Dela via

Anvisningar: Skapa mitt första anspråksmedvetna ASP.NET-program med ACS

  • Artikel

Uppdaterad: 19 juni 2015

Gäller för: Azure

Viktigt

ACS-namnområden kan migrera sina konfigurationer för Google-identitetsprovidern från OpenID 2.0 till OpenID Anslut. Migreringen måste slutföras före den 1 juni 2015. Detaljerad vägledning finns i Migrera ACS-namnrymder till Google OpenID Anslut. Tills du utför migreringen kan den här självstudien slutföras med hjälp av en annan identitetsprovider, till exempel Facebook.

Gäller för

  • Microsoft Azure Active Directory Access Control (även kallat Access Control Service eller ACS)

Översikt

Det här avsnittet beskriver scenariot med att integrera ACS med ett ASP.NET förlitande partprogram. Genom att integrera webbappen med ACS tar du hänsyn till funktionerna i autentisering och auktorisering ur koden. Med andra ord tillhandahåller ACS mekanismen för att autentisera och auktorisera användare till ditt webbprogram.

I det här övningsscenariot autentiserar ACS användare med en Google-identitet till ett test ASP.NET förlitande partprogram.

Steg för att integrera ACS med ett ASP.NET förlitande partprogram

Viktigt

Innan du utför följande steg kontrollerar du att systemet uppfyller alla .NET-ramverks- och plattformskrav som sammanfattas i ACS-krav.

Utför följande steg för att integrera ACS med ett ASP.NET förlitande partprogram:

  • Steg 1 – Skapa ett Access Control namnområde

  • Steg 2 – Starta ACS-hanteringsportalen

  • Steg 3 – Lägg till identitetsprovidrar

  • Steg 4 – Lägga till ett förlitande partprogram

  • Steg 5 – Skapa regler

  • Steg 6 – Granska programintegreringsinformationen

  • Steg 7 – Skapa ett ASP.NET förlitande partprogram

  • Steg 8 – Konfigurera förtroende mellan ACS och ditt ASP.NET förlitande partprogram

  • Steg 9 – Testa integreringen mellan ACS och ditt ASP.NET förlitande partprogram

Steg 1 – Skapa ett Access Control namnområde

Detaljerade anvisningar om hur du skapar ett Access Control namnområde finns i Så här skapar du ett Access Control namnområde.

Steg 2 – Starta ACS-hanteringsportalen

Med ACS-hanteringsportalen kan du konfigurera ditt Access Control namnområde genom att lägga till identitetsprovidrar, konfigurera förlitande partprogram, definiera regler och grupper av regler och upprätta de autentiseringsuppgifter som ditt förlitande partprogram litar på.

Så här startar du ACS-hanteringsportalen

  1. Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)

  2. Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control Namnområden, välj namnområdet och klicka sedan på Hantera.)

Steg 3 – Lägg till identitetsprovidrar

Det här avsnittet beskriver hur du lägger till identitetsprovidrar som ska användas med ditt förlitande partprogram för autentisering. Mer information om identitetsprovidrar finns i Identitetsprovidrar.

Lägga till identitetsprovidrar

  1. I ACS-hanteringsportalen klickar du på Identitetsprovidrar i trädet till vänster eller klickar på länken Identitetsprovidrar under avsnittet Komma igång.

  2. På sidan Identitetsprovidrar klickar du på Lägg till, väljer Google som identitetsprovider och klickar sedan på Nästa.

  3. På sidan Lägg till Google Identity Provider uppmanas du att ange inloggningslänktext (standardvärdet är Google) och en bild-URL. Den här URL:en pekar på en fil med en bild som kan användas som inloggningslänk för den här identitetsprovidern. Det är valfritt att redigera de här fälten. I den här övningen ska du inte redigera dem, klicka på Spara.

Steg 4 – Lägga till ett förlitande partprogram

I det här avsnittet beskrivs hur du lägger till och konfigurerar ett förlitande partprogram. Mer information om program från förlitande part finns i Förlitande part-program.

Så här konfigurerar du ett förlitande partprogram

  1. I ACS-hanteringsportalen klickar du på Program från förlitande part i trädet till vänster eller klickar på länken Program för förlitande part under avsnittet Komma igång.

  2. På sidan Program för förlitande part klickar du på Lägg till.

  3. Gör följande på sidan Lägg till förlitande part-program :

    • I Namn skriver du namnet på det förlitande partprogrammet. I den här övningen skriver du TestApp.

    • I Läge väljer du Ange inställningar manuellt.

