Strony logowania i odnajdywanie obszaru głównego

Zaktualizowano: 19 czerwca 2015 r.

Dotyczy: Azure

Microsoft Azure Active Directory Access Control (znanej również jako usługa Access Control lub ACS) zapewnia dwa łatwe sposoby generowania federacyjnej strony logowania dla witryny internetowej lub aplikacji:

Opcja 1. strona logowania ACS-Hosted

Usługa ACS hostuje podstawową federacyjną stronę logowania, która może być używana w aplikacji jednostki uzależnionej. Ta strona logowania jest hostowana w punkcie końcowym protokołu WS-Federation dla przestrzeni nazw i może być dostępna za pomocą adresu URL w następującym formacie.

https://<YourNamespace>.accesscontrol.windows.net/v2/wsfederation?wa=wsignin1.0&wtrealm=<YourAppRealm>&redirect=false

W tym adresie URL zastąp ciąg <YourNamespace> nazwą przestrzeni nazw Access Control. Ponadto ten adres URL wymaga następujących parametrów:

• wa — ustaw wartość na wsignin1.0

• wtrealm — ustaw wartość obszaru dla aplikacji jednostki uzależnionej. Aby znaleźć wartość obszaru, w portalu zarządzania ACS kliknij pozycję Aplikacje jednostki uzależnionej, wybierz aplikację i zobacz pole Obszar .

Aby znaleźć linki do strony logowania dla aplikacji jednostki uzależnionej:

1. Przejdź do portalu zarządzania Microsoft Azure (https://manage.WindowsAzure.com), zaloguj się, a następnie kliknij pozycję Active Directory. (Porada dotycząca rozwiązywania problemów: brak elementu "Active Directory" lub jest on niedostępny)

2. Aby zarządzać przestrzenią nazw Access Control, wybierz przestrzeń nazw, a następnie kliknij pozycję Zarządzaj. (Lub kliknij Access Control przestrzenie nazw, wybierz przestrzeń nazw, a następnie kliknij pozycję Zarządzaj).

3. Kliknij pozycję Integracja aplikacji, kliknij pozycję Strony logowania, a następnie wybierz aplikację jednostki uzależnionej.

   Na stronie Integracja strony logowania są wyświetlane opcje strony logowania dla aplikacji.

Na poniższej ilustracji przedstawiono domyślną stronę logowania aplikacji, która obsługuje Windows Live ID (konto Microsoft), Google, Yahoo!, Facebook i "Contoso Corp", fikcyjny dostawca tożsamości WS-Federation.

Aby zamienić przycisk WS-Federation zidentyfikować dostawcę za pomocą pola tekstowego adresu e-mail, dodaj sufiksy adresów e-mail do linków strony logowania dla dostawcy tożsamości WS-Federation. Takie podejście jest przydatne, gdy wielu dostawców tożsamości WS-Federation jest skonfigurowanych dla aplikacji jednostki uzależnionej. Na poniższej ilustracji przedstawiono przykładową stronę.

Aby przyspieszyć integrację usługi ACS z aplikacją jednostki uzależnionej, użyj domyślnej strony logowania hostowanej przez usługę ACS. Aby dostosować układ i wygląd tej strony, zapisz domyślną stronę logowania jako plik HTML i skopiuj kod HTML i JavaScript do aplikacji, w której można ją dostosować.

Opcja 2. Hostowanie niestandardowej strony logowania w ramach aplikacji

Aby włączyć pełną kontrolę nad wyglądem, zachowaniem i lokalizacją strony logowania federacyjnego, usługa ACS udostępnia kanał informacyjny metadanych zakodowanych w formacie JSON z nazwami, adresami URL logowania, obrazami i nazwami domen poczty e-mail (tylko) dostawców tożsamości. To źródło danych jest nazywane źródłem metadanych odnajdywania obszaru głównego.

Przykładowa niestandardowa strona logowania

Aby pobrać przykładową stronę logowania HTML dla każdej aplikacji jednostki uzależnionej:

1. Przejdź do portalu zarządzania Microsoft Azure (https://manage.WindowsAzure.com), zaloguj się, a następnie kliknij pozycję Active Directory. (Porada dotycząca rozwiązywania problemów: brak elementu "Active Directory" lub jest on niedostępny)

2. Aby zarządzać przestrzenią nazw Access Control, wybierz przestrzeń nazw, a następnie kliknij pozycję Zarządzaj. (Lub kliknij Access Control przestrzenie nazw, wybierz przestrzeń nazw, a następnie kliknij pozycję Zarządzaj).

3. Kliknij pozycję Integracja aplikacji, kliknij pozycję Strony logowania , a następnie wybierz aplikację jednostki uzależnionej.

4. Na stronie Integracja strony logowania kliknij pozycję Pobierz przykładowa strona logowania.

Przykładowy kod HTML jest identyczny z kodem HTML strony logowania hostowanej przez usługę ACS.

Ten przykład zawiera funkcje języka JavaScript do renderowania strony. Tag skryptu w dolnej części strony wywołuje źródło metadanych. Niestandardowe strony logowania mogą korzystać z metadanych przy użyciu czystego kodu HTML po stronie klienta i języka JavaScript, jak pokazano w tym przykładzie. Kanał informacyjny może być również używany do renderowania niestandardowej kontrolki logowania w dowolnym języku obsługującym kodowanie JSON.

