Pagine di accesso e individuazione dell'area di autenticazione principale
Aggiornamento: 19 giugno 2015
Si applica a: Azure
Microsoft Azure Active Directory Controllo di accesso (noto anche come servizio Controllo di accesso o ACS) offre due semplici modi per generare una pagina di accesso federata per il sito Web o l'applicazione:
Opzione 1: ACS-Hosted pagina di accesso
ACS ospita una pagina di accesso federata di base che può essere usata nell'applicazione relying party. Tale pagina di accesso viene ospitata nell'endpoint del protocollo WS-Federation dello spazio dei nomi in uso ed è possibile accedervi usando un URL simile al seguente.
https://<YourNamespace>.accesscontrol.windows.net/v2/wsfederation?wa=wsignin1.0&wtrealm=<YourAppRealm>&redirect=false
In questo URL sostituire <YourNamespace> con il nome dello spazio dei nomi Controllo di accesso. L'URL inoltre richiede i seguenti parametri:
wa - Impostare il parametro su wsignin1.0.
wtrealm - Impostare il parametro sul valore dell'area di autenticazione specificata per l'applicazione relying party. Per trovare il valore dell'area di autenticazione, nel portale di gestione ACS fare clic su Applicazioni relying party, selezionare un'applicazione e visualizzare il campo Area di autenticazione .
Per individuare i collegamenti della pagina di accesso per le applicazioni relying party:
Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)
Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.
Fare clic su Application integration, Login pages, quindi selezionare un'applicazione relying party.
La pagina Login Page Integration visualizza le opzioni della pagina di accesso per l'applicazione.
L'immagine seguente mostra la pagina di accesso predefinita per un'applicazione che supporta Windows Live ID (account Microsoft), Google, Yahoo!, Facebook e "Contoso Corp", un provider di identità fittizio WS-Federation.
Per sostituire un pulsante del provider di identità WS-Federation con una casella di testo dell'indirizzo e-mail, aggiungere i suffissi dell'indirizzo e-mail ai collegamenti della pagina di accesso per il provider di identità WS-Federation. Questo approccio è utile se per l'applicazione relying party è configurato un numero elevato di provider di identità WS-Federation. La seguente immagine illustra una pagina di esempio.
Per accelerare l'integrazione di ACS con l'applicazione relying party, usare la pagina di accesso predefinita ospitata da ACS. Per personalizzare il layout e l'aspetto di tale pagina di accesso, salvare la versione predefinita come file HTML e copiare il codice HTML e JavaScript nella propria applicazione, dove è possibile apportare le personalizzazioni.
Opzione 2: Ospitare una pagina di accesso personalizzata come parte dell'applicazione
Per abilitare il controllo completo sull'aspetto, il comportamento e la posizione della pagina di accesso federata, ACS fornisce un feed di metadati con codifica JSON con i nomi, gli URL di accesso, le immagini e i nomi di dominio di posta elettronica ( solo) dei provider di identità. Tale feed è noto come feed dei metadati di individuazione dell'area di autenticazione principale.
Pagina di accesso personalizzata di esempio
Per scaricare una pagina di accesso HTML di esempio per ognuna delle applicazioni relying party:
Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)
Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.
Fare clic su Application integration, Login pages, quindi selezionare un'applicazione relying party.
Nella pagina Login Page Integration fare clic su Download Example Login Page.
Il codice HTML di esempio è identico al codice HTML per la pagina di accesso ospitata da ACS.
Questo esempio include funzioni JavaScript per il rendering della pagina. Un tag di script nella parte inferiore della pagina chiama il feed dei metadati. Le pagine di accesso personalizzate utilizzano i metadati mediante puro codice HTML e JavaScript del lato client, come mostrato nell'esempio. Il feed tuttavia può anche essere usato da qualsiasi linguaggio in grado di supportare la codifica JSON per il rendering di un controllo di accesso personalizzato.
