Dela via

Facebook som ACS-identitetsprovider

  • Artikel

Uppdaterad: 19 juni 2015

Gäller för: Azure

Microsoft Azure Active Directory Access Control (även kallat Access Control Service eller ACS) stöder Facebook som identitetsprovider för webbplatser och webbprogram. ACS-stöd för Facebook skapas med hjälp av Facebook-Graph API, vilket möjliggör federerad autentisering och auktorisering för Facebook-användarkonton.

Konfigurera ett förhandskrav för Facebook-program

Om du vill lägga till Facebook som identitetsprovider i ditt Access Control namnområde måste du först skapa ett Facebook-program och förse det med de parametrar som krävs för att kommunicera med ACS. Mer information finns i Så här konfigurerar du Facebook som identitetsprovider.

Konfigurera med ACS-hanteringsportalen

När ditt Facebook-program har skapats och du vill lägga till Facebook som identitetsprovider i Access Control namnområde måste du ange följande inställningar med hjälp av ACS-hanteringsportalen:

  • Visningsnamn – Anger visningsnamnet för din identitetsprovider. Det här namnet används endast i ACS-hanteringsportalen.

  • Program-ID – Anger det program-ID som du kan kopiera från ditt Facebook-program.

  • Programhemlighet – Anger den programhemlighet som du kan kopiera från ditt Facebook-Anslut-program.

  • Programbehörigheter – Anger utökade behörigheter som du vill begära från användarna av ditt Facebook-program när de loggar in. Mer information om de behörigheter som du kan begära finns i Behörigheter (https://go.microsoft.com/fwlink/?LinkID=214014). Behörighet att komma åt Facebook-användares e-postadresser tillhandahålls som standard och ytterligare behörigheter måste avgränsas med kommatecken. När behörigheterna har konfigurerats kan ditt förlitande partprogram använda den utfärdade Facebook-åtkomsttoken för att begära ytterligare användarinformation med hjälp av Facebook-Graph API. Mer information finns i Anspråkstyp för åtkomsttoken i Anspråkstyper som stöds.

  • Inloggningslänktext – Anger den text som visas för Facebook-identitetsprovidern på inloggningssidan för ditt webbprogram. Mer information finns i Inloggningssidor och Identifiering av hemsfär.

  • Bild-URL (valfritt)– Anger en URL till en bildfil (till exempel valfri logotyp) som du kan visa som inloggningslänk för den här identitetsprovidern. Den här logotypen visas automatiskt på standardinloggningssidan för ditt ACS-medvetna webbprogram, samt i ditt webbprograms JSON-flöde som du kan använda för att rendera en anpassad inloggningssida. Om du inte anger en bild-URL visas en textinloggningslänk för den här identitetsprovidern på inloggningssidan för webbappen. Om du anger en bild-URL rekommenderar vi starkt att den pekar på en betrodd källa, till exempel din egen webbplats eller ditt program, med https för att förhindra varningar om webbläsarens säkerhet. Dessutom ändras alla bilder som är större än 240 bildpunkter i bredd och 40 bildpunkter i höjd automatiskt på standardsidan för ACS-startsfäridentifiering.

  • Förlitande partprogram – Anger alla befintliga förlitande partprogram som du vill associera med Facebook-identitetsprovidern. Mer information finns i Program för förlitande part.

När en identitetsprovider är associerad med ett förlitande partprogram måste regler för identitetsprovidern genereras eller läggas till manuellt i ett förlitande partsprograms regelgrupp för att slutföra konfigurationen. Mer information om hur du skapar regler finns i Regelgrupper och Regler.

Anspråkstyper med stöd

När en användare autentiserar med en identitetsprovider får de en token ifylld med identitetsanspråk. Anspråk är information om användaren, till exempel en e-postadress eller ett unikt ID. ACS kan skicka dessa anspråk direkt till det förlitande partprogrammet eller fatta auktoriseringsbeslut baserat på de värden som de innehåller.

Som standard identifieras anspråkstyper i ACS unikt med hjälp av en URI för kompatibilitet med SAML-tokenspecifikationen. Dessa URI:er används också för att identifiera anspråk i andra tokenformat.

I följande tabell visas de anspråkstyper som är tillgängliga för ACS för Facebook-identitetsprovidrar.

Anspråkstyp URI Description

Namn-ID

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

En unik identifierare (uid) för användarkontot som tillhandahålls av Facebook.

Name

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Visningsnamnet för användarkontot som tillhandahålls av Facebook.

E-postadress

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

E-postadressen för användarkontot som tillhandahålls av Facebook. Observera att den här anspråkstypen endast anges om "e-post" har konfigurerats som en programbehörighet, vilket den är som standard i ACS-hanteringsportalen.

Åtkomsttoken

http://www.facebook.com/claims/AccessToken

Facebook OAuth 2.0-åtkomsttoken för den aktuella användarsessionen. Den här åtkomsttoken kan användas för att göra anrop tillbaka till Facebook med hjälp av Graph API. Mer information finns i Graph API.

Förfallodatum

https://schemas.xmlsoap.org/ws/2008/06/identity/claims/expiration

Datum och tid i Coordinated Universal Time (UTC) där åtkomsttoken upphör att gälla.

Anteckning

Den här anspråkstypen finns inte om offline_access behörighet begärs.

Identitetsprovider

https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Ett anspråk som tillhandahålls av ACS som talar om för den förlitande parten att användaren autentiserades med ett visst Facebook-program. Formatet för det här anspråksvärdet är Facebook-Application< ID> och det faktiska värdet visas i ACS-hanteringsportalen via fältet Sfär på sidan Redigera identitetsprovider.

Se även

Begrepp

Identitetsprovidrar