    • I Sfär skriver du den URI som säkerhetstoken som utfärdats av ACS gäller för. I den här övningen skriver du https://localhost:7777/.

    • I Retur-URL skriver du den URL som ACS returnerar säkerhetstoken till. I den här övningen skriver du https://localhost:7777/.

    • I Fel-URL (valfritt)anger du den URL som ACS kan publicera till om ett fel inträffar under inloggningen. Lämna fältet tomt i den här övningen.

    • I tokenformat väljer du ett tokenformat som ACS ska använda när du utfärdar säkerhetstoken till det här förlitande partprogrammet. I den här övningen väljer du SAML 2.0. Mer information om token och tokenformat finns i Tokenformat som stöds i ACS och "Tokenformat" i förlitande partprogram.

    • I Tokenkrypteringsprincip väljer du en krypteringsprincip för token som utfärdats av ACS för det här förlitande partprogrammet. I den här övningen godkänner du standardvärdet Ingen. Mer information om tokenkrypteringsprincip finns i " Tokenkrypteringsprincip" i program från förlitande part.

    • Under Tokenlivslängd (sek)anger du hur lång tid en säkerhetstoken som utfärdats av ACS ska förbli giltig. I den här övningen godkänner du standardvärdet 600. Mer information finns i "Tokenlivslängd" i förlitande partprogram.

    • I Identitetsprovidrar väljer du de identitetsprovidrar som ska användas med det här förlitande partprogrammet. I den här övningen godkänner du de markerade standardvärdena (Google och Windows Live-ID).

    • I Regelgrupper väljer du de regelgrupper som det förlitande partprogrammet ska använda när anspråk bearbetas. I den här övningen accepterar du Skapa ny regelgrupp som är markerad som standard. Mer information om regelgrupper finns i Regelgrupper och Regler.

    • I avsnittet Tokensignering Inställningar väljer du om du vill signera SAML-token med certifikatet för Access Control namnområde eller med ett anpassat certifikat som är specifikt för det här programmet. I den här övningen godkänner du standardvärdet Använd tjänstnamnområdescertifikat (standard). Mer information om tokensignering finns i "Tokensignering" i förlitande partprogram.

  4. Klicka på Spara.

Steg 5 – Skapa regler

I det här avsnittet beskrivs hur du definierar regler som avgör hur anspråk skickas från identitetsprovidrar till ditt förlitande partprogram. Mer information om regler och regelgrupper finns i Regelgrupper och Regler.

Skapa regler

  1. På startsidan för ACS-hanteringsportalen klickar du på Regelgrupper i trädet till vänster eller klickar på länken Regelgrupper under avsnittet Komma igång.

  2. På sidan Regelgrupper klickar du på Standardregelgrupp för TestApp (eftersom du har döpt ditt förlitande partprogram till TestApp).

  3. På sidan Redigera regelgrupp klickar du på Generera.

  4. På sidan Generera regler: Standardregelgrupp för TestApp godkänner du de identitetsprovidrar som valts som standard (i den här övningen google och Windows live-ID) och klickar sedan på knappen Generera.

  5. På sidan Redigera regelgrupp klickar du på Spara.

Steg 6 – Granska programintegreringsinformationen

Du hittar all information och kod som krävs för att ändra ditt förlitande partprogram så att det fungerar med ACS på sidan Programintegrering i ACS-hanteringsportalen.

Så här granskar du programintegreringsinformationen

  • På startsidan för ACS-hanteringsportalen klickar du på Programintegrering i trädet till vänster eller klickar på länken Programintegrering under avsnittet Komma igång.

    DE ACS-URI:er som visas på sidan Programintegrering är unika för din Access Control namnrymd.

    I den här övningen rekommenderar vi att du håller den här sidan öppen för att utföra de återstående stegen snabbt.

Steg 7 – Skapa ett ASP.NET förlitande partprogram

I det här avsnittet beskrivs hur du skapar ett ASP.Net förlitande part-program som du så småningom vill integrera med ACS.

Skapa ett ASP.NET förlitande partprogram

  1. Om du vill köra Visual Studio 2010 klickar du på Start, klickar på Kör, skriver följande text och trycker sedan på Retur:
    devenv.exe

  2. I Visual Studio klickar du på Arkiv och sedan på Ny Project.

  3. I fönstret Ny Project väljer du antingen mallen Visual Basic eller Visual C# och väljer sedan ASP.NET MVC 2-webbapp.

  4. I Namn skriver du följande text och klickar sedan på OK:
    TestApp

  5. I Skapa enhetstest Project väljer du Nej, skapa inte ett enhetstestprojekt och klickar sedan på OK.

  6. I Solution Explorer högerklickar du på TestApp och väljer sedan Egenskaper.

  7. I fönstret TestApp-egenskaper väljer du fliken Webb. Under Använd Visual Studio development server klickar du på Specifik port och ändrar sedan värdet till 7777.

