений для существующего пространства имен.
Настройка Google в качестве поставщика удостоверений для существующего пространства имен
Перейдите на портал управления Microsoft Azure (https://manage.WindowsAzure.com), войдите и щелкните Active Directory. (Совет по устранению неполадок: элемент Active Directory отсутствует или недоступен)
Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)
На портале ACS щелкните "Поставщики удостоверений".
На странице Добавление поставщика удостоверений нажмите Добавить и выберите Google.
На странице Добавление поставщика удостоверений Google нажмите Сохранить.
Шаг 3. Настройка отношения доверия с проверяющей стороной
На этом шаге показано, как настроить доверие между приложением, называемым проверяющей стороной и ACS.
Настройка отношения доверия
Перейдите на портал управления Microsoft Azure (https://manage.WindowsAzure.com), войдите и щелкните Active Directory. (Совет по устранению неполадок: элемент Active Directory отсутствует или недоступен)
Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)
На портале ACS щелкните "Приложения проверяющей стороны " и нажмите кнопку "Добавить".
На странице Добавление приложения проверяющей стороны задайте следующие значения полей.
Имя — произвольное имя.
Область — это URI, для которых действительны маркеры, выданные ACS.
URL-адрес возврата — URL-адрес возврата определяет URL-адрес, который ACS публикует выданный маркер для данного приложения проверяющей стороны.
Формат маркера — формат маркера определяет тип проблем ACS маркера для приложения проверяющей стороны.
Политика шифрования маркеров . При необходимости ACS может шифровать любой токен SAML 1.1 или SAML 2.0, выданный приложению проверяющей стороны.
Время существования маркера — время жизни маркера (TTL) для маркера, выданного ACS приложению проверяющей стороны.
Поставщики удостоверений — здесь можно указать, какие поставщики удостоверений будет использовать приложение проверяющей стороны. Убедитесь, что выбран Google.
Группы правил — группы правил содержат правила, определяющие, какие утверждения о удостоверениях пользователей передаются от поставщиков удостоверений приложению проверяющей стороны.
Подписывание маркеров — ACS подписывает все маркеры безопасности, которые он выдает, используя сертификат X.509 (с закрытым ключом) или 256-разрядный симметричный ключ.
Дополнительные сведения о каждом поле см. в разделе "Приложения проверяющей стороны".
Выберите команду Сохранить.
Шаг 4. Настройка правил преобразования токенов
На этом шаге показано, как настроить отправку утверждений acS приложению проверяющей стороны. Например, Google по умолчанию не отправляет адрес электронной почты пользователя. Нужно настроить поставщик удостоверений так, чтобы он отправлял нужные приложению утверждения, а также задать способ их преобразования. Следующая процедура описывает добавление правила передачи адреса электронной почты в токене для приложения.
Настройка правил преобразования утверждений в токенах
Перейдите на портал управления Microsoft Azure (https://manage.WindowsAzure.com), войдите и щелкните Active Directory. (Совет по устранению неполадок: элемент Active Directory отсутствует или недоступен)
Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)
На портале ACS щелкните "Группы правил" и нажмите кнопку " Добавить". Также можно изменить существующую группу правил.
Введите имя для группы и нажмите кнопку Сохранить.
На странице Изменение группы правил нажмите кнопку Добавить.
На странице Добавление правила для утверждений укажите следующие значения.
Издатель утверждений: выберите поставщика удостоверений и Google.
Тип входного утверждения: Выберите тип и https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.
Значение входного утверждения: выберите "Любой".
Тип выходного утверждения: выберите " Передать через тип входного утверждения".
Значение выходного утверждения: выберите " Передать через входное значение утверждения".
При необходимости в поле Описание введите описание правила.
На страницах "Изменение группы правил" и "Группы правил" нажмите кнопку Сохранить.
Щелкните нужные Приложения проверяющей стороны.
Прокрутите страницу до раздела Группы правил, выберите новую группу правил и нажмите Сохранить.
Шаг 5. Проверка конечных точек, предоставляемых пространством имен
На этом шаге вы познакомится с конечными точками, предоставляемыми ACS. Например, ACS предоставляет конечную точку метаданных WS-Federation, которая используется FedUtil при настройке веб-приложений ASP.NET для федеративной проверки подлинности.
Проверка конечных точек, предоставляемых ACS
Перейдите на портал управления Microsoft Azure (https://manage.WindowsAzure.com), войдите и щелкните Active Directory. (Совет по устранению неполадок: элемент Active Directory отсутствует или недоступен)
Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)
На портале ACS щелкните " Интеграция приложений"
Ознакомьтесь с таблицей Справочник по конечным точкам. Например, метаданные WS-Federation, предоставляемые по данному URL-адресу, должны походить на следующие (ваше пространство имен будет отличаться).
https://my-namespace1.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml