Dela via


Anvisningar: Konfigurera Google som identitetsprovider

Uppdaterad: 19 juni 2015

Gäller för: Azure

Viktigt

Från och med den 19 maj 2014 kan nya ACS-namnområden inte använda Google som identitetsprovider. ACS-namnrymder som använde Google och registrerades före detta datum påverkas inte. Mer information finns i Viktig information.

Gäller för

  • Microsoft Azure Active Directory Access Control (kallas även Access Control Service eller ACS)

Sammanfattning

Det här gör du för att förklara hur du konfigurerar Google som en identitetsprovider ACS. Genom att konfigurera Google som identitetsprovider för din ASP.NET webbapp kan användarna autentisera till ASP.NET webbapp genom att logga in på sitt Google-konto.

Innehåll

  • Mål

  • Översikt

  • Sammanfattning av stegen

  • Steg 1 – Skapa ett namnområde

  • Steg 2 – Konfigurera Google som identitetsprovider

  • Steg 3 – Konfigurera förtroende med förlitande part

  • Steg 4 – Konfigurera regler för tokentransformering

  • Steg 5 – Granska slutpunkter som exponeras av namnområdet

Mål

  • Skapa ett Microsoft Azure projekt och namnområde.

  • Konfigurera ett namnområde som ska användas med Google som identitetsprovider.

  • Konfigurera regler för förtroende- och tokentransformering.

  • Bekanta dig med slutpunktsreferensen, listan över tjänster och metadataslutpunkter.

Översikt

Att konfigurera Google som identitetsprovider eliminerar behovet av att skapa och hantera autentiserings- och identitetshanteringsmekanismer. Det hjälper slutanvändaren om det finns välbekanta autentiseringsprocedurer. Med ACS är det enkelt att konfigurera en konfiguration som gör att ditt program enkelt kan använda det och erbjuda sådana funktioner till slutanvändarna. Den här How-To förklarar hur du utför den här uppgiften. Följande diagram visar det övergripande flödet för att konfigurera en förlitande part i ACS för användning.

ACS v2 Workflow

Sammanfattning av steg

Utför följande steg för att konfigurera Google som identitetsprovider för ditt program:

  • Steg 1 – Skapa ett namnområde

  • Steg 2 – Konfigurera Google som identitetsprovider

  • Steg 3 – Konfigurera förtroende med förlitande part

  • Steg 4 – Konfigurera regler för tokentransformering

  • Steg 5 – Granska slutpunkter som exponeras av namnområdet

Steg 1 – Skapa ett namnområde

Det här steget skapar ett Access Control namnområde i Azure-projektet. Du kan hoppa över det här steget om du vill konfigurera Google som identitetsprovider för ett befintligt namnområde.

Så här skapar du ett Access Control namnområde i ditt Azure-projekt

  1. Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)

  2. Om du vill skapa en Access Control namnrymd klickar du på Ny, klickar på App Services, klickar på Access Control och sedan på Snabbregistrering. (Eller klicka på Access Control namnområden innan du klickar på Ny.)

Steg 2 – Konfigurera Google som identitetsprovider

Det här steget visar hur du konfigurerar Google som identitetsprovider för ett befintligt namnområde.

Så här konfigurerar du Google som identitetsprovider för ett befintligt namnområde

  1. Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)

  2. Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control namnområden, välj namnområdet och klicka sedan på Hantera.)

  3. I ACS-portalen klickar du på Identitetsprovidrar.

  4. På sidan Lägg till identitetsprovider klickar du på Lägg till och väljer sedan Google.

  5. På sidan Lägg till Google-identitetsprovider klickar du på Spara.

Steg 3 – Konfigurera förtroende med den förlitande parten

Det här steget visar hur du konfigurerar förtroende mellan ditt program, som kallas förlitande part, och ACS.

Så här konfigurerar du förtroendet

  1. Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)

  2. Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control namnområden, välj namnområdet och klicka sedan på Hantera.)

