Dela via


Anvisningar: Konfigurera AD FS 2.0 som identitetsprovider

Uppdaterad: 19 juni 2015

Gäller för: Azure

Gäller för

  • Microsoft Azure Active Directory Access Control (även kallat Access Control Service eller ACS)

  • Active Directory® Federation Services 2.0

Sammanfattning

Så här beskriver du hur du konfigurerar som en identitetsprovider. Om du konfigurerar som identitetsprovider för din ASP.NET webbapp kan användarna autentisera till din ASP.NET webbapp genom att logga in på sitt företagskonto som hanteras av Active Directory.

Innehåll

  • Mål

  • Översikt

  • Sammanfattning av steg

  • Steg 1 – Lägg till AD FS 2.0 som identitetsprovider i ACS-hanteringsportalen

  • Steg 2 – Lägg till ett certifikat i ACS för dekryptering av token som tagits emot från AD FS 2.0 i ACS-hanteringsportalen (valfritt)

  • Steg 3 – Lägg till ditt Access Control namnområde som förlitande part i AD FS 2.0

  • Steg 4 – Lägg till anspråksregler för Access Control-namnområdet i AD FS 2.0

Mål

  • Konfigurera förtroende mellan ACS och .

  • Förbättra säkerheten för token- och metadatautbyte.

Översikt

Om du konfigurerar som identitetsprovider kan du återanvända befintliga konton som hanteras av företagets Active Directory för autentisering. Det eliminerar behovet av att antingen skapa komplexa mekanismer för kontosynkronisering eller utveckla anpassad kod som utför uppgifterna att acceptera slutanvändarautentiseringsuppgifter, verifiera dem mot arkivet för autentiseringsuppgifter och hantera identiteterna. Integrering av ACS och utförs endast av konfiguration – ingen anpassad kod behövs.

Sammanfattning av steg

  • Steg 1 – Lägg till AD FS 2.0 som identitetsprovider i ACS-hanteringsportalen

  • Steg 2 – Lägg till ett certifikat i ACS för dekryptering av token som tagits emot från AD FS 2.0 i ACS-hanteringsportalen (valfritt)

  • Steg 3 – Lägg till ditt Access Control namnområde som förlitande part i AD FS 2.0

  • Steg 4 – Lägg till anspråksregler för Access Control-namnområdet i AD FS 2.0

Steg 1 – Lägg till AD FS 2.0 som identitetsprovider i ACS-hanteringsportalen

Det här steget lägger till som identitetsprovider i ACS-hanteringsportalen.

Så här lägger du till AD FS 2.0 som identitetsprovider i Access Control namnområde

  1. På huvudsidan för ACS-hanteringsportalen klickar du på Identitetsprovidrar.

  2. Klicka på Lägg till identitetsprovider.

  3. Bredvid Microsoft Active Directory Federation Services (AD FS) 2.0 klickar du på Lägg till.

  4. I fältet Visningsnamn anger du ett visningsnamn för den här identitetsprovidern. Observera att det här namnet visas både i ACS-hanteringsportalen och som standard på inloggningssidorna för dina program.

  5. I fältet WS-Federation-metadata anger du URL:en till metadatadokumentet för din instans eller använder alternativet Arkiv för att ladda upp en lokal kopia av metadatadokumentet. När du använder en URL finns URL-sökvägen till metadatadokumentet i avsnittet Tjänst\Slutpunkter i hanteringskonsolen . De kommande två stegen handlar om inloggningssidans alternativ för dina förlitande partprogram. de är valfria och kan hoppas över.

  6. Om du vill redigera texten som visas för den här identitetsprovidern på inloggningssidorna för dina program anger du önskad text i textfältet Inloggningslänk .

  7. Om du vill visa en bild för den här identitetsprovidern på inloggningssidorna för dina program anger du en URL till en bildfil i fältet Bild-URL . Helst bör den här bildfilen finnas på en betrodd plats (med HTTPS, om möjligt, för att förhindra webbläsarsäkerhetsvarningar), och du bör ha behörighet från din partner att visa den här bilden. Mer information om inloggningssidans inställningar finns i Hjälp om inloggningssidor och Identifiering av hemsfär .

  8. Om du vill uppmana användarna att logga in med sin e-postadress i stället för att klicka på en länk anger du de e-postdomänsuffix som du vill associera med den här identitetsprovidern i fältet E-postdomännamn . Om identitetsprovidern till exempel är värd för användarkonton vars e-postadresser slutar med @contoso.comanger du contoso.com. Använd semikolon för att avgränsa listan över suffix (till exempel contoso.com; fabrikam.com). Mer information om inloggningssidans inställningar finns i Hjälp om inloggningssidor och Identifiering av hemsfär .

