© DrHitch/Shutterstock.com
Shortcuts
Apps mit Azure

4 Eine Webanwendung mit Azure Active Directory absichern

Mit Azure Active Directory bietet Microsoft einen Verzeichnisdienst für Identity- und Access-Management in der Cloud an. Line-of-Business-Anwendungen, die als Software as a Service oder über das Web zur Verfügung stehen, können mit Azure AD abgesichert werden. Dieses Kapitel zeigt, wie eine ASP.NET-Anwendung mithilfe von OWIN-Komponenten an Azure AD angebunden werden kann.

Shortcut Autorenteam


Genauso wie On-Premise werden auch in einem Azure-AD-Verzeichnis Benutzer und Benutzergruppen verwaltet. Webanwendungen und Cloud-Dienste können mit Azure AD abgesichert werden, sodass sich die Benutzer mit ihren jeweiligen Benutzerkonten per Single Sign-On anmelden können. Auch das Microsoft-eigene Office 365 nutzt Azure AD unter der Haube. Zur Realisierung von Single-Sign-On-Szenarien werden die webbasierten Protokolle WS-Federation, SAML-P und OpenID Connect unterstützt. Außerdem können berechtigte Anwendungen über einen REST-Web-Service, das Graph-API, lesend und schreibend auf das Verzeichnis zugreifen.Azure AD kann mit einem On-Premise-Verzeichnis verbunden werden. Dabei werden die Benutzerkonten aus dem lokalen AD mit dem Cloud-Verzeichnis synchronisiert. Zusätzlich kann eine Sign-in Federation aufgesetzt werden, die die Benutzerauthentifizierung von Azure AD an die Active Directory Federation Services (AD FS) in der On-Premise-Infrastruktur delegiert. Dies ermöglicht es unter anderem, spezielle Authentifizierungslösungen wie z. B. Smart Cards zu unterstützen.AnforderungenIm Folgenden soll eine mit Azure AD abgesicherte ASP. NET-Webanwendung entwickelt werden. Greift der Benutzer auf die Anwendung zu, wird ihm zunächst die Anmeldeseite von Azure AD angezeigt (Abb. 4.1). Hier gibt er die Zugangsdaten für seine Benutzeridentität im Azure-AD-Verzeichnis an. Nach erfolgreicher Authentifizierung kann er die Anwendung nutzen. Für die Anmeldung sollen nur Benutzer aus dem Verzeichnis aitaadsample.onmicrosoft.com zugelassen werden. Die Visual Studio Solution mit dem Quelltext der vollständigen Anwendung kann unter [1] heruntergeladen werden.Provisionierung der AnwendungVoraussetzung für den Single Sign-On mit Azure AD ist, dass die Clientanwendung im Verzeichnis provisioniert ist. Dazu wird dem Verzeichnis über das Azure-Management-Portal ein neuer Anwendungseintrag hinzugefügt (Abb. 4.2). In diesem muss anschließend ein Reply-URL konfiguriert werden, an den im Rahmen des Single Sign-Ons die Authentifizierungsantwort gesendet wird. Für das Beispiel in diesem Kapitel wird hierfür der URL https://localhost:44310/signin-openid verwendet. Der konkrete Pfad des Reply-URLs spielt für die Anwendung in diesem Fall keine Rolle – es darf sich allerdings nicht um den Pfad einer geschützten Ressource handeln. Technologien für den Single Sign-OnMit OpenID Connect unterstützt Azure AD ein äußerst zukunftsträchtiges, webbasiertes Protokoll zum Single Sign-On. Dieser...

Shortcuts
Apps mit Azure

4 Eine Webanwendung mit Azure Active Directory absichern

Mit Azure Active Directory bietet Microsoft einen Verzeichnisdienst für Identity- und Access-Management in der Cloud an. Line-of-Business-Anwendungen, die als Software as a Service oder über das Web zur Verfügung stehen, können mit Azure AD abgesichert werden. Dieses Kapitel zeigt, wie eine ASP.NET-Anwendung mithilfe von OWIN-Komponenten an Azure AD angebunden werden kann.

Shortcut Autorenteam


Genauso wie On-Premise werden auch in einem Azure-AD-Verzeichnis Benutzer und Benutzergruppen verwaltet. Webanwendungen und Cloud-Dienste können mit Azure AD abgesichert werden, sodass sich die Benutzer mit ihren jeweiligen Benutzerkonten per Single Sign-On anmelden können. Auch das Microsoft-eigene Office 365 nutzt Azure AD unter der Haube. Zur Realisierung von Single-Sign-On-Szenarien werden die webbasierten Protokolle WS-Federation, SAML-P und OpenID Connect unterstützt. Außerdem können berechtigte Anwendungen über einen REST-Web-Service, das Graph-API, lesend und schreibend auf das Verzeichnis zugreifen.Azure AD kann mit einem On-Premise-Verzeichnis verbunden werden. Dabei werden die Benutzerkonten aus dem lokalen AD mit dem Cloud-Verzeichnis synchronisiert. Zusätzlich kann eine Sign-in Federation aufgesetzt werden, die die Benutzerauthentifizierung von Azure AD an die Active Directory Federation Services (AD FS) in der On-Premise-Infrastruktur delegiert. Dies ermöglicht es unter anderem, spezielle Authentifizierungslösungen wie z. B. Smart Cards zu unterstützen.AnforderungenIm Folgenden soll eine mit Azure AD abgesicherte ASP. NET-Webanwendung entwickelt werden. Greift der Benutzer auf die Anwendung zu, wird ihm zunächst die Anmeldeseite von Azure AD angezeigt (Abb. 4.1). Hier gibt er die Zugangsdaten für seine Benutzeridentität im Azure-AD-Verzeichnis an. Nach erfolgreicher Authentifizierung kann er die Anwendung nutzen. Für die Anmeldung sollen nur Benutzer aus dem Verzeichnis aitaadsample.onmicrosoft.com zugelassen werden. Die Visual Studio Solution mit dem Quelltext der vollständigen Anwendung kann unter [1] heruntergeladen werden.Provisionierung der AnwendungVoraussetzung für den Single Sign-On mit Azure AD ist, dass die Clientanwendung im Verzeichnis provisioniert ist. Dazu wird dem Verzeichnis über das Azure-Management-Portal ein neuer Anwendungseintrag hinzugefügt (Abb. 4.2). In diesem muss anschließend ein Reply-URL konfiguriert werden, an den im Rahmen des Single Sign-Ons die Authentifizierungsantwort gesendet wird. Für das Beispiel in diesem Kapitel wird hierfür der URL https://localhost:44310/signin-openid verwendet. Der konkrete Pfad des Reply-URLs spielt für die Anwendung in diesem Fall keine Rolle – es darf sich allerdings nicht um den Pfad einer geschützten Ressource handeln. Technologien für den Single Sign-OnMit OpenID Connect unterstützt Azure AD ein äußerst zukunftsträchtiges, webbasiertes Protokoll zum Single Sign-On. Dieser...

Neugierig geworden?


    
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang