如何:將 Azure AD 租使用者新增為識別提供者
更新日期:2015 年 6 月 19 日
適用對象:Azure
套用至
- Microsoft Azure Active Directory 存取控制服務 (也稱為「存取控制服務」或 ACS)
概觀
本主題說明如何將Azure Active Directory (AD) 租使用者新增至您存取控制命名空間中的識別提供者清單。 此功能可讓您將租用戶當作與命名空間相關聯的應用程式的身分識別提供者。
過程有兩個主要部分:
將存取控制命名空間新增至 Azure AD 租使用者作為 Web 應用程式。 這可讓命名空間 (Web 應用程式) 接收來自 Azure AD 的權杖。
將 Azure AD 租使用者新增至存取控制命名空間作為識別提供者。
對於 ACS 中的所有身分識別提供者,其餘步驟都一樣。 您可以新增信賴憑證者應用程式和規則,以決定從身分識別提供者傳遞至信賴憑證者應用程式的身分識別宣告。
規格需求
本主題中的指示需要下列項目:
Azure 訂用帳戶。 如需詳細資訊,請參閱使用 Azure 消費者入門。
Azure 存取控制命名空間。 如需說明,請參閱如何:建立存取控制命名空間。
Visual Studio 2012
步驟摘要
若要新增 Azure AD 租用戶當作身分識別提供者,請完成下列步驟:
步驟 1:尋找存取控制命名空間的名稱
步驟 2:將存取控制命名空間新增為 Web 應用程式
步驟 3:將 Azure AD 租使用者識別提供者新增至存取控制命名空間
步驟 4:搭配您的應用程式使用 Azure AD 租使用者識別提供者
步驟 1:尋找存取控制命名空間的名稱
在此步驟中,我們將複製命名空間名稱供下一步使用。 您需要命名空間名稱來指出應該將權杖傳送至接收 WS-同盟登入回應的端點。
雖然命名空間 URL 是在標示為 [管理入口網站] 的欄位中,但權杖會傳送至指定的端點,而不是入口網站。
移至Microsoft Azure管理入口網站 (https://manage.WindowsAzure.com) 登入,然後按一下 [Active Directory]。 (疑難排解提示: 「Active Directory」專案遺失或無法使用)
若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。 (或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。
按一下 [應用程式整合]。
複製 [管理入口網站] 欄位的值。
[管理入口網站] 欄位中的 URL 有下列格式:
<HTTPs:// Namespace.accesscontrol.windows.net/>
儲存值。 下一步需要此值。
[管理入口網站] 欄位的值是接收 WS-同盟登入回應的端點的命名空間名稱和 URL。
步驟 2:將存取控制命名空間新增為 Web 應用程式
在此步驟中,您將使用 Azure 管理入口網站的功能,將存取控制命名空間新增為 Azure AD 租使用者中的 Web 應用程式。 這樣會使租用戶成為 Azure AD 產生的權杖的接收者。
移至 Azure 管理入口網站 並登入。 依序按一下 [Active Directory]、[目錄]、[ 應用程式] 和 [ 新增]。
.png "Add an application to an Active Directory tenant")
輸入應用程式的名稱。 在 [類型] 欄位中,選取 [Web 應用程式和/或 Web API] (預設值)。 按一下箭頭繼續。
.png "Add a name and type for the app")
在 [應用程式 URL] 和 [應用程式 ID URI] 文字方塊中,貼上 [應用程式整合] 頁面的 [管理入口網站] 欄位中的 URL。 按一下箭頭繼續。
應用程式 URL 是使用者驗證成功時權杖所送往的位址。 應用程式 ID URI 是權杖限定的對象。 如果我們使用存取控制命名空間的 entityID以外的任何值,ACS 會將其解譯為從中間人攻擊重複使用的權杖。
貼上時,請小心在最後斜線 (/) 後面不要有尾端空格或額外字元。 否則,Azure AD 會將 URL 標記為無效。
.png "Add the URL and App ID Uri for the app")
在 [目錄存取] 頁面上,選取預設值 [單一登入]。 因為 ACS 不會呼叫 Graph API,所以不會使用此設定。 按一下核取記號以完成程序。
此時,您的 Azure AD 租使用者知道您的存取控制命名空間,並可為其發出權杖。
