如何:将 Google 配置为标识提供者
更新时间:2015 年 6 月 19 日
适用于:Azure
重要
从 2014 年 5 月 19 日开始,新的 ACS 命名空间无法使用 Google 作为标识提供程序。 使用 Google 并且在此日期之前注册的 ACS 命名空间不受影响。 有关详细信息,请参阅 发行说明。
应用于
- Microsoft Azure Active Directory 访问控制(也称为访问控制服务或 ACS)
总结
本操作说明如何将 Google 配置为标识提供者 ACS。 将 Google 配置为 ASP.NET Web 应用程序的标识提供程序后,你的用户即可通过登录到 Google 帐户向 ASP.NET Web 应用程序进行身份验证。
目录
目标
概述
步骤摘要
步骤 1 - 创建命名空间
步骤 2 - 将 Google 配置为标识提供程序
步骤 3 - 配置与信赖方的信任关系
步骤 4 - 配置令牌转换规则
步骤 5 - 查看命名空间公开的终结点
目标
创建Microsoft Azure项目和命名空间。
配置用于 Google 标识提供程序的命名空间。
配置信任和令牌转换规则。
熟悉终结点引用、服务列表和元数据终结点。
概述
将 Google 配置为标识提供程序以后,将无需创建和管理身份验证和标识管理机制。 如果有熟悉的身份验证过程,这可帮助最终用户进行体验。 使用 ACS,可以轻松设置一个配置,使应用程序能够随时使用它并向最终用户提供此类功能。 本操作指南说明如何完成此任务。 下图描绘了配置 ACS 信赖方以供使用的总体流程。
.gif "ACS v2 Workflow")
步骤摘要
若要将 Google 配置为应用程序的标识提供程序,请完成以下步骤:
步骤 1 - 创建命名空间
步骤 2 - 将 Google 配置为标识提供程序
步骤 3 - 配置与信赖方的信任关系
步骤 4 - 配置令牌转换规则
步骤 5 - 查看命名空间公开的终结点
步骤 1 - 创建命名空间
此步骤在 Azure 项目中创建访问控制命名空间。 如果要将 Google 配置为现有命名空间的标识提供程序,则可以跳过此步骤。
在 Azure 项目中创建访问控制命名空间
转到Microsoft Azure管理门户 (https://manage.WindowsAzure.com) 登录,然后单击“Active Directory”。 (故障排除提示: “Active Directory”项缺失或不可用)
若要创建访问控制命名空间,请依次单击“新建”、“应用程序服务”和“访问控制”,然后单击“快速创建”。 (或者,先单击“访问控制命名空间”,然后单击“新建”。)
步骤 2 - 将 Google 配置为标识提供程序
此步骤说明如何将 Google 配置为现有命名空间的标识提供程序。
将 Google 配置为现有命名空间的标识提供程序
转到Microsoft Azure管理门户 (https://manage.WindowsAzure.com) 登录,然后单击“Active Directory”。 (故障排除提示: “Active Directory”项缺失或不可用)
若要管理访问控制命名空间,请选择该命名空间,然后单击“管理”。 (或者,单击“访问控制命名空间”,选择命名空间,然后单击“管理”。)
在 ACS 门户中,单击 “标识提供者”。
在“添加标识提供程序”页上,单击“添加”,然后选择 Google。
在“添加 Google 标识提供程序”页上,单击“保存”。
步骤 3 - 配置与信赖方的信任关系
此步骤演示如何在应用程序(称为 信赖方)和 ACS 之间配置信任。
配置信任关系
转到Microsoft Azure管理门户 (https://manage.WindowsAzure.com) 登录,然后单击“Active Directory”。 (故障排除提示: “Active Directory”项缺失或不可用)
若要管理访问控制命名空间,请选择该命名空间,然后单击“管理”。 (或者,单击“访问控制命名空间”,选择命名空间,然后单击“管理”。)
在 ACS 门户中,单击 “信赖方应用程序 ”,然后单击“ 添加”。
在“添加信赖方应用程序”页上,为以下字段指定以下值:
名称 - 你选择的任意名称。
领域 - 领域是 ACS 颁发的令牌有效的 URI。
返回 URL - 返回 URL 定义 ACS 将颁发的令牌发布到给定信赖方应用程序的 URL。
令牌格式 - 令牌格式定义对信赖方应用程序的令牌 ACS 问题的类型。
令牌加密策略 - (可选)ACS 可以加密颁发给信赖方应用程序的任何 SAML 1.1 或 SAML 2.0 令牌。
令牌生存期 - 令牌生存期指定 ACS 向信赖方应用程序颁发的令牌的生存时间 (TTL) 。
标识提供程序 - 通过“标识提供程序”字段可指定信赖方应用程序要使用哪些标识提供程序。 请确保选中 Google。
规则组 - 规则组包含的规则用于定义将哪些用户标识声明从标识提供程序传递给信赖方应用程序。
令牌签名 - ACS 使用私钥) 或 256 位对称密钥 (X.509 证书对它颁发的所有安全令牌进行签名。
有关每个字段的详细信息,请参阅 信赖方应用程序。
单击“ 保存”。
步骤 4 - 配置令牌转换规则
此步骤演示如何配置由 ACS 发送到信赖方应用程序的声明。 例如,Google 在默认情况下不发送用户的电子邮件。 你需要配置标识提供程序,以向应用程序提供所需的声明,以及转换方式。 以下过程概述如何添加一条在令牌中传递电子邮件地址的规则,以便你的应用程序可以使用它。
配置令牌声明转换规则
转到Microsoft Azure管理门户 (https://manage.WindowsAzure.com) 登录,然后单击“Active Directory”。 (故障排除提示: “Active Directory”项缺失或不可用)
若要管理访问控制命名空间,请选择该命名空间,然后单击“管理”。 (或者,单击“访问控制命名空间”,选择命名空间,然后单击“管理”。)
在 ACS 门户中,单击 “规则组 ”,然后单击“ 添加”。 也可以编辑现有的规则组。
为新组指定名称,然后单击“保存”。
在“编辑规则组”上,单击“添加”。
在“添加声明规则”页上,指定以下值:
声明颁发者:选择 标识提供者 和 Google。
输入声明类型:选择 类型 ,然后选择 https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress。
输入声明值:选择 “任意”。
输出声明类型:选择 “传递输入声明类型”。
输出声明值:选择 “传递输入声明值”。
(可选)在“说明”中,添加规则的说明。
在“编辑规则组”和“规则组”页上,单击“保存”。
单击所需的“信赖方应用程序”。
向下滚动到“规则组”部分,选择新的“规则组”,然后单击“保存”。
步骤 5 - 查看命名空间公开的终结点
此步骤将熟悉 ACS 公开的终结点。 例如,ACS 公开 FedUtil 在配置 ASP.NET Web 应用程序以进行联合身份验证时使用的WS-Federation元数据终结点。
查看 ACS 公开的终结点
转到Microsoft Azure管理门户 () https://manage.WindowsAzure.com 登录,然后单击“Active Directory”。 (故障排除提示: “Active Directory”项缺失或不可用)
若要管理访问控制命名空间,请选择该命名空间,然后单击“管理”。 (或者,单击“访问控制命名空间”,选择命名空间,然后单击“管理”。)
在 ACS 门户中,单击“应用程序集成”
查看“终结点引用”表。 例如,该 URL 公开的 WS 联合身份验证元数据应类似于以下内容(你的命名空间将有所不同)。
https://my-namespace1.accesscontrol.windows.net/FederationMetadata/2007-06/FederationMetadata.xml