共用方式為

如何:將 AD FS 2.0 設定為識別提供者

  • 發行項

更新日期:2015 年 6 月 19 日

適用對象:Azure

套用至

  • Microsoft Azure Active Directory 存取控制服務 (也稱為「存取控制服務」或 ACS)

  • Active Directory® Federation Services 2.0

總結

此如何描述如何設定為識別提供者。 設定為 ASP.NET Web 應用程式的身分識別提供者,可讓使用者登入 Active Directory 所管理的公司帳戶,以向 ASP.NET Web 應用程式進行驗證。

目錄

  • 目標

  • 概觀

  • 步驟摘要

  • 步驟 1 - 新增 AD FS 2.0 成為 ACS 管理入口網站中的身分識別提供者

  • 步驟 2 - 將憑證加入 ACS 用於解密在 ACS 管理入口網站從 AD FS 2.0 收到的權杖 (選擇性)

  • 步驟 3 - 在 AD FS 2.0 中將存取控制命名空間新增為信賴憑證者

  • 步驟 4 - 在 AD FS 2.0 中為存取控制命名空間新增宣告規則

目標

  • 設定 ACS 與 之間的信任。

  • 改善權杖和中繼資料交換的安全性。

概觀

設定為身分識別提供者可重複使用由公司 Active Directory 管理的現有帳戶進行驗證。 它不需要建置複雜的帳戶同步處理機制,也不需要開發自訂程式碼來執行接受使用者認證、按照認證存放區驗證認證和管理身分識別的工作。 整合 ACS 並僅透過組態來完成,不需要自訂程式碼。

步驟摘要

  • 步驟 1 - 新增 AD FS 2.0 成為 ACS 管理入口網站中的身分識別提供者

  • 步驟 2 - 將憑證加入 ACS 用於解密在 ACS 管理入口網站從 AD FS 2.0 收到的權杖 (選擇性)

  • 步驟 3 - 在 AD FS 2.0 中將存取控制命名空間新增為信賴憑證者

  • 步驟 4 - 在 AD FS 2.0 中為存取控制命名空間新增宣告規則

步驟 1 - 新增 AD FS 2.0 成為 ACS 管理入口網站中的身分識別提供者

此步驟會在 ACS 管理入口網站中新增為識別提供者。

將 AD FS 2.0 新增為存取控制命名空間中的識別提供者

  1. 在 ACS 管理入口網站主頁面中,按一下 [識別提供者]。

  2. 按一下 [新增身分識別提供者]

  3. 在 [Microsoft Active Directory Federation Services 2.0] 旁邊,按一下 [新增]

  4. 在 [顯示名稱] 欄位中,輸入此身分識別提供者的顯示名稱。 請注意,這個名稱將出現在 ACS 管理入口網站中,並預設出現在應用程式的登入頁面上。

  5. [WS-Federation 中繼資料 ] 欄位中,輸入實例元資料檔案的 URL,或使用 [ 檔案 ] 選項上傳元資料檔案的本機複本。 使用 URL 時,您可以在管理主控台的 Service\Endpoints 區段中找到元資料檔案的 URL 路徑。 後續兩個步驟將處理信賴憑證者應用程式的登入頁面;這些步驟是選擇性的,可以忽略。

  6. 如果您想要編輯在您的應用程式的登入頁面上對於這個身分識別提供者顯示的文字,請在 [登入連結文字] 欄位中輸入所需的文字。

  7. 如果您要在您的應用程式的登入頁面上顯示此身分識別提供者的影像,請在 [影像 URL] 欄位中輸入影像檔的 URL。 在理想情況下,此影像檔應該裝載于信任的網站 (,盡可能使用 HTTPS 來防止瀏覽器安全性警告) ,而且您應該具有合作夥伴顯示此影像的許可權。 如需登入頁面設定的其他指引,請參閱 登入頁面和首頁探索 的說明。

  8. 如果您要提示使用者使用其電子郵件地址登入,而不是按一下連結,請在 [電子郵件網域名稱] 欄位中輸入要與此身分識別提供者相關聯的電子郵件網域尾碼。 例如,如果識別提供者裝載其電子郵件地址結尾為 @contoso.com 的使用者帳戶,請輸入 contoso.com。 使用分號分隔尾碼清單 (,例如,contoso.com;fabrikam.com) 。 如需登入頁面設定的其他指引,請參閱 登入頁面和首頁探索 的說明。

