Facebook als ACS-id-provider
Bijgewerkt: 19 juni 2015
Van toepassing op: Azure
Microsoft Azure Active Directory Access Control (ook wel bekend als Access Control Service of ACS) ondersteunt Facebook als id-provider voor websites en webtoepassingen. ACS-ondersteuning voor Facebook is gebouwd met behulp van de Facebook-Graph API, waarmee federatieve verificatie en autorisatie voor Facebook-gebruikersaccounts mogelijk is.
Een vereiste Facebook-toepassing configureren
Als u Facebook wilt toevoegen als id-provider in uw Access Control naamruimte, moet u eerst een Facebook-toepassing maken en deze opgeven met de benodigde parameters om te communiceren met ACS. Zie Instructies voor meer informatie : Facebook configureren als id-provider.
Configureren met de ACS-beheerportal
Zodra uw Facebook-toepassing is gemaakt en u Facebook wilt toevoegen als id-provider in de Access Control naamruimte, moet u de volgende instellingen opgeven met behulp van de ACS-beheerportal:
Weergavenaam: hiermee geeft u de weergavenaam van uw id-provider op. Deze naam wordt alleen gebruikt in de ACS-beheerportal.
Toepassings-id: hiermee geeft u de toepassings-id op die u kunt kopiëren uit uw Facebook-toepassing.
Toepassingsgeheim: hiermee geeft u het toepassingsgeheim op dat u kunt kopiëren uit uw Facebook-Verbinding maken-toepassing.
Toepassingsmachtigingen: hiermee geeft u uitgebreide machtigingen op die u wilt aanvragen van de gebruikers van uw Facebook-toepassing wanneer ze zich aanmelden. Zie Machtigingen (https://go.microsoft.com/fwlink/?LinkID=214014) voor meer informatie over de machtigingen die u kunt aanvragen. De machtiging voor toegang tot de e-mailadressen van Facebook-gebruikers wordt standaard opgegeven en aanvullende machtigingen moeten worden gescheiden door komma's. Zodra machtigingen zijn geconfigureerd, kan uw relying party-toepassing het uitgegeven Facebook-toegangstoken gebruiken om de aanvullende gebruikersgegevens aan te vragen met behulp van de Facebook-Graph API. Zie het claimtype Toegangstoken in ondersteunde claimtypen voor meer informatie.
Tekst van aanmeldingskoppeling: hiermee geeft u de tekst op die wordt weergegeven voor de Facebook-id-provider op de aanmeldingspagina van uw webtoepassing. Zie Aanmeldingspagina's en Home Realm Discovery voor meer informatie.
Afbeeldings-URL (optioneel): hiermee geeft u een URL naar een afbeeldingsbestand (bijvoorbeeld een logo van uw keuze) op dat u kunt weergeven als de aanmeldingskoppeling voor deze id-provider. Dit logo wordt automatisch weergegeven op de standaardaanmeldingspagina voor uw ACS-bewuste webtoepassing, evenals in de JSON-feed van uw webtoepassing die u kunt gebruiken om een aangepaste aanmeldingspagina weer te geven. Als u geen afbeeldings-URL opgeeft, wordt er een tekstaanmeldingskoppeling voor deze id-provider weergegeven op de aanmeldingspagina van uw webtoepassing. Als u een afbeeldings-URL opgeeft, wordt het sterk aanbevolen om te verwijzen naar een vertrouwde bron, bijvoorbeeld uw eigen website of toepassing, met BEHULP van HTTPS om beveiligingswaarschuwingen voor browsers te voorkomen. Bovendien wordt de grootte van elke afbeelding die groter is dan 240 pixels in breedte en 40 pixels in hoogte automatisch gewijzigd op de standaardpagina voor detectie van acs-thuisrealm.
Relying Party-toepassing: hiermee geeft u alle bestaande relying party-toepassingen op die u wilt koppelen aan de Facebook-id-provider. Zie Relying Party Applications voor meer informatie.
Nadat een id-provider is gekoppeld aan een relying party-toepassing, moeten regels voor die id-provider worden gegenereerd of handmatig worden toegevoegd in de regelgroep van een relying party-toepassing om de configuratie te voltooien. Zie Regelgroepen en regels voor meer informatie over het maken van regels.
Ondersteunde claimtypen
Nadat een gebruiker zich heeft geverifieerd bij een id-provider, ontvangen ze een token dat is gevuld met identiteitsclaims. Claims zijn stukjes informatie over de gebruiker, zoals een e-mailadres of een unieke id. ACS kan deze claims rechtstreeks doorgeven aan de relying party-toepassing of autorisatiebeslissingen nemen op basis van de waarden die ze bevatten.
Claimtypen in ACS worden standaard uniek geïdentificeerd met behulp van een URI voor naleving van de SAML-tokenspecificatie. Deze URI's worden ook gebruikt om claims in andere tokenindelingen te identificeren.
In de volgende tabel ziet u de claimtypen die beschikbaar zijn voor ACS voor Id-providers van Facebook.
| Claimtype | URI | Description |
|---|---|---|
Naam-id |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
Een unieke id (uid) voor het gebruikersaccount, geleverd door Facebook. |
Name |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
De weergavenaam voor het gebruikersaccount, geleverd door Facebook. |
E-mailadres |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Het e-mailadres voor het gebruikersaccount, geleverd door Facebook. Houd er rekening mee dat dit claimtype alleen wordt opgegeven als 'e-mail' is geconfigureerd als een toepassingsmachtiging. Dit is standaard in de ACS-beheerportal. |
Toegangstoken |
http://www.facebook.com/claims/AccessToken |
Het Facebook OAuth 2.0-toegangstoken voor de huidige gebruikerssessie. Dit toegangstoken kan worden gebruikt om terug te bellen naar Facebook met behulp van de Graph API. Zie Graph API voor meer informatie. |
Verloopdatum |
https://schemas.xmlsoap.org/ws/2008/06/identity/claims/expiration |
De datum en tijd in Coordinated Universal Time (UTC) waarop het toegangstoken verloopt. Notitie Dit claimtype is niet aanwezig als de offline_access machtiging wordt aangevraagd. |
Identiteitsprovider |
https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider |
Een claim van ACS die de relying party-toepassing vertelt dat de gebruiker is geverifieerd met behulp van een bepaalde Facebook-toepassing. De indeling van deze claimwaarde is Facebook-Application ID> en de werkelijke waarde is zichtbaar in de ACS-beheerportal via het veld Realm op de pagina Id-provider<bewerken. |