Inloggningssidor och identifiering av hemsfär
Uppdaterad: 19 juni 2015
Gäller för: Azure
Microsoft Azure Active Directory Access Control (kallas även Access Control Service eller ACS) finns två enkla sätt att generera en federerad inloggningssida för din webbplats eller ditt program:
Alternativ 1: ACS-Hosted inloggningssida
ACS är värd för en grundläggande federerad inloggningssida som kan användas i ditt förlitande part-program. Den här inloggningssidan finns på WS-Federation protokollslutpunkt för ditt namnområde och kan nås av en URL med följande format.
https://<YourNamespace>.accesscontrol.windows.net/v2/wsfederation?wa=wsignin1.0&wtrealm=<YourAppRealm>&redirect=false
I den här URL:en ersätter du <YourNamespace> med namnet på ditt Access Control namnområde. Den här URL:en kräver dessutom följande parametrar:
wa – Ange till wsignin1.0
wtrealm – Ange värdet för sfären för ditt förlitande part-program. Om du vill hitta sfärvärdet går du till ACS-hanteringsportalen, klickar på Program för förlitande part, väljer ett program och läser fältet Sfär .
Så här hittar du inloggningssidans länkar för dina program för förlitande part:
Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)
Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control namnområden, välj namnområdet och klicka sedan på Hantera.)
Klicka på Programintegrering, klicka på Inloggningssidor och välj sedan ett förlitande part-program.
På sidan Integrering av inloggningssida visas alternativ för inloggningssidan för programmet.
Följande bild visar standardinloggningssidan för ett program som stöder Windows Live ID (Microsoft-konto), Google, Yahoo!, Facebook och "Contoso Corp", en fiktiv WS-Federation identitetsprovider.
.gif "ACS 2.0 login pages")
Om du vill ersätta en WS-Federation knappen identifiera provider med en textruta för e-postadress lägger du till e-postadresssuffix på inloggningssidans länkar för din WS-Federation identitetsprovider. Den här metoden är användbar när många WS-Federation identitetsprovidrar har konfigurerats för ditt förlitande part-program. Följande bild visar en exempelsida.
.gif "ACS 2.0 login pages")
Om du vill påskynda integreringen av ACS med ditt förlitande part-program använder du standardinloggningssidan för ACS-värd. Om du vill anpassa layouten och utseendet på den här sidan sparar du standardinloggningssidan som en HTML-fil och kopierar HTML- och JavaScript-koden till ditt program där den kan anpassas.
Alternativ 2: Värdhantera en anpassad inloggningssida som en del av ditt program
För att ge fullständig kontroll över utseendet, beteendet och platsen för din federerade inloggningssida tillhandahåller ACS ett JSON-kodat metadataflöde med namn, inloggnings-URL:er, bilder och e-postdomännamn (endast) för dina identitetsprovidrar. Den här feeden kallas för metadataflödet för identifiering av hemsfär.
Exempel på anpassad inloggningssida
Så här laddar du ned en HTML-exempelinloggningssida för vart och ett av dina förlitande part-program:
Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)
Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control namnområden, välj namnområdet och klicka sedan på Hantera.)
Klicka på Programintegrering, klicka på Inloggningssidor och välj sedan ett förlitande part-program.
På sidan Integrering av inloggningssida klickar du på Ladda ned exempel på inloggningssida.
HTML-exempelkoden är identisk med HTML-koden för den ACS-värdbaserade inloggningssidan.
Det här exemplet innehåller JavaScript-funktioner för att återge sidan. En skripttagg längst ned på sidan anropar metadataflödet. Anpassade inloggningssidor kan använda metadata med ren HTML på klientsidan och JavaScript, som du ser i det här exemplet. Feeden kan också användas och användas för att rendera en anpassad inloggningskontroll på valfritt språk som stöder JSON-kodning.