.png "Specify the access requirements of the app")
在最終頁面上,複製 [同盟中繼資料 URL]。 幾分鐘之內需要它。
回到此頁面:
移至 Azure 管理入口網站 並登入。
按一下 Azure 目錄。
按一下 [應用程式]。
按一下應用程式。
[同盟中繼資料 URL] 也會列在應用程式的 [應用程式端點] 頁面上。 若要檢視此頁面,請在 [應用程式] 頁面按一下 [檢視端點]。
.png "Page announces that app is added")
步驟 3:將 Azure AD 租使用者識別提供者新增至存取控制命名空間
在此步驟中,您會將 Azure AD 租使用者的安全性權杖服務 (STS) 新增至 存取控制 命名空間。
移至Microsoft Azure管理入口網站 (https://manage.WindowsAzure.com) 登入,然後按一下 [Active Directory]。 (疑難排解提示: 「Active Directory」專案遺失或無法使用)
若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。 (或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。
此動作會開啟存取控制命名空間的 ACS 管理入口網站。
.png "ACS Management Portal")
按一下 [身分識別提供者],然後按一下 [新增]。
選取 WS-同盟身分識別提供者,然後按 [下一步]。
.png "Add an identity provider")
輸入顯示名稱和登入連結文字。 這些值沒有特殊要求。
在 WS-同盟中繼資料區段中,按一下 [URL],再貼上您從應用程式頁面中複製的同盟中繼資料 URL。 然後按一下 [ 儲存]。
此頁面上另一個有用的欄位是 [登入連結文字] 欄位。 該欄位的值會出現在使用者登入應用程式時提供給他們的身分識別提供者清單中。
.png "Enter the Federation Metadata URL")
步驟 4:搭配您的應用程式使用 Azure AD 租使用者識別提供者
Azure AD 租使用者現在已註冊為存取控制命名空間的識別提供者。 從某種意義上來說,我們的工作已完成。 不過,在此步驟中,我們會將新的身分識別提供者加入至 Web 應用程式的身分識別提供者供應項目中,以示範如何使用新的身分識別提供者。
若要為應用程式選取新的身分識別提供者,請使用標準程序:
啟動 Visual Studio 2012 並開啟 Web 應用程式。
在 [方案總管] 中,以滑鼠右鍵按一下應用程式名稱,然後按一下 [身分與存取]。
在 [提供者] 索引標籤上,按一下 [使用 Azure 存取控制服務]。
若要將應用程式與存取控制命名空間產生關聯,您需要命名空間的管理金鑰。 以下說明如何找到它。
移至Microsoft Azure管理入口網站 (https://manage.WindowsAzure.com) 登入,然後按一下 [Active Directory]。 (疑難排解提示: 「Active Directory」專案遺失或無法使用)
若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。 (或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。
依序按一下 [管理服務]、[管理用戶端] 和 [對稱金鑰]。
按一下 [顯示金鑰],複製金鑰值,然後按一下 [隱藏金鑰]。
現在,回到 Visual Studio [設定 ACS 命名空間] 對話方塊,輸入存取控制命名空間的名稱,然後貼上管理金鑰值。
.png "Enter the namespace name and key in Visual Studio")
然後,從命名空間的身分識別提供者清單中,選取 Azure AD 租用戶身分識別提供者。
.png "Select the AD Tenant identity provider")
當您執行應用程式時,登入對話方塊的身分識別提供者選擇中會顯示此 Azure AD 租用戶身分識別提供者 (此頁面上顯示的名稱定義於身分識別提供者設定頁面的 [登入連結文字] 欄位中)。
.png "Select an identity provider")
選取 Azure AD 租用戶,然後以您的組織帳戶登入。
.png "Application sign-in page")
現在,您已可以存取應用程式。 驗證權杖會轉送至當作身分識別提供者的 Azure AD 租用戶。