  8. Tryck på F5 om du vill köra och felsöka programmet som du nyss skapade. Om inga fel hittades renderas ett tomt MVC-projekt i webbläsaren.

    Håll Visual Studio 2010 öppet för att slutföra nästa steg.

Steg 8 – Konfigurera förtroende mellan ACS och ditt ASP.NET förlitande partprogram

I det här avsnittet beskrivs hur du integrerar ACS med det ASP.NET förlitande part-programmet som du skapade i föregående steg.

Så här konfigurerar du förtroende mellan ASP.NET förlitande part och ACS

  1. I Visual Studio 2010 högerklickar du på TestApp i Solution Explorer för TestApp och väljer sedan Lägg till STS-referens.

  2. Gör följande i guiden Federationsverktyget :

    1. På sidan Välkommen till guiden Federationsverktyg går du till Program-URI, anger program-URI:n och klickar sedan på Nästa. I den här demonstrationen är https://localhost:7777/programmets URI .

      Anteckning

      Det avslutande snedstrecket är viktigt eftersom det matchar det värde som du angav i ACS-hanteringsportalen för ditt förlitande part-program. Mer information finns i Steg 4 – Lägga till ett förlitande part-program.

    2. En varning visas: ID 1007: Programmet finns inte på en säker https-anslutning. Vill du fortsätta? För den här demonstrationen klickar du på Ja.

      Anteckning

      I en produktionsmiljö är den här varningen om att använda SSL giltig och bör inte avvisas.

    3. På sidan Säkerhetstokentjänst väljer du Använd befintlig STS, anger url:en WS-Federation metadata som publicerats av ACS och klickar sedan på Nästa.

      Anteckning

      Du hittar värdet för WS-Federation metadata-URL:en på sidan Programintegrering i ACS-hanteringsportalen. Mer information finns i Steg 6 – Granska programintegreringsinformationen.

    4. På sidan verifieringsfel för STS-signeringscertifikatkedjan klickar du på Nästa.

    5. På sidan Kryptering av säkerhetstoken klickar du på Nästa.

    6. På sidan Erbjudna anspråk klickar du på Nästa.

    7. På sidan Sammanfattning klickar du på Slutför.

    När du har slutfört körningen av guiden Federationsverktyget lägger den till en referens till Microsoft.IdentityModel.dll-sammansättningen och skriver värden till din Web.config-fil som konfigurerar Windows Identity Foundation i din ASP.NET MVC 2-webbapp (TestApp).

  3. Öppna Web.config och leta upp huvudelementet system.web. Det kan se ut så här:

    <system.web>
    <authorization>
      <deny users="?" />
    </authorization>

    Ändra Web.config för att aktivera validering av begäran genom att lägga till följande kod under huvudelementet system.web:

        <!--set this value-->
    <httpRuntime requestValidationMode="2.0"/>

    När du har slutfört uppdateringen måste kodfragmentet ovan se ut så här:

    
   <system.web>
    <!--set this value-->
    <httpRuntime requestValidationMode="2.0"/>
    <authorization>
    <deny users="?" />
    </authorization>

Steg 9 – Testa integreringen mellan ACS och ditt ASP.NET förlitande partprogram

I det här avsnittet beskrivs hur du kan testa integreringen mellan ditt förlitande part-program och ACS.

Testa integreringen mellan ASP.NET förlitande part och ACS

  1. Håll Visual Studio 2010 öppet genom att trycka på F5 för att börja felsöka ASP.NET förlitande part.

    Om inga fel hittas omdirigeras webbläsaren i stället för att öppna MVC-standardprogrammet till en identifieringssida för hemsfären som hanteras av ACS och du uppmanas att välja en identitetsprovider.

  2. Välj Google.

    Webbläsaren läser sedan in Google-inloggningssidan.

  3. Ange dina testuppgifter för Google och godkänn användargränssnittet för medgivande som visas på Googles webbplats.

    Webbläsaren publicerar sedan tillbaka till ACS, ACS utfärdar en token och publicerar denna token till din MVC-webbplats.

Se även

Begrepp

Instruktioner för ACS