Migrera ACS-namnområden till Google OpenID Anslut
Det här avsnittet är för ägare av Access Control Service (ACS) 2.0-namnrymder som för närvarande använder Google som identitetsprovider. ACS tillhandahåller den här funktionen med hjälp av Googles OpenID 2.0-implementering. Google planerar att avbryta OpenID 2.0-supporten senast den 20 april 2015. ACS-namnområden fortsätter att fungera med Googles OpenID 2.0-implementering fram till den 1 juni 2015, då du måste slutföra migreringen av dessa namnområden för att använda Googles OpenID-Anslut implementering, annars kommer användarna inte längre att kunna logga in på ditt program med ett Google-konto. Om du migrerar ACS-namnrymderna till OpenID Anslut orsakas inte programmets driftstopp. Med ett undantag (se anmärkningen nedan) är den här migreringen möjlig utan att ändra programkoden. När du har migrerat dina ACS-namnområden för att använda OpenID Anslut måste du migrera användarnas identifierare i serverdelen till OpenID Anslut identifierare. Den här migreringen måste vara klar den 1 januari 2017. Det kräver kodändringar i serverdelen. Se den viktiga anteckningen nedan för information om båda migreringsfaserna.
Viktigt
Observera följande viktiga datum och slutför de åtgärder som krävs för varje datum för att säkerställa att dina ACS-namnområden som använder Google som identitetsprovider fortsätter att fungera:
- 1 juni 2015 – ACS-namnrymder slutar arbeta med Googles OpenID 2.0-implementering. Du måste slutföra migreringen av ACS-namnområdet för att kunna använda Google OpenID Anslut det här datumet. Före detta datum kan du återställa till OpenID 2.0 om du stöter på problem under migreringen. För namnrymder som inte har migrerats före det här datumet kommer användarna inte längre att kunna logga in med ett Google-konto och visas med en sida som anger att OpenID 2.0 för Google-konton har försvunnit. Om du vill återställa inloggningsfunktionen med Google-konton måste du migrera namnområdet.
I de flesta fall bör inga ändringar av programkoden krävas. Om du har regeln "genomströmning för alla anspråk" för Google som identitetsprovider i en regelgrupp som är associerad med ditt program kan du dock behöva göra kodändringar. Det beror på att en ny anspråkstyp (ämne) vid migrering blir tillgänglig för ACS från Google, och du kan behöva göra kodändringar för att säkerställa att ditt program kan hantera förekomsten av den nya anspråkstypen på ett smidigt sätt. För att slutföra migreringen behöver du inte bearbeta den nya anspråkstypen i ditt program.
- 1 januari 2017 – Googles OpenID 2.0 och OpenID Anslut implementeringar använder olika identifierare för att unikt identifiera Google-användare. När du migrerar ACS-namnområdet gör ACS två identifierare, både den aktuella OpenID 2.0-identifieraren och den nya OpenID-Anslut-identifieraren, tillgängliga för ditt program. Du måste byta användarnas identifierare i serverdelssystemet till OpenID Anslut identifierare senast det här datumet och börja använda endast OpenID Anslut identifierare framöver. Detta kräver ändringar i programkoden.
Du kan skicka frågor om migrering på Stack Overflow och tagga dem med "acs-google". Vi kommer att svara så snabbt som möjligt.
Mer information om Googles planer finns i deras OpenID 2.0-migreringsguide.
Checklista för migrering
Följande tabell innehåller en checklista som sammanfattar de steg som krävs för att migrera ACS-namnområdet för att använda Googles OpenID Anslut implementering:
| Steg | Description | Måste slutföras av |
|---|---|---|
1 |
Skapa ett Google+-program i Google Developers Console. |
Den 1 juni 2015 |
2 |
Om du har regeln "genomströmning för alla anspråk" för Google som identitetsprovider i en regelgrupp som är associerad med ditt program testar du programmet för att säkerställa att det är migreringsklart. Annars är det här steget valfritt. |
Den 1 juni 2015 |
3 |
Använd ACS-hanteringsportalen för att växla ditt ACS-namnområde till att använda Googles OpenID-Anslut implementering genom att förse den med google+-programmets parametrar (klient-ID och klienthemlighet). Om du stöter på problem med migreringen kan du återställa till OpenID 2.0 fram till den 1 juni 2015. |
Den 1 juni 2015 |
4 |
Migrera användarnas identifierare i serverdelssystemet från de aktuella Google OpenID 2.0-identifierarna till de nya Google OpenID-Anslut identifierarna. Detta kräver kodändringar. |
Den 1 januari 2017 |
Genomgång av migrering
Om du vill migrera ACS-namnområdet för att använda Googles OpenID-Anslut implementering utför du följande steg:
Skapa ett Google+-program
Detaljerade anvisningar om hur du gör detta finns i avsnittet How to: Create a Google+ application (Gör så här: Skapa ett Google+-program).