  9. I fältet Förlitande part-program väljer du alla befintliga förlitande partprogram som du vill associera med den här identitetsprovidern. Detta gör att identitetsprovidern visas på inloggningssidan för programmet och gör att anspråk kan levereras från identitetsprovidern till programmet. Observera att regler fortfarande måste läggas till i programmets regelgrupp som definierar vilka anspråk som ska levereras.

  10. Klicka på Spara.

Steg 2 – Lägg till ett certifikat i ACS för dekryptering av token som tagits emot från AD FS 2.0 i ACS-hanteringsportalen (valfritt)

Det här steget lägger till och konfigurerar ett certifikat för dekryptering av token som tas emot från . Det här är ett valfritt steg som hjälper till att stärka säkerheten. Mer specifikt hjälper det till att skydda tokens innehåll från att visas och manipuleras.

Så här lägger du till ett certifikat i Access Control namnområde för dekryptering av token som tagits emot från AD FS 2.0 (valfritt)

  1. Om du inte autentiserades med Windows Live ID (Microsoft-konto) måste du göra det.

  2. När du har autentiserats med ditt Windows Live-ID (Microsoft-konto) omdirigeras du till sidan Mina projekt på Microsoft Azure-portalen.

  3. Klicka på önskat projektnamn på sidan Mina Project.

  4. På sidan Project:<<ditt projektnamn>> klickar du på länken Access Control bredvid önskat namnområde.

  5. sidan Access Control Inställningar: <<ditt namnområde>> klickar du på länken Hantera Access Control.

  6. På huvudsidan för ACS-hanteringsportalen klickar du på Certifikat och nycklar.

  7. Klicka på Lägg till tokendekrypteringscertifikat.

  8. I fältet Namn anger du ett visningsnamn för certifikatet.

  9. I fältet Certifikat bläddrar du efter X.509-certifikatet med en privat nyckel (pfx-fil) för den här Access Control namnområdet och anger sedan lösenordet för PFX-filen i fältet Lösenord. Om du inte har något certifikat följer du anvisningarna på skärmen för att generera ett, eller se hjälpen om certifikat och nycklar för ytterligare vägledning om hur du hämtar ett certifikat.

  10. Klicka på Spara.

Steg 3 – Lägg till ditt Access Control namnområde som förlitande part i AD FS 2.0

Det här steget hjälper dig att konfigurera ACS som en förlitande part i .

Så här lägger du till Access Control namnområde som förlitande part i AD FS 2.0

  1. I hanteringskonsolen klickar du på AD FS 2.0 och klickar sedan på Lägg till förlitande partsförtroende i fönstret Åtgärder för att starta guiden Lägg till förlitande partförtroende.

  2. På sidan Välkommen klickar du på Start.

  3. På sidan Välj datakälla klickar du på Importera data om den förlitande parten som publicerats online eller i ett lokalt nätverk, skriver namnet på Access Control namnområde och klickar sedan på Nästa.

  4. På sidan Ange visningsnamn anger du ett visningsnamn och klickar sedan på Nästa.

  5. På sidan Välj auktoriseringsregler för utfärdande klickar du på Tillåt alla användare att komma åt den förlitande parten och klickar sedan på Nästa.

  6. På sidan Redo att lägga till förtroende granskar du förtroendeinställningarna för förlitande part och klickar sedan på Nästa för att spara konfigurationen.

  7. På sidan Slutför klickar du på Stäng för att avsluta guiden. Då öppnas också sidan Redigera anspråksregler för WIF-exempelappens egenskaper. Låt dialogrutan vara öppen och gå sedan till nästa procedur.

Steg 4 – Lägg till anspråksregler för Access Control-namnområdet i AD FS 2.0

Det här steget konfigurerar anspråksregler i . På så sätt ser du till att de önskade anspråken skickas från till ACS.

Lägga till anspråksregler för Access Control namnområdet i AD FS 2.0

  1. På sidan Redigera egenskaper för anspråksregler går du till fliken Regler för utfärdandetransformering och klickar på Lägg till regel för att starta guiden Lägg till transformera anspråksregel.

  2. På sidan Välj regelmall under Anspråksregelmall klickar du på Skicka genom eller filtrerar ett inkommande anspråk på menyn och klickar sedan på Nästa.

  3. På sidan Konfigurera regel i Anspråksregelnamn skriver du ett visningsnamn för regeln.

  4. I listrutan Inkommande anspråkstyp väljer du den typ av identitetsanspråk som du vill skicka till programmet och klickar sedan på Slutför.

  5. Klicka på OK för att stänga egenskapssidan och spara ändringarna i det förlitande partförtroendet.

  6. Upprepa steg 1–5 för varje anspråk som du vill utfärda från till Access Control namnområde.

  7. Klicka på OK.