Share via

Aanmeldingspagina's en Detectie van thuisrealm

  • Artikel

Bijgewerkt: 19 juni 2015

Van toepassing op: Azure

Microsoft Azure Active Directory Access Control (ook wel bekend als Access Control Service of ACS) biedt twee eenvoudige manieren om een federatieve aanmeldingspagina voor uw website of toepassing te genereren:

Optie 1: ACS-Hosted aanmeldingspagina

ACS host een eenvoudige federatieve aanmeldingspagina die kan worden gebruikt in uw relying party-toepassing. Deze aanmeldingspagina wordt gehost op het WS-Federation protocoleindpunt voor uw naamruimte en kan worden geopend door een URL met de volgende indeling.

https://<YourNamespace>.accesscontrol.windows.net/v2/wsfederation?wa=wsignin1.0&wtrealm=<YourAppRealm>&redirect=false

In deze URL vervangt u YourNamespace> door< de naam van uw Access Control naamruimte. Daarnaast zijn voor deze URL de volgende parameters vereist:

  • wa— Instellen op wsignin1.0

  • wtrealm: stel deze waarde in op de waarde van de realm voor uw relying party-toepassing. Als u de realmwaarde wilt vinden, klikt u in de ACS-beheerportal op Relying Party-toepassingen, selecteert u een toepassing en ziet u het veld Realm .

Ga als volgt te werk om de aanmeldingspaginakoppelingen voor uw relying party-toepassingen te vinden:

  1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

  2. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

  3. Klik op Toepassingsintegratie, klik op Aanmeldingspagina's en selecteer vervolgens een relying party-toepassing.

    Op de pagina Integratie van aanmeldingspagina's worden de aanmeldingspaginaopties voor de toepassing weergegeven.

In de volgende afbeelding ziet u de standaardaanmeldingspagina voor een toepassing die ondersteuning biedt voor Windows Live ID (Microsoft-account), Google, Yahoo!, Facebook en Contoso Corp, een fictieve WS-Federation id-provider.

ACS 2.0 login pages

Als u een WS-Federation de providerknop wilt vervangen door een tekstvak voor een e-mailadres, voegt u achtervoegsels voor e-mailadressen toe aan de aanmeldingspaginakoppelingen voor uw WS-Federation id-provider. Deze aanpak is handig wanneer een groot aantal WS-Federation id-providers zijn geconfigureerd voor uw relying party-toepassing. In de volgende afbeelding ziet u een voorbeeldpagina.

ACS 2.0 login pages

Gebruik de standaard door ACS gehoste aanmeldingspagina om de integratie van ACS met uw relying party-toepassing te versnellen. Als u de indeling en het uiterlijk van deze pagina wilt aanpassen, slaat u de standaardaanmeldingspagina op als HTML-bestand en kopieert u de HTML en JavaScript naar uw toepassing waar deze kan worden aangepast.

Optie 2: een aangepaste aanmeldingspagina hosten als onderdeel van uw toepassing

Om volledige controle over het uiterlijk, gedrag en de locatie van uw federatieve aanmeldingspagina mogelijk te maken, biedt ACS een met JSON gecodeerde metagegevensfeed met de namen, aanmeldings-URL's, afbeeldingen en e-maildomeinnamen (alleen) van uw id-providers. Deze feed staat bekend als de feed met metagegevens van home realmdetectie.

Voorbeeld van aangepaste aanmeldingspagina

Een voorbeeld van een HTML-aanmeldingspagina downloaden voor elk van uw relying party-toepassingen:

  1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

  2. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

  3. Klik op Toepassingsintegratie, klik op aanmeldingspagina's en selecteer vervolgens een relying party-toepassing.

  4. Klik op de pagina Integratie van aanmeldingspagina op Voorbeeldaanmeldingspagina downloaden.

De HTML-voorbeeldcode is identiek aan de HTML-code voor de door ACS gehoste aanmeldingspagina.

Dit voorbeeld bevat JavaScript-functies voor het weergeven van de pagina. Een scripttag onderaan de pagina roept de metagegevensfeed aan. Aangepaste aanmeldingspagina's kunnen de metagegevens gebruiken met behulp van pure HTML- en JavaScript-code aan de clientzijde, zoals wordt weergegeven in dit voorbeeld. De feed kan ook worden gebruikt en gebruikt om een aangepast aanmeldingsbeheer weer te geven in elke taal die ondersteuning biedt voor JSON-codering.

