© DrHitch/Shutterstock.com
Apps mit Azure

4 Eine Webanwendung mit Azure Active Directory absichern


Mit Azure Active Directory bietet Microsoft einen Verzeichnisdienst für Identity- und Access-Management in der Cloud an. Line-of-Business-Anwendungen, die als Software as a Service oder über das Web zur Verfügung stehen, können mit Azure AD abgesichert werden. Dieses Kapitel zeigt, wie eine ASP.NET-Anwendung mithilfe von OWIN-Komponenten an Azure AD angebunden werden kann.

Genauso wie On-Premise werden auch in einem Azure-AD-Verzeichnis Benutzer und Benutzergruppen verwaltet. Webanwendungen und Cloud-Dienste können mit Azure AD abgesichert werden, sodass sich die Benutzer mit ihren jeweiligen Benutzerkonten per Single Sign-On anmelden können. Auch das Microsoft-eigene Office 365 nutzt Azure AD unter der Haube. Zur Realisierung von Single-Sign-On-Szenarien werden die webbasierten Protokolle WS-Federation, SAML-P und OpenID Connect unterstützt. Außerdem können berechtigte Anwendungen über einen REST-Web-Service, das Graph-API, lesend und schreibend auf das Verzeichnis zugreifen.

Azure AD kann mit einem On-Premise-Verzeichnis verbunden werden. Dabei werden die Benutzerkonten aus dem lokalen AD mit dem Cloud-Verzeichnis synchronisiert. Zusätzlich kann eine Sign-in Federation aufgesetzt werden, die die Benutzerauthentifizierung von Azure AD an die Active Directory Federation Services (AD FS) in der On-Premise-Infrastruktur delegiert. Dies ermöglicht es unter anderem, spezielle Authentifizierungslösungen wie z. B. Smart Cards zu unterstützen.

Anforderungen

Im Folgenden soll eine mit Azure AD abgesicherte ASP. NET-Webanwendung entwickelt werden. Greift der Benutzer auf die Anwendung zu, wird ihm zunächst die Anmeldeseite von Azure AD angezeigt (Abb. 4.1). Hier gibt er die Zugangsdaten für seine Benutzeridentität im Azure-AD-Verzeichnis an. Nach erfolgreicher Authentifizierung kann er die Anwendung nutzen. Für die Anmeldung sollen nur Benutzer aus dem Verzeichnis aitaadsample.onmicrosoft.com zugelassen werden. Die Visual Studio Solution mit dem Quelltext der vollständigen Anwendung kann unter [1] heruntergeladen werden.

mokross_identity_1.jpg

Abbildung 4.1: Anmeldeseite von Azure AD

Provisionierung der Anwendung

Voraussetzung für den Single Sign-On mit Azure AD ist, dass die Clientanwendung im Verzeichnis provisioniert ist. Dazu wird dem Verzeichnis über das Azure-Management-Portal ein neuer Anwendungseintrag hinzugefügt (Abb. 4.2). In diesem muss anschließend ein Reply-URL konfiguriert werden, an den im Rahmen des Single Sign-Ons die Authentifizierungsantwort gesendet wird. Für das ...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang