Anvisningar: Konfigurera förtroende mellan ACS och ASP.NET webbprogram med X.509-certifikat
Uppdaterad: 19 juni 2015
Gäller för: Azure
Gäller för
Microsoft Azure Active Directory Access Control (även kallat Access Control Service eller ACS)
ASP.NET
Sammanfattning
Det här avsnittet beskriver hur du konfigurerar förtroende mellan ditt program och ACS. Förtroende upprättas genom signering av token som utbyts mellan din ASP.NET webbapp och ACS.
Innehåll
Mål
Översikt
Sammanfattning av stegen
Steg 1 – Gå till avsnittet Tokensigneringscertifikat
Steg 2 – Konfigurera förtroende med X.509-certifikat
Steg 3 – Granska Trust-Related attribut i web.config och ACS-hanteringsportalen
Mål
Bekanta dig med avsnittet förtroendehantering på ACS-hanteringsportalen.
Hantera förtroende med X.509-certifikat.
Kontrollera den konfiguration som krävs i web.config och på hanteringsportalen.
Översikt
Det krävs förtroende för att byta token mellan ditt program och ACS på rätt sätt. Förtroende säkerställer att token inte manipuleras under överföring och att de utfärdas av en betrodd part. För ASP.NET webbprogram hanteras förtroende med X.509-certifikat och baseras på konfigurationen av ACS-hanteringsportalen och web.config konfigurationen.
Sammanfattning av steg
Följ dessa steg för att upprätta och hantera förtroende mellan en ASP.NET webbapp och ACS:
Steg 1 – Gå till avsnittet Tokensigneringscertifikat
Steg 2 – Konfigurera förtroende med X.509-certifikat
Steg 3 – Granska Trust-Related attribut i web.config och ACS-hanteringsportalen
Steg 1 – Gå till avsnittet Tokensigneringscertifikat
Det här steget visar hur du navigerar till avsnittet förtroendehantering i ACS-hanteringsportalen.
Navigera till avsnittet om förtroendehantering på hanteringsportalen
Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)
Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control Namnområden, välj namnområdet och klicka sedan på Hantera.)
I ACS-portalen klickar du på Förlitande part-program.
Klicka på ett förlitande partprogram.
På sidan Redigera program för förlitande part rullar du ned till avsnittet Tokensigneringscertifikat .
Välj ett certifikat.
Steg 2 – Konfigurera förtroende med X.509-certifikat
Det här steget visar hur du konfigurerar och hanterar förtroendet mellan ACS och en ASP.NET webbapp med hjälp av ett X.509-certifikat. Använd en X.509-certifikatsigneringsautentiseringsuppgift om du använder Windows ® Identity Foundation (WIF) i ditt förlitande partprogram.
Konfigurera och hantera förtroende med ett X.509-certifikat
Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)
Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control Namnområden, välj namnområdet och klicka sedan på Hantera.)
Klicka på Certifikat och nycklar och välj sedan ett X.509-certifikat.
På sidan Redigera tokensigneringscertifikat eller nyckel anger du följande värden:
Namn: Ett valfritt godtyckligt namn.
Typ: X.509-certifikat.
Certifikat: Om du vill använda certifikatet som ACS skapar som standard krävs ingen åtgärd. Du kan också ladda upp ditt eget X.509-certifikat.
Certifikatet ska vara lösenordsskyddat. Det har vanligtvis ett .pfx-tillägg. när du laddar upp ditt eget X.509-certifikat. Ange pfx-fillösenordet i textrutan Lösenord
Lösenord: Om du använder standardcertifikatet krävs ingen åtgärd. Om du laddar upp ett certifikat ska certifikatet vara lösenordsskyddat. Ange pfx-fillösenordet i textrutan Lösenord .
Klicka på Spara.
Hämta ett X.509-certifikat
Det finns flera sätt att hämta ett X.509-certifikat för tokensignering eller kryptering. Vilken metod du ska använda beror på dina krav och vilka verktyg som är tillgängliga för din organisation.
Lokal certifikatutfärdare
Om din organisation har distribuerat en certifikatutfärdare (CA), till exempel Active Directory Certificate Services (AD CS), kan du begära ett X.509-certifikat. Du kan behöva kontakta certifikatutfärdaradministratören för att få instruktioner eller behörigheter. Mer information om Active Directory Certificate Services finns i Active Directory Certificate Services (https://go.microsoft.com/fwlink/?linkid=208371).
Kommersiell certifikatutfärdare
Du kan köpa ett X.509-certifikat från en kommersiell certifikatutfärdare, till exempel Verisign. Eftersom det här är en Labs-version rekommenderar vi att du använder din lokala certifikatutfärdare (om tillgängligt) eller genererar ett självsignerat certifikat (se nedan).
Generera ett Self-Signed certifikat
Du kan använda programvara för att generera ett eget självsignerat certifikat som ska användas med ACS. Detta rekommenderas vanligtvis endast i testsyfte, men detta kan göras av vem som helst utan åtkomst till en lokal certifikatutfärdare eller betalning till en kommersiell certifikatutfärdare. Om du kör Windows kan du ladda ned MakeCert.exe som en del av Windows SDK (https://go.microsoft.com/fwlink/?linkid=84091) och använda detta för att generera ett certifikat.
Exportera ett Self-Signed certifikat
Anvisningar om hur du exporterar ett självsignerat certifikat finns i Certifikat och nycklar.
Steg 3 – Granska Trust-Related attribut i web.config och ACS-hanteringsportalen
Det här steget visar hur du validerar förtroenderelaterade konfigurationsattribut i ASP.NET webbprogrammets web.config.
Så här verifierar du förtroenderelaterade konfigurationer i ASP.NET-webbappen web.config
Öppna web.config-filen för din ASP.NET-webbapp.
Navigera till audiencesUris-noden och kontrollera att värdet för dess underordnade add-nod är samma som värdet som du angav i fältet Sfäregenskap på sidan Redigera förlitande part i ACS-hanteringsportalen.
Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)
Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control Namnområden, välj namnområdet och klicka sedan på Hantera.)
Klicka på Förlitande part-program.
Klicka på önskat program på sidan Program för svarsparter .
På sidan Redigera förlitande part-program granskar du attributet Sfär .