Metagegevensfeed van Home Realm Discovery

Ga als volgende te werk om de url's van de metagegevensfeed voor de detectie van de thuisrealm voor uw relying party-toepassingen te vinden:

  1. Ga naar de Microsoft Azure-beheerportal (https://manage.WindowsAzure.com), meld u aan en klik vervolgens op Active Directory. (Tip voor probleemoplossing: Item 'Active Directory' ontbreekt of is niet beschikbaar)

  2. Als u een Access Control naamruimte wilt beheren, selecteert u de naamruimte en klikt u op Beheren. (Of klik op Access Control naamruimten, selecteer de naamruimte en klik vervolgens op Beheren.)

  3. Klik op Toepassingsintegratie, klik op Aanmeldingspagina's en selecteer vervolgens een relying party-toepassing.

De URL wordt weergegeven op de pagina Integratie van aanmeldingspagina's voor de toepassing onder Optie 2: De aanmeldingspagina hosten als onderdeel van uw toepassing.

Hier volgt een voorbeeld van de url van de detectiefeed voor thuisrealm.

https://YourNamespace.accesscontrol.windows.net/v2/metadata/IdentityProviders.js?protocol=wsfederation&realm=YourAppRealm&reply_to=YourAppReturnURL&context=&version=1.0&callback=OptionalFunctionName

Deze URL gebruikt de volgende parameters:

  • YourNamespace: vereist. Stel deze in op de naam van uw Azure-naamruimte.

  • protocol: vereist. Dit is het protocol dat uw relying party-toepassing gebruikt om te communiceren met ACS. In ACS moet deze waarde worden ingesteld op wsfederation.

  • realm: vereist. Dit is de realm die u hebt opgegeven voor uw relying party-toepassing in de ACS-beheerportal.

  • versie: vereist. In ACS moet deze waarde worden ingesteld op 1.0.

  • reply_to: optioneel. Dit is de retour-URL die u hebt opgegeven voor uw relying party-toepassing in de ACS-beheerportal. Als u dit weglaat, wordt de waarde van de retour-URL ingesteld op de standaardwaarde die is geconfigureerd voor uw relying party-toepassing in de ACS-beheerportal.

  • context: optioneel. Dit is een extra context die kan worden doorgegeven aan de relying party-toepassing in het token. Acs herkent deze inhoud niet.

  • callback: optioneel. U kunt deze parameter instellen op de naam van een JavaScript-functie die u wilt uitvoeren wanneer de JSON-feed wordt geladen. De JSON-feedtekenreeks is het argument dat wordt doorgegeven aan deze functie.

Notitie

De JSON-gecodeerde metagegevensfeed kan worden gewijzigd. Daarom wordt u aangeraden deze niet in de cache op te nemen.

JSON-feedgegevensindeling

Wanneer de metagegevensfeed wordt aangevraagd met geldige parameters zoals eerder beschreven, is het antwoord een document met een JSON-gecodeerde matrix met matrices, waarbij elke interne matrix een id-provider vertegenwoordigt met de volgende velden:

  • Naam: de door mensen leesbare weergavenaam voor de id-provider.

  • LoginUrl: een samengestelde aanmeldingsaanvraag-URL.

  • LogoutUrl: met deze URL kunnen eindgebruikers zich afmelden bij de id-provider waarmee ze zich hebben aangemeld. Dit wordt momenteel alleen ondersteund voor en Windows Live ID (Microsoft-account) en is leeg voor andere id-providers.

  • ImageUrl: de afbeelding die moet worden weergegeven, zoals geconfigureerd in de ACS-beheerportal. Leeg als er geen afbeelding is.

  • EmailAddressSuffixes: een matrix met e-mailadresachtervoegsels die zijn gekoppeld aan de id-provider. In ACS kunnen e-mailadresachtervoegsels alleen worden geconfigureerd voor id-providers via de ACS-beheerportal. Retourneert een lege matrix als er geen achtervoegsels zijn geconfigureerd.

In het volgende voorbeeld ziet u de JSON-feed wanneer Windows Live ID en AD FS 2.0 zijn geconfigureerd voor de relying party-toepassing. De gebruiker heeft een afbeeldings-URL ingesteld voor Windows Live ID in de ACS-beheerportal en een e-maildomeinachtervoegsel toegevoegd voor de id-provider.

Notitie

We hebben regeleinden toegevoegd voor leesbaarheid en de URL's zijn vereenvoudigd voor beknoptheid.

[ {
   "Name":"Windows Live ID",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"https://...",
   "EmailAddressSuffixes":[]
},
{
   "Name":"My ADFS 2.0 Provider",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"",
   "EmailAddressSuffixes":[“contoso.com”]
} ]

Zie ook

Concepten

ACS 2.0-onderdelen