Metadataflöde för startsfärsidentifiering
Så här hittar du url:erna för identifiering av metadata för hemsfären för dina förlitande part-program:
Gå till Microsoft Azure Management Portal (https://manage.WindowsAzure.com), logga in och klicka sedan på Active Directory. (Felsökningstips: "Active Directory"-objektet saknas eller är inte tillgängligt)
Om du vill hantera ett Access Control namnområde väljer du namnområdet och klickar sedan på Hantera. (Eller klicka på Access Control namnområden, välj namnområdet och klicka sedan på Hantera.)
Klicka på Programintegrering, klicka på Inloggningssidor och välj sedan ett förlitande part-program.
URL:en visas på sidan Integrering av inloggningssida för programmet under Alternativ 2: Värd för inloggningssidan som en del av ditt program.
Följande är ett exempel på url för identifiering av hemsfärsidentifiering.
https://YourNamespace.accesscontrol.windows.net/v2/metadata/IdentityProviders.js?protocol=wsfederation&realm=YourAppRealm&reply_to=YourAppReturnURL&context=&version=1.0&callback=OptionalFunctionName
Den här URL:en använder följande parametrar:
YourNamespace – obligatoriskt. Ange namnet på ditt Azure-namnområde.
protocol – obligatoriskt. Det här är det protokoll som ditt förlitande part-program använder för att kommunicera med ACS. I ACS måste det här värdet anges till wsfederation.
realm – obligatoriskt. Det här är den sfär som du har angett för ditt förlitande part-program i ACS-hanteringsportalen.
version – obligatoriskt. I ACS måste det här värdet anges till 1,0.
reply_to – Valfritt. Det här är den retur-URL som du angav för ditt förlitande part-program i ACS-hanteringsportalen. Om det utelämnas anges värdet för retur-URL:en till standardvärdet som har konfigurerats för ditt förlitande part-program i ACS-hanteringsportalen.
context – Valfritt. Det här är ytterligare kontext som kan skickas tillbaka till det förlitande partprogrammet i token. ACS känner inte igen det här innehållet.
callback – Valfritt. Du kan ange den här parametern till namnet på en JavaScript-funktion som du vill köra när JSON-feeden läses in. JSON-feedsträngen är det argument som skickas till den här funktionen.
Anteckning
Det JSON-kodade metadataflödet kan komma att ändras, och därför rekommenderar vi att du inte cachelagrar det.
Dataformat för JSON-feed
När metadataflödet begärs med giltiga parametrar enligt tidigare beskrivning är svaret ett dokument som innehåller en JSON-kodad matris med matriser, där varje intern matris representerar en identitetsprovider med följande fält:
Namn – Det läsbara visningsnamnet för identitetsprovidern.
LoginUrl – en konstruerad URL för inloggningsbegäran.
LogoutUrl – Med den här URL:en kan slutanvändarna logga ut från den identitetsprovider som de loggade in med. Detta stöds för närvarande endast för och Windows Live ID (Microsoft-konto) och är tomt för andra identitetsprovidrar.
ImageUrl – Den bild som ska visas enligt konfigurationen i ACS-hanteringsportalen. Tomt om det inte finns någon bild.
EmailAddressSuffixes – en matris med e-postadresssuffix som är associerade med identitetsprovidern. I ACS kan e-postadresssuffix endast konfigureras för identitetsprovidrar via ACS-hanteringsportalen. Returnerar en tom matris om det inte finns några konfigurerade suffix.
I följande exempel visas JSON-feeden när Windows Live ID och AD FS 2.0 har konfigurerats för det förlitande partprogrammet. Användaren har angett en bild-URL för Windows Live ID i ACS-hanteringsportalen och lagt till ett e-postdomänsuffix för identitetsprovidern.
Anteckning
Vi har lagt till radbrytningar för läsbarhet och URL:erna har förenklats för korthet.
[ {
"Name":"Windows Live ID",
"LoginUrl":" https://...",
"LogoutUrl":" https://...",
"ImageUrl":"https://...",
"EmailAddressSuffixes":[]
},
{
"Name":"My ADFS 2.0 Provider",
"LoginUrl":" https://...",
"LogoutUrl":" https://...",
"ImageUrl":"",
"EmailAddressSuffixes":[“contoso.com”]
} ]