  9. 在 [信賴憑證者應用程式] 欄位中,選取要與此身分識別提供者建立關聯的任何現有信賴憑證者應用程式。 這將使得身分識別提供者出現在該應用程式的登入頁面上,並且從身分識別提供者傳遞宣告至應用程式。 請注意,規則仍需要加入定義哪些宣告需要傳遞的應用程式規則群組。

  10. 按一下 [檔案] 。

步驟 2 - 將憑證加入 ACS 用於解密在 ACS 管理入口網站從 AD FS 2.0 收到的權杖 (選擇性)

此步驟新增並設定將從 收到的權杖解密的憑證。 這是選擇性步驟,有助於加強安全性。 具體來說,這有助於防止他人檢視和竄改權杖的內容。

若要將憑證新增至存取控制命名空間,以解密從 AD FS 2.0 接收的權杖 (選擇性)

  2. 如果您未使用 Windows Live ID (Microsoft 帳戶) 進行驗證,則必須這麼做。

  3. 使用 Windows Live ID (Microsoft 帳戶) 進行驗證之後,系統會將您重新導向至Microsoft Azure入口網站的 [我的專案] 頁面。

  4. 在 [我的專案] 頁面上按一下所要的專案名稱。

  5. [Project: << 您的專案名稱 >>] 頁面上,按一下所需命名空間旁的存取控制連結。

  6. [存取控制 設定: << 您的命名空間 >>] 頁面上,按一下[管理存取控制] 連結。

  7. 在 ACS 管理入口網站主頁面上,按一下 [憑證和金鑰]

  8. 按一下 [新增權杖解密憑證]

  9. 在 [名稱] 欄位中,輸入憑證的顯示名稱。

  10. 在 [憑證] 欄位中,流覽具有私密金鑰的 X.509 憑證, (.pfx 檔案) 此存取控制命名空間,然後在 [密碼] 欄位中輸入 .pfx 檔案的密碼。 如果您沒有憑證,請遵循畫面上的指示來產生憑證,或查看 憑證和金鑰 的說明,以取得憑證的其他指引。

  11. 按一下 [檔案] 。

步驟 3 - 在 AD FS 2.0 中將存取控制命名空間新增為信賴憑證者

此步驟有助於在 中將 ACS 設定為信賴憑證者。

將存取控制命名空間新增為 AD FS 2.0 中的信賴憑證者

  1. 在管理主控台中,按一下 [AD FS 2.0],然後在 [ 動作 ] 窗格中,按一下 [ 新增信賴憑證者信任] 以啟動 [新增信賴憑證者 信任精靈]。

  2. 在 [歡迎使用] 頁面上按一下 [開始]

  3. 在 [選取資料來源]頁面上,按一下 [匯入有關線上發行之信賴憑證者的資料],或在區域網路上輸入存取控制命名空間的名稱,然後按 [下一步]。

  4. 在 [指定顯示名稱] 頁面上,輸入顯示名稱,然後按 [下一步]

  5. 在 [選擇發佈授權規則] 頁面上,按一下 [允許所有使用者存取此信賴憑證者],然後按 [下一步]

  6. 在 [準備加入信任] 頁面上,檢閱信賴憑證者信任設定,然後按 [下一步] 儲存設定。

  7. 在 [完成] 頁面上,按一下 [關閉] 結束精靈。 這也會開啟 [編輯 WIF 範例應用程式的宣告規則] 屬性頁面。 使此對話方塊維持開啟,然後進行下一個程序。

步驟 4 - 在 AD FS 2.0 中為存取控制命名空間新增宣告規則

此步驟將設定 中的宣告規則。 如此一來,您可確保所需的宣告會從 傳遞至 ACS。

在 AD FS 2.0 中新增存取控制命名空間的宣告規則

  1. 在 [編輯宣告規則] 屬性頁面的 [發佈轉換規則] 索引標籤上,按一下 [加入規則] 啟動 [加入轉換宣告規則精靈]。

  2. 在 [選取規則範本] 頁面的 [宣告規則範本] 下,按一下 [傳遞或篩選傳入宣告] 上的功能表,然後按 [下一步]

  3. 在 [設定規則] 頁面的 [宣告規則名稱] 中,輸入規則的顯示名稱。

  4. 在 [傳入宣告類型] 下拉式清單中,選取要傳遞至應用程式的身分識別宣告類型,然後按一下 [完成]

  5. 按一下 [確定] 關閉屬性頁,並將變更儲存至信賴憑證者信任。

  6. 針對您想要從 存取控制 命名空間發出的每個宣告重複步驟 1-5。

  7. 按一下 [確定] 。