Feed dei metadati di individuazione dell'area di autenticazione principale
Per individuare gli URL del feed dei metadati di individuazione dell'area di autenticazione principale per le applicazioni relying party:
Passare al portale di gestione Microsoft Azure (https://manage.WindowsAzure.com), accedere e quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)
Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.
Fare clic su Application integration, Login pages, quindi selezionare un'applicazione relying party.
L'URL viene visualizzato nella pagina Di integrazione della pagina di accesso per l'applicazione in Opzione 2: Ospitare la pagina di accesso come parte dell'applicazione.
Il seguente esempio illustra un URL del feed dei metadati di individuazione dell'area di autenticazione principale.
https://YourNamespace.accesscontrol.windows.net/v2/metadata/IdentityProviders.js?protocol=wsfederation&realm=YourAppRealm&reply_to=YourAppReturnURL&context=&version=1.0&callback=OptionalFunctionName
L'URL usa i seguenti parametri:
YourNamespace - Obbligatorio. Impostare il nome dello spazio dei nomi di Azure.
protocol - Obbligatorio. Questo è il protocollo usato dall'applicazione relying party per comunicare con ACS. In ACS questo valore deve essere impostato su wsfederation.
realm - Obbligatorio. Si tratta dell'area di autenticazione specificata per l'applicazione relying party nel portale di gestione ACS.
version - Obbligatorio. In ACS questo valore deve essere impostato su 1.0.
reply_to - Facoltativo. Si tratta dell'URL restituito specificato per l'applicazione relying party nel portale di gestione ACS. Se omesso, il valore dell'URL restituito viene impostato sul valore predefinito configurato per l'applicazione relying party nel portale di gestione ACS.
context - Facoltativo. Si tratta di qualsiasi contesto aggiuntivo che può essere passato all'applicazione relying party nel token. ACS non riconosce questi contenuti.
callback - Facoltativo. È possibile impostare questo parametro sul nome di una funzione JavaScript che si desidera eseguire quando viene caricato il feed JSON. La stringa del feed JSON è l'argomento che viene passato a tale funzione.
Nota
Il feed di metadati con codifica JSON può essere soggetto a modifica, è quindi consigliabile non memorizzarlo nella cache.
Formato dei dati del feed JSON
Quando il feed dei metadati viene richiesto con parametri validi come descritto in precedenza, la risposta è un documento contenente una matrice con codifica JSON di matrici interne, ognuna delle quali rappresenta un provider di identità con i seguenti campi:
Name - Nome visualizzato del provider di identità in formato leggibile dall'utente.
LoginUrl - URL di richiesta di accesso creato.
LogoutUrl - Questo URL consente agli utenti finali di disconnettersi dal provider di identità a cui si sono connessi. Attualmente è supportato solo per e Windows Live ID (account Microsoft) ed è vuoto per altri provider di identità.
ImageUrl: immagine da visualizzare, come configurato nel portale di gestione ACS. È vuoto se non vi sono immagini.
EmailAddressSuffixes - Matrice di suffissi di indirizzi e-mail associati al provider di identità. In ACS i suffissi degli indirizzi di posta elettronica possono essere configurati solo per i provider di identità tramite il portale di gestione ACS. Viene restituita una matrice vuota se non vi sono suffissi configurati.
L'esempio seguente mostra il feed JSON quando Windows Live ID e AD FS 2.0 sono configurati per l'applicazione relying party. L'utente ha impostato un URL di immagine per Windows Live ID nel portale di gestione ACS e aggiunto un suffisso di dominio di posta elettronica per il provider di identità.
Nota
Le interruzioni di riga sono state aggiunte per migliorare la leggibilità e gli URL sono stati semplificati per brevità.
[ {
"Name":"Windows Live ID",
"LoginUrl":" https://...",
"LogoutUrl":" https://...",
"ImageUrl":"https://...",
"EmailAddressSuffixes":[]
},
{
"Name":"My ADFS 2.0 Provider",
"LoginUrl":" https://...",
"LogoutUrl":" https://...",
"ImageUrl":"",
"EmailAddressSuffixes":[“contoso.com”]
} ]