Kontrollera att programmet är migreringsklart
Om du har regeln "genomströmning för alla anspråk" för Google som identitetsprovider i en regelgrupp som är associerad med ditt program följer du anvisningarna i avsnittet Så här: Se till att ett ACS-program är redo för migrering för att testa programmet för migreringsberedskap. Detta beror på att vid migrering blir en ny anspråkstyp (ämne) tillgänglig för ACS från Google.
Anteckning
En regel för "genomströmning för alla anspråk" är en regel där Indataanspråkstyp och Inkommande anspråksvärde är inställda på Valfri och Utgående anspråkstyp och Utgående anspråksvärde anges till Skicka genom första inkommande anspråkstyp respektive Skicka genom inkommande anspråksvärde . Regeln visas på ACS-hanteringsportalen enligt nedan, med kolumnen Utdataanspråk inställd på Genomströmning.
.png "Passthrough rule")
Om du tidigare har genererat regler eller lagt till regler manuellt för Google som identitetsprovider i en regelgrupp som är associerad med ditt program kan du hoppa över det här steget. Detta beror på att den nya ämnesanspråkstypen inte skickas till programmet vid migrering.
Mer information om de här alternativen finns i Regelgrupper och Regler.
Växla ACS-namnområdet för att använda Googles OpenID-Anslut implementering
Gå till Microsoft Azure-hanteringsportalen, logga in och klicka på Active Directory. Välj det ACS-namnområde som ska migreras och klicka på Hantera för att starta ACS-hanteringsportalen.
På ACS-hanteringsportalen klickar du på Identitetsprovidrar i trädet till vänster eller klickar på länken Identitetsprovidrar under avsnittet Komma igång. Klicka på Google.
.png "Access Control Service Identity Providers Dialog")
På sidan Redigera Google-identitetsprovider markerar du Använd OpenID Anslut.
.png "Edit Google Identity Provider dialog")
I fälten Klient-ID och Klienthemlighet (nu aktiverat) kopierar du motsvarande värden från ditt Google+-program.
.png "Edit Google Identity Provider dialog")
Anteckning
Om du klickar på Spara använder alla förfrågningar från Googles identitetsprovider från ACS-namnområdet automatiskt Googles OpenID-Anslut implementering. Om du behöver återställa kan du avmarkera Använd OpenID Anslut. Klient-ID och klienthemlighet förblir sparade och kan återanvändas senare.
Klicka på Spara.
Prova att logga in med ett Google-ID för att säkerställa att bytet till att använda OpenID Anslut lyckades. Om du har problem med att logga in går du tillbaka till sidan Redigera Google Identity Provider och avmarkerar Använd OpenID-Anslut för att återställa till OpenID 2.0. När du har återställt kontrollerar du att klient-ID :t och hemligheten som du kopierade från Google Developer Console har angetts korrekt för ditt namnområde. Sök till exempel efter stavfel.
Migrera användarnas identifierare i serverdelssystemet från Open ID 2.0 till OpenID Anslut
Du måste migrera användarnas identifierare i serverdelssystemet från befintliga Google Open ID 2.0-identifierare till de nya Google OpenID-Anslut identifierarna före den 1 januari 2017. Det här steget kräver kodändringar. Mer information finns i How to: Migrate your users's existing Open ID 2.0 identifiers to new OpenID Anslut user identifiers (Migrera användarnas befintliga Open ID 2.0-identifierare till nya OpenID-Anslut användaridentifierare)
Anvisningar: Skapa ett Google+-program
Du behöver ett Google-konto för att utföra följande steg. Om du inte har en, kan du få en på https://accounts.google.com/SignUp.