Źródło metadanych odnajdywania obszaru głównego

Aby znaleźć adresy URL źródła metadanych odnajdywania obszaru macierzystego dla aplikacji jednostki uzależnionej:

1. Przejdź do portalu zarządzania Microsoft Azure (https://manage.WindowsAzure.com), zaloguj się, a następnie kliknij pozycję Active Directory. (Porada dotycząca rozwiązywania problemów: brak elementu "Active Directory" lub jest on niedostępny)

2. Aby zarządzać przestrzenią nazw Access Control, wybierz przestrzeń nazw, a następnie kliknij pozycję Zarządzaj. (Lub kliknij Access Control przestrzenie nazw, wybierz przestrzeń nazw, a następnie kliknij pozycję Zarządzaj).

3. Kliknij pozycję Integracja aplikacji, kliknij pozycję Strony logowania, a następnie wybierz aplikację jednostki uzależnionej.

Adres URL jest wyświetlany na stronie Integracji strony logowania dla aplikacji w obszarze Opcja 2: Hostowanie strony logowania w ramach aplikacji.

Poniżej przedstawiono przykładowy adres URL kanału odnajdywania obszaru macierzystego.

https://YourNamespace.accesscontrol.windows.net/v2/metadata/IdentityProviders.js?protocol=wsfederation&realm=YourAppRealm&reply_to=YourAppReturnURL&context=&version=1.0&callback=OptionalFunctionName

Ten adres URL używa następujących parametrów:

• YourNamespace — wymagane. Ustaw nazwę przestrzeni nazw platformy Azure.

• protokół — wymagany. Jest to protokół używany przez aplikację jednostki uzależnionej do komunikowania się z usługą ACS. W usłudze ACS ta wartość musi być ustawiona na wsfederację.

• obszar — wymagane. Jest to obszar określony dla aplikacji jednostki uzależnionej w portalu zarządzania ACS.

• version — wymagane. W usłudze ACS ta wartość musi być ustawiona na wartość 1.0.

• reply_to — opcjonalne. Jest to zwracany adres URL określony dla aplikacji jednostki uzależnionej w portalu zarządzania ACS. Jeśli pominięto, wartość zwracanego adresu URL jest ustawiona na wartość domyślną skonfigurowaną dla aplikacji jednostki uzależnionej w portalu zarządzania ACS.

• context — opcjonalnie. Jest to dowolny dodatkowy kontekst, który można przekazać z powrotem do aplikacji jednostki uzależnionej w tokenie. Usługa ACS nie rozpoznaje tej zawartości.

• wywołanie zwrotne — opcjonalne. Ten parametr można ustawić na nazwę funkcji JavaScript, którą chcesz uruchomić po załadowaniu kanału informacyjnego JSON. Ciąg kanału informacyjnego JSON jest argumentem przekazywanym do tej funkcji.

Uwaga

Kanał informacyjny metadanych zakodowany w formacie JSON może ulec zmianie, dlatego zaleca się, aby nie buforować go.

Format danych źródła danych JSON

Gdy źródło metadanych jest żądane z prawidłowymi parametrami zgodnie z wcześniejszym opisem, odpowiedź jest dokumentem zawierającym tablicę tablic zakodowaną w formacie JSON, z każdą tablicą wewnętrzną reprezentującą dostawcę tożsamości z następującymi polami:

• Nazwa — czytelna dla człowieka nazwa wyświetlana dostawcy tożsamości.

• LoginUrl — skonstruowany adres URL żądania logowania.

• LogoutUrl — ten adres URL umożliwia użytkownikom końcowym wylogowanie się z zalogowanego dostawcy tożsamości. Jest to obecnie obsługiwane tylko dla i Windows Live ID (konto Microsoft) i jest puste dla innych dostawców tożsamości.

• ImageUrl — obraz do wyświetlenia, zgodnie z konfiguracją w portalu zarządzania ACS. Puste, jeśli nie ma obrazu.

• EmailAddressSuffixes — tablica sufiksów adresów e-mail skojarzonych z dostawcą tożsamości. W usłudze ACS sufiksy adresów e-mail można skonfigurować tylko dla dostawców tożsamości za pośrednictwem portalu zarządzania ACS. Zwraca pustą tablicę, jeśli nie skonfigurowano żadnych sufiksów.

W poniższym przykładzie pokazano źródło danych JSON, gdy Windows live ID i AD FS 2.0 są skonfigurowane dla aplikacji jednostki uzależnionej. Użytkownik ustawił adres URL obrazu dla Windows Live ID w portalu zarządzania ACS i dodał sufiks domeny poczty e-mail dla dostawcy tożsamości.

Uwaga

Dodaliśmy podziały wierszy na czytelność, a adresy URL zostały uproszczone w celu zwięzłości.

[ {
   "Name":"Windows Live ID",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"https://...",
   "EmailAddressSuffixes":[]
},
{
   "Name":"My ADFS 2.0 Provider",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"",
   "EmailAddressSuffixes":[“contoso.com”]
} ]

Zobacz też

Pojęcia

Składniki ACS 2.0