  3. I ACS-portalen klickar du på Program för förlitande part och sedan på Lägg till.

  4. På sidan Lägg till förlitande part-program anger du följande värden för följande fält:

    • Namn – valfritt godtyckligt namn.

    • Sfär – sfären är den URI som token som utfärdas av ACS är giltiga för.

    • Retur-URL – Retur-URL:en definierar den URL som ACS publicerar den utfärdade token till för ett visst förlitande part-program.

    • Tokenformat – Tokenformatet definierar typen av acs-problem med token till ett program för förlitande part.

    • Princip för tokenkryptering – ACS kan alternativt kryptera alla SAML 1.1- eller SAML 2.0-token som utfärdats till ett förlitande partprogram.

    • Tokenlivslängd – Tokenlivslängden anger TTL (Time to Live) för den token som utfärdats av ACS till det förlitande partprogrammet.

    • Identitetsprovidrar – I fältet identitetsprovidrar kan du ange vilka identitetsprovidrar som ska användas med ditt förlitande part-program. Kontrollera att Google är markerat.

    • Regelgrupper – Regelgrupper innehåller regler som definierar vilka användaridentitetsanspråk som skickas från identitetsprovidrar till ditt förlitande part-program.

    • Tokensignering – ACS signerar alla säkerhetstoken som det utfärdar med ett X.509-certifikat (med en privat nyckel) eller en 256-bitars symmetrisk nyckel.

    Mer information om varje fält finns i Program för förlitande part.

  5. Klicka på Spara.

Steg 4 – Konfigurera regler för tokentransformering

Det här steget visar hur du konfigurerar anspråk som ska skickas av ACS till det förlitande partprogrammet. Google skickar till exempel inte användarens e-post som standard. Du måste konfigurera identitetsprovidern för att tillhandahålla önskade anspråk till ditt program och hur du transformerar det. Följande procedur beskriver hur du lägger till en regel som passerar genom en e-postadress i token så att ditt program kan använda den.

Så här konfigurerar du regler för tokenanspråkstransformering

  1. Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)

  2. Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control namnområden, välj namnområdet och klicka sedan på Hantera.)

  3. I ACS-portalen klickar du på Regelgrupper och sedan på Lägg till. Eller så kan du redigera en befintlig regelgrupp.

  4. Ange ett namn för den nya gruppen och klicka sedan på Spara.

  5. I Redigera regelgrupp klickar du på Lägg till.

  6. På sidan Lägg till anspråksregel anger du följande värden:

    • Anspråksgivare: Välj Identitetsprovider och Google.

    • Typ av inkommande anspråk: Välj Välj typ och https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress.

    • Inkommande anspråksvärde: Välj Valfri.

    • Utgående anspråkstyp: Välj Skicka genom den inkommande anspråkstypen.

    • Utgående anspråksvärde: Välj Skicka genom det inkommande anspråksvärdet.

    • Du kan också lägga till en beskrivning av regeln i Beskrivning.

  7. På sidorna Redigera regelgrupp och Regelgrupper klickar du på Spara.

  8. Klicka på önskade förlitande part-program.

  9. Rulla ned till avsnittet Regelgrupper , välj den nya regelgruppen och klicka sedan på Spara.

Steg 5 – Granska slutpunkter som exponeras av namnområdet

Det här steget bekantar dig med de slutpunkter som ACS exponerar. ACS exponerar till exempel den WS-Federation metadataslutpunkt som används av FedUtil när du konfigurerar ASP.NET webbprogram för federerad autentisering.

Så här granskar du slutpunkterna som exponeras av ACS

  1. Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)

  2. Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control namnområden, välj namnområdet och klicka sedan på Hantera.)

  3. I ACS-portalen klickar du på Programintegrering

  4. Granska tabellen Slutpunktsreferens . Till exempel bör WS-Federation-metadata som exponeras av URL:en likna följande (ditt namnområde kommer att vara annorlunda).

    https://my-namespace1.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml
    

Se även

Begrepp

Instruktioner för ACS