I ett webbläsarfönster navigerar du till Google Developers Console och loggar in med dina autentiseringsuppgifter för Google-kontot.
Klicka på Skapa Project och ange ett Project namn och Project-ID. Markera kryssrutan Användningsvillkor . Klicka sedan på Skapa. Detta registrerar programmet hos Google.
.png "Google Developer Console New Project dialog")
Klicka på API-autentisering & i det vänstra fönstret. Klicka sedan på Autentiseringsuppgifter. Under OAuth klickar du på Skapa nytt klient-ID. Välj Webbprogram och klicka på skärmen Konfigurera medgivande. Ange ett produktnamn och klicka på Spara.
.png "Google Developer Console Consent screen")
Klicka på API-autentisering & i det vänstra fönstret. Klicka sedan på API:er. Under Bläddra bland API:er söker du efter och hittar Google+ API. Aktivera Status.
.png "Google Developer Console Browse APIs")
I dialogrutan Skapa klient-ID väljer du Webbprogram som Programtyp.
I fältet Authorized Javascript Origins (Auktoriserat Javascript-ursprung ) anger du det fullständiga domännamns-URL:en (FQDN) för ditt namnområde, inklusive inledande "HTTPS://" och det avslutande portnumret. till exempel https://contoso.accesscontrol.windows.net:443.
I fältet Auktoriserade omdirigerings-URI:er anger du en URI som innehåller den fullständigt kvalificerade domännamns-URL:en (FQDN) för ditt namnområde, inklusive inledande "HTTPS://" och det avslutande portnumret, följt av "/v2/openid"; till exempel https://contoso.accesscontrol.windows.net:443/v2/openid.
Klicka på Skapa klient-ID.
.png "Google Developer Console Create Client ID screen")
Anteckna värdena för klient-ID och klienthemlighet från klient-ID:t för webbprogramsidan . Du behöver dem för att konfigurera Googles OpenID-Anslut implementering på ACS-hanteringsportalen.
.png "Google Developer Console Client ID for Web App")
Viktigt
Klienthemlighet är en viktig säkerhetsautentiseringsuppgift. Håll det hemligt.
Anvisningar: Migrera användarnas befintliga Open ID 2.0-identifierare till nya OpenID-Anslut användaridentifierare
När du har migrerat ditt ACS-namnområde för att använda Googles OpenID-Anslut implementering har du fram till den 1 januari 2017 (enligt Googles OpenID 2.0 Migration Guide) för att migrera användarnas identifierare i serverdelssystemet från de aktuella OpenID 2.0-identifierarna till de nya OpenID-Anslut identifierare.
Följande tabell visar anspråkstyper som blir tillgängliga för ACS från Google när ACS-namnområdet har migrerats för att använda Googles OpenID-Anslut implementering:
| Anspråkstyp | URI | Description | Protokolltillgänglighet |
|---|---|---|---|
Namn-ID |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
En unik identifierare för användarkontot som tillhandahålls av Google. Det här är (befintlig) OpenID 2.0-identifierare. |
OpenID 2.0, OpenID Anslut |
Ämne |
https://schemas.microsoft.com/identity/claims/subject |
En unik identifierare för användarkontot som tillhandahålls av Google. Det här är den (nya) OpenID-Anslut identifieraren. |
OpenID Connect |
Name |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
Visningsnamnet för användarkontot som tillhandahålls av Google. |
OpenID 2.0, OpenID Anslut (se anmärkning nedan) |
E-postadress |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
E-postadressen för användarkontot som tillhandahålls av Google |
OpenID 2.0, OpenID Anslut |
Identitetsprovider |
https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider |
Ett anspråk som tillhandahålls av ACS som talar om för den förlitande parten att användaren autentiserades med hjälp av Googles standardidentitetsprovider. Värdet för det här anspråket visas i ACS-hanteringsportalen via fältet Sfär på sidan Redigera identitetsprovider. |
OpenID 2.0, OpenID Anslut |
Anteckning
För en Google-användare som inte har en (registrerad) Google+-profil är värdet för anspråkstypen Namn samma som värdet för anspråkstypen e-postadress i OpenID Anslut.
