Anvisningar: Lägga till en Azure AD klientorganisation som identitetsprovider

Artikel
11/09/2015

Uppdaterad: 19 juni 2015

Gäller för: Azure

Gäller för

Microsoft Azure Active Directory Access Control (kallas även Access Control Service eller ACS)

Översikt

Det här avsnittet beskriver hur du lägger till en Azure Active Directory klientorganisation (AD) i listan över identitetsprovidrar i ditt Access Control namnområde. Med den här funktionen kan du använda klientorganisationen som identitetsprovider för program som är associerade med namnområdet.

Processen har två huvudelement:

Lägg till Access Control-namnområdet i Azure AD-klientorganisationen som en webbapp. På så sätt kan namnområdet (webbappen) ta emot token från Azure AD.
Lägg till Azure AD-klientorganisationen i Access Control namnrymd som identitetsprovider.

De återstående stegen är gemensamma för alla identitetsprovidrar i ACS. Du kan lägga till program och regler för förlitande part som avgör vilka identitetsanspråk som skickas från identitetsprovidrar till program från förlitande part.

Krav

Anvisningarna i det här avsnittet kräver följande:

En Azure-prenumeration. Mer information finns i Komma igång med Azure.
Ett Namnområde för Azure Access Control. Mer information finns i How to: Create an Access Control Namespace (Gör så här: Skapa ett Access Control-namnområde).
Visual Studio 2012

Sammanfattning av steg

Utför följande steg för att lägga till en Azure AD klientorganisation som identitetsprovider:

Steg 1: Hitta namnet på Access Control namnområdet
Steg 2: Lägg till Access Control-namnområdet som ett webbprogram
Steg 3: Lägg till Azure AD-klientidentitetsprovidern i Access Control-namnområdet
Steg 4: Använd Azure AD-klientidentitetsprovidern med din app

Steg 1: Hitta namnet på Access Control namnområdet

I det här steget kopierar vi namnområdets namn för användning i nästa steg. Du behöver namnområdesnamnet för att ange att token ska skickas till slutpunkten som tar emot WS-Federation inloggningssvar.

Även om namnområdes-URL:en finns i ett fält med etiketten Hanteringsportal skickas token till den angivna slutpunkten, inte till portalen.

Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)
Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control namnområden, välj namnområdet och klicka sedan på Hantera.)
Klicka på Programintegrering.
Kopiera värdet för fältet Hanteringsportal .

URL:en i fältet Hanteringsportal har följande format:

< https:// Namespace.accesscontrol.windows.net/>

Spara värdet. Du behöver det i nästa steg.

Värdet för fältet Hanteringsportal är namnområdesnamnet och URL:en för slutpunkten som tar emot WS-Federation inloggningssvar.

Steg 2: Lägg till Access Control-namnområdet som ett webbprogram

I det här steget använder du funktionerna i Azure-hanteringsportalen för att lägga till Access Control namnrymd som ett webbprogram i Azure AD klientorganisationen. Detta gör klientorganisationen till mottagare av de token som Azure AD genererar.

Gå till Azure-hanteringsportalen och logga in. Klicka på Active Directory, klicka på en katalog, klicka på Program och klicka sedan på Lägg till.
Ange ett namn för appen. I fältet Typ väljer du Webbprogram och/eller Webb-API (standard). För att gå vidare klickar du på pilen.
I textrutorna App-URL och App-ID-URI klistrar du in den URL som fanns i fältet Hanteringsportal på sidan Programintegrering . Klicka på pilen om du vill fortsätta.

Appens URL är den adress som token skickas till när en användare autentiseras. App-ID-URI är den målgrupp som token är begränsad till. Om vi använde något annat värde än entityID för Access Control-namnområdet tolkar ACS det som en token som återanvänds från en man-in-the-middle-attack.

När du klistrar in bör du vara noga med att inte inkludera avslutande blanksteg eller extra tecken efter det sista snedstrecket (/). Annars markerar Azure AD URL:en som ogiltig.
På sidan Katalogåtkomst väljer du standardinställningen Enkel inloggning. Eftersom ACS inte anropar Graph API används inte inställningen. Slutför processen genom att klicka på bockmarkeringen.

Nu känner din Azure AD klientorganisation till ditt Access Control namnområde och kan utfärda token för det.
På den sista sidan kopierar du URL:en för federationsmetadata. Du behöver den om några minuter.

Så här återgår du till den här sidan:
- Gå till Azure-hanteringsportalen och logga in.
- Klicka på en Azure-katalog.
- Klicka på Program.
- Klicka på programmet.
URL:en för federationsmetadata visas också på sidan Appslutpunkter för programmet. Om du vill visa den här sidan klickar du på Visa slutpunkter på sidan Program.

Steg 3: Lägg till Azure AD-klientidentitetsprovidern i Access Control-namnområdet

I det här steget lägger du till säkerhetstokentjänsten (STS) för Azure AD-klientorganisationen i Access Control namnområdet.

Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)
Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control namnområden, välj namnområdet och klicka sedan på Hantera.)

Den här åtgärden öppnar ACS-hanteringsportalen för Access Control namnrymd.
Klicka på Identitetsprovidrar och sedan på Lägg till.
Välj WS-Federation identitetsprovider och klicka sedan på Nästa.
Ange ett visningsnamn och text för inloggningslänken. Det finns inga särskilda krav för dessa värden.
I avsnittet WS-Federation metadata klickar du på URL och klistrar sedan in url:en för federationsmetadata som du kopierade från programsidan. Klicka sedan på Spara.

Ett annat användbart fält på den här sidan är fältet Inloggningslänktext . Värdet för det fältet visas i listan över identitetsprovidrar som erbjuds till användare när de loggar in på programmet.

Steg 4: Använd Azure AD-klientidentitetsprovidern med din app

Den Azure AD klientorganisationen har nu registrerats som en identitetsprovider för Access Control namnrymd. På sätt och vis är vår uppgift slutförd. I det här steget visar vi dock hur du använder den nya identitetsprovidern genom att lägga till den i erbjudandet om identitetsprovidrar för en webbapp.

Om du vill välja den nya identitetsprovidern för din app använder du standardproceduren:

Starta Visual Studio 2012 och öppna en webbapp.
I Solution Explorer högerklickar du på appnamnet och klickar sedan på Identitet och åtkomst.
På fliken Providers klickar du på Använd Azure Access Control Service.
Om du vill associera appen med ett Access Control namnområde behöver du hanteringsnyckeln för namnområdet. Så här hittar du den.
1. Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)
2. Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control namnområden, välj namnområdet och klicka sedan på Hantera.)
3. Klicka på Hanteringstjänst, klicka på Hanteringsklient och klicka sedan på Symmetrisk nyckel.
4. Klicka på Visa nyckel, kopiera nyckelvärdet och klicka sedan på Dölj nyckel.
I dialogrutan Visual Studio Konfigurera ACS-namnområde anger du namnet på Access Control namnrymd och klistrar in värdet för hanteringsnyckeln.
Välj sedan Azure AD klientidentitetsprovider i listan över identitetsprovidrar i namnområdet.
När du kör appen innehåller en dialogruta för inloggning Azure AD klientidentitetsprovider bland alternativen för identitetsprovidern. (Det namn som visas på den här sidan definieras i fältet Inloggningslänktext på sidan inställningar för identitetsprovider.)
Välj den Azure AD klientorganisationen och logga sedan in med ditt organisationskonto.