Windows Azure - 將使用Access Control Service的網站部屬到Windows Azure

前一篇有提到使用Access Control Service來整合Facebook的認證，但是那篇講的是ASP.NET MVC在地上然後搭配Windows Azure的Access Control Service，如果今天要把ASP.NET MVC的網站也部屬到Windows Azure，則會因為Identity and Access Tools是使用.NET 4.5的關係，所以會發生部屬不上去的問題 ( 未來Azure支援.NET 4.5，就可以不用理會這篇了~~ )，所以現在，我們必須要把Windows Identity Framework 換成3.5。

首先第一步驟，必須先取得Microsoft.IdentityModel.dll，而且要3.5版本的，小弟的作法是從另外一台有裝Windows Identity Framework 3.5的電腦上面Copy過來的，如果找不到的人可以去Google找找看，或是直接裝Windows Identity Framework 3.5 Runtime 和Windows Identity Framework 3.5 SDK。( Windows Identity Framework 3.5 Runtime的下載頁面中，Win6.0代表vista，6.1代表win 7 ，另外裝完後，dll預設會在C:\Program Files\Reference Assemblies\Microsoft\Windows Identity Foundation\v3.5 底下。)

接下來，我們要把Microsoft.IdentityModel.dll引入到ASP.NET MVC的專案

小弟我這邊已經把Microsoft.Identity.dll複製到版控裡面，所以位置和預設的位置有點不同。

完成之後，接下來要開始修改Web.config檔案，首先我們先找到configSections區段，並且把原本的的Section註解調，替換成舊版的，如下。

  <configSections>
    ...
    <!-- Use to IdentityModel 4.0 
    <section name="system.identityModel" type="System.IdentityModel.Configuration.SystemIdentityModelSection, System.IdentityModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089" />
    <section name="system.identityModel.services" type="System.IdentityModel.Services.Configuration.SystemIdentityModelServicesSection, System.IdentityModel.Services, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089" />
    -->
    <section name="microsoft.identityModel" type="Microsoft.IdentityModel.Configuration.MicrosoftIdentityModelSection, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/>
  </configSections>

接著，我們把validateRequest加入到Page裡面，如下。

<pages validateRequest="false">

然後，把httpRuntime的requestValidationMode從4.5改成2.0。( 雖然MSDN寫requestValidationMode超過4.0的值，都會被當成4.0，但實際上，4.5的驗證機制是有差的，可以參考附錄的資料 )

<httpRuntime requestValidationMode="2.0" />

接著，我們要把system.webServer裡面的內容替換如下，因為我們不是用System.Identity了，而是使用Microsoft.Identity ( 也就是3.5版本 )。

<system.webServer>
    <modules runAllManagedModulesForAllRequests="true">
      <add name="WSFederationAuthenticationModule" type="Microsoft.IdentityModel.Web.WSFederationAuthenticationModule, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" preCondition="managedHandler" />
      <add name="SessionAuthenticationModule" type="Microsoft.IdentityModel.Web.SessionAuthenticationModule, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" preCondition="managedHandler" />
    </modules>
</system.webServer>

最後，system.identityModel的區段、和system.identityModel.Service的區段換成如下，因為要配合上傳到Azure的URL，所以audienceUris裡面的value要填成真實的URI ( 這裡是http://study4.tw )，而中間有一個trustedIssuers，裡面有一個thumbprint的值，可以參考之前system.identityModel的值，後面的name，其實也和之前的system.identityModel的值是一樣的，也就是Access Control Service的網址；最後，最下面的wsFederation裡面，issuer也要填入Access Control Service的URI，而realm和reply則填入真實的網址。( 其實裡面的值和system.identityModel裡面的值都一樣，只是別忘記，我們之前是利用localhost測試，所以填的是http://localhost ，但這邊因為要部屬到Azure上面去了，所以填的必需要是真實網址 )。

 <microsoft.identityModel>
    <service>
      <securityTokenHandlers>
        <securityTokenHandlerConfiguration>
          <audienceUris>
            <add value="http://study4.tw/" />
          </audienceUris>
          <issuerNameRegistry type="Microsoft.IdentityModel.Tokens.ConfigurationBasedIssuerNameRegistry, Microsoft.IdentityModel, Version=3.5.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35">
            <trustedIssuers>
              <add thumbprint="9B8174896FA4C3FCF16587DCA35FF3834F956D19" name="https://Study4ACS.accesscontrol.windows.net/" />
            </trustedIssuers>
          </issuerNameRegistry>
        </securityTokenHandlerConfiguration>
      </securityTokenHandlers>
      <certificateValidation certificateValidationMode="None" />
      <federatedAuthentication>
        <cookieHandler requireSsl="false" />
        <wsFederation passiveRedirectEnabled="true" issuer="https://study4acs.accesscontrol.windows.net/v2/wsfederation" 
                      realm="http://study4.tw/" reply="http://study4.tw/" requireHttps="false" />
      </federatedAuthentication>
    </service>
  </microsoft.identityModel>

到這邊，我們Web.config就設定完成了，接下來，我們要回到Windows Azure的管理介面，進行一些設定；如下圖，我們要進入規則與群組設定。

進去後，按下產生。( 預設沒有產生新規則的情況下，通常只會有兩個規則，而底下的圖，是因為小弟已經按過了，所以已經產生了非常多的規則。 )

把兩個都打勾，再按下產生。

產生後，回如下圖，產生很多新個規則，並按下儲存。

接下來，還要調整一下憑證的信任網址。

記得領域和傳回URL的部分，要改成真實的網址，不然會沒辦法驗證。

儲存後，將整個方案打包好，就可以上傳到Azure了!!這又就完成了!!

後記

當然，後面還有一些微調的地方，例如怎樣設定哪個頁面需要驗證；或是整個測試要怎要做之類的，但談下去可能整篇會非常長，而且可能會離主題越來越遠，所以就先此打住了，也請見諒；未來Azure如果搭配.NET 4.5後，也可不在需要這樣做，也期待Azure上的.NET 4.5趕快到來=v=

參考資料

• http://cloudythoughts.siadis.com/windows-azure/windows-azure-appfabric/creating-a-custom-sts-with-windows-identity-foundation
• http://haishibai.blogspot.tw/2012/08/windows-azure-web-site-targeting-net.html
• http://www.dotnetexpertguide.com/2012/03/requestvalidationmode-in-aspnet-45.html