Anspråkstyperna Namnidentifierare och Ämne kan användas för att spåra och växla befintliga användares unika identifierare i serverdelen genom att mappa (gamla) OpenID 2.0-identifierare till (nya) OpenID-Anslut identifierare.
Om du har regeln "genomströmning av alla anspråk" för Google som identitetsprovider i en regelgrupp som är associerad med ditt program, börjar ditt program automatiskt ta emot anspråkstypen Ämne .
Om du tidigare har genererat regler eller lagt till regler manuellt för Google som identitetsprovider i en regelgrupp som är associerad med ditt program måste du lägga till anspråkstypen Ämne manuellt. Mer information om hur du gör detta finns i Regelgrupper och Regler.
.png "Input Claim Configuration")
Om du till exempel tidigare hade genererat regler för Google som identitetsprovider i en regelgrupp och sedan lägger till den nya ämnesanspråkstypen (som visas ovan), visas följande.
.png "Google passthrough claims")
Programmet som använder den här regelgruppen får anspråkstypen Ämne tillsammans med andra anspråkstyper.
Anteckning
Efter den 1 januari 2017, när Google upphör med sitt stöd för identifierarmappning, fyller ACS i både anspråkstyperna NameIdentifier och Subject med samma OpenID-Anslut användaridentifierare.
Anvisningar: Se till att ett ACS-program är redo för migrering
Med ett undantag kan du migrera ditt ACS-namnområde för att använda Googles OpenID-Anslut implementering utan att ändra programkoden. Undantagsfallet är om du har regeln "genomströmning av alla anspråk" för Google som identitetsprovider i en regelgrupp som är associerad med ditt program. Detta beror på att en ny anspråkstyp (ämne) automatiskt skickas till programmet vid migrering.
I det här avsnittet beskrivs den rekommenderade ändrings- och testproceduren som du kan följa för att säkerställa att alla program som påverkas av migreringen är redo att hantera den nya anspråkstypen.
I den här instruktionen förutsätter vi att du är ägare till ett ACS-namnområde med namnet ns-contoso och att ditt program i produktion kallas ProdContosoApp. Anta också att det här programmet använder Google som identitetsprovider och har regeln "passthrough all claims" aktiverad för Google.
Installation
Kom igång genom att gå till Microsoft Azure-hanteringsportalen, logga in och klicka sedan på Active Directory. Välj ACS-namnområdet (ns-contoso) och klicka sedan på Hantera för att starta ACS-hanteringsportalen.
På ACS-hanteringsportalen klickar du på Program från förlitande part i trädet till vänster eller klickar på länken Program för förlitande part under avsnittet Komma igång. Klicka sedan på ditt produktionsprogram (ProdContosoApp).
Observera ned egenskaperna för ProdContosoApp, du behöver dessa senare.
.png "Edit Relying Party Application dialog")
Klicka på Standardregelgrupp för ProdContosoApp under Regelgrupper för att kontrollera att regeln "genomströmning av alla anspråk" är aktiverad för Google.
Steg 1: Konfigurera en testinstans av ditt program i acs-namnområdet för produktion
Konfigurera en testinstans av ditt program , TestContosoApp, på en annan rot-URI; till exempel https://contoso-test.com:7777/. Du måste registrera det som ett förlitande partprogram (förlitande partprogram) i namnområdet ns-contoso.
På ACS-hanteringsportalen klickar du på Program från förlitande part i trädet till vänster eller klickar på länken Program för förlitande part under avsnittet Komma igång. Klicka sedan på Lägg till på sidan Program för förlitande part .
Gör följande på sidan Lägg till förlitande partprogram :
I Namn skriver du namnet på testprogrammet. Här är det TestContosoApp.
I Läge väljer du Ange inställningar manuellt.
I Sfär skriver du in testprogrammets URI. Här är https://contoso-test.com:7777/det .
I den här så här gör du så här för att lämna fel-URL:en (valfritt) tom.
För egenskaperna Tokenformat, Tokenkrypteringsprincip och Tokenlivslängd (sek) och avsnittet Tokensignering Inställningar använder du samma värden som du använde för ProdContosoApp.
Kontrollera att du har valt Google som identitetsprovider.
Under Regelgrupper väljer du Skapa ny regelgrupp.
.png "Add Relying Party Application dialog")
Klicka på Spara längst ned på sidan.
Steg 2: Skapa en regelgrupp som simulerar formatet för acs-token som programmet får när namnområdet har migrerats för att använda Googles OpenID-Anslut implementering
I ACS-hanteringsportalen klickar du på Regelgrupper i trädet till vänster eller klickar på länken Regelgrupp under avsnittet Komma igång. Klicka sedan på Lägg till på sidan Regelgrupper .
På sidan Lägg till regelgrupp anger du ett namn för den nya regelgruppen, till exempel ManualGoogleRuleGroup. Klicka på Spara.
.png "Add Rule Group dialog")
På sidan Redigera regelgrupp klickar du på länken Lägg till .
.png "Edit Rule Group dialog")
På sidan Lägg till anspråksregel kontrollerar du att du har följande värden på plats och klickar på Spara. Detta genererar en regel för "genomströmning av alla anspråk" för Google.
Om avsnitt:
Identitetsprovider är Google.
Val av indataanspråkstyp är Valfri.
Indataanspråksvärdet är Any.
Sedan avsnitt:
Utdataanspråkstypen är Skicka genom den första anspråkstypen.
Utdataanspråksvärdet är Skicka genom det första indataanspråksvärdet.
Avsnittet Regelinformation :
- Lämna fältet Beskrivning (valfritt) tomt.
.png "Add Claim Rule dialog")
På sidan Redigera regelgrupp klickar du på länken Lägg till igen.
På sidan Lägg till anspråksregel kontrollerar du att du har följande värden på plats och klickar på Spara. Detta genererar en "statisk" anspråksregel för Google som simulerar tillägg av en ny anspråkstyp, Ämne, som är den nya användaren OpenID Anslut identifierare som Google skickar programmet vid migrering.
Om avsnitt:
Identitetsprovider är Google.
Val av indataanspråkstyp är Valfri.
Indataanspråksvärdet är Any.
Sedan avsnitt:
Utdataanspråkstyp är Returtyp. I fältet skriver du https://schemas.microsoft.com/identity/claims/subject.
Anspråksvärdet för utdata är Returvärde. I fältet skriver du 123456.
Avsnittet Regelinformation :
- Lämna fältet Beskrivning (valfritt) tomt.
.png "Add Claim Rull dialog")
Klicka på Spara på sidan Redigera regelgrupp .
Steg 3: Associera den nya regelgruppen med testinstansen av programmet
På ACS-hanteringsportalen klickar du på Program från förlitande part i trädet till vänster eller klickar på länken Program för förlitande part under avsnittet Komma igång. Klicka sedan på TestContosoApp på sidan Program för förlitande part .
På sidan Redigera förlitande part väljer du ManuellGoogleRuleGroup i avsnittet Autentisering Inställningar och klickar på Spara.
.png "Authentication Settings")
Nu inkluderar alla Google-inloggningsförfrågningar till dina testprogram den nya anspråkstypen.
Steg 4: Testa för att säkerställa att programmet kan hantera tillägget av anspråkstypen Ämne
Testa ditt program för att säkerställa att det kan hantera förekomsten av den nya anspråkstypen (ämne) på ett smidigt sätt. Normalt bör ett välskrivet program vara robust för nya anspråkstyper som läggs till i token. Hitta och åtgärda eventuella problem. Du kan också följa avsnittet Så här: Migrera användarnas befintliga Open ID 2.0-identifierare till nya OpenID-Anslut användaridentifierare för att utföra mappning av användaridentifierare.
Steg 5: Migrera din produktionsmiljö
Återskapa och distribuera ditt produktionsprogram (ProdContosoApp). Migrera namnområdet (ns-contoso) för att använda Googles OpenID-Anslut implementering genom att följa stegen i migreringsgenomgången. Kontrollera att ProdContosoApp fungerar som förväntat.