Anmeldeseiten und Homebereicherkennung

  • Artikel

Aktualisiert: 19. Juni 2015

Gilt für: Azure

Microsoft Azure Active Directory Access Control (auch als Access Control Service oder ACS bezeichnet) bietet zwei einfache Möglichkeiten, eine Verbundanmeldungsseite für Ihre Website oder Anwendung zu generieren:

Option 1: ACS-Hosted Anmeldeseite

ACS hostet eine grundlegende Verbundanmeldungsseite, die in Ihrer vertrauenden Parteianwendung verwendet werden kann. Diese Anmeldeseite wird am Endpunkt des WS-Verbundprotokolls für Ihren Namespace gehostet. Der Zugriff darauf kann über eine URL mit dem folgenden Format erfolgen.

https://<YourNamespace>.accesscontrol.windows.net/v2/wsfederation?wa=wsignin1.0&wtrealm=<YourAppRealm>&redirect=false

Ersetzen Sie <in dieser URL YourNamespace> durch den Namen Ihres Access Control-Namespace. Außerdem sind für diese URL die folgenden Parameter erforderlich:

  • wa – Legen Sie diesen Wert auf wsignin1.0 fest.

  • wtrealm – Legen Sie den Wert des Bereichs für die Anwendung der vertrauenden Seite fest. Um den Bereichswert zu finden, klicken Sie im ACS-Verwaltungsportal auf "Vertrauende Parteianwendungen", wählen Sie eine Anwendung aus, und sehen Sie das Bereichsfeld .

So finden Sie die Links der Anmeldeseite für die Anwendungen der vertrauenden Seite

  1. Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Problembehandlungstipps: Das Element "Active Directory" fehlt oder nicht verfügbar)

  2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

  3. Klicken Sie auf Anwendungsintegration, dann auf Anmeldeseiten, und wählen Sie anschließend die Anwendung einer vertrauenden Seite aus.

    Auf der Seite Anmeldeseitenintegration werden Anmeldeseitenoptionen für die Anwendung angezeigt.

Die folgende Abbildung zeigt die Standardanmeldungsseite für eine Anwendung, die Windows Live ID (Microsoft-Konto), Google, Yahoo!, Facebook und "Contoso Corp", einen fiktiven WS-Federation Identitätsanbieter unterstützt.

ACS 2.0 login pages

Um die Schaltfläche eines WS-Verbundidentitätsanbieters durch das Textfeld einer E-Mail-Adresse zu ersetzen, fügen Sie die Suffixe der E-Mail-Adresse zu den Anmeldeseitenlinks für Ihren WS-Verbundidentitätsanbieter hinzu. Dieser Ansatz ist sinnvoll, wenn viele WS-Verbundidentitätsanbietern für Ihre Anwendung der vertrauenden Seite konfiguriert sind. Die folgende Abbildung zeigt eine Beispielseite.

ACS 2.0 login pages

Um die Integration von ACS mit Ihrer vertrauenden Parteianwendung zu beschleunigen, verwenden Sie die standardmäßige ACS-gehostete Anmeldeseite. Wenn Sie das Layout und das Erscheinungsbild dieser Seite anpassen möchten, speichern Sie die Standardanmeldeseite als HTML-Datei und kopieren den HTML- und JavaScript-Code dann in Ihre Anwendung, um ihn dort anzupassen.

Option 2: Hosten einer benutzerdefinierten Anmeldeseite als Teil Ihrer Anwendung

Um die vollständige Kontrolle über die Darstellung, das Verhalten und den Speicherort Ihrer Partneranmeldungsseite zu aktivieren, bietet ACS einen JSON-codierten Metadatenfeed mit den Namen, Anmelde-URLs, Bildern und E-Mail-Domänennamen (nur) Ihrer Identitätsanbieter. Dieser Feed wird auch als Homebereicherkennungs-Metadatenfeed bezeichnet.

Benutzerdefinierte Beispielanmeldeseite

So laden Sie eine HTML-Beispielanmeldeseite für jede Ihrer Anwendungen der vertrauenden Seite herunter

  1. Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Problembehandlungstipps: Das Element "Active Directory" fehlt oder nicht verfügbar)

  2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

  3. Klicken Sie auf Anwendungsintegration, dann auf Anmeldeseiten, und wählen Sie anschließend die Anwendung einer vertrauenden Seite aus.

  4. Klicken Sie auf der Seite Anmeldeseitenintegration auf Beispielanmeldeseite herunterladen.

Der Beispiel-HTML-Code ist identisch mit dem HTML-Code für die acS-gehostete Anmeldeseite.

Dieses Beispiel enthält JavaScript-Funktionen zur Darstellung der Seite. Ein Skripttag am unteren Rand der Seite ruft den Metadatenfeed auf. Benutzerdefinierte Anmeldeseiten können die Metadaten mithilfe von reinem clientseitigen HTML- und JavaScript-Code verarbeiten, wie in diesem Beispiel gezeigt. Der Feed kann auch verarbeitet und verwendet werden, um ein benutzerdefiniertes Steuerelement für die Anmeldung in einer beliebigen Sprache darzustellen, die die JSON-Codierung unterstützt.

Homebereicherkennung-Metadatenfeed

So finden Sie die Metadatenfeed-URLs der Homebereicherkennung für die Anwendungen der vertrauenden Seite

  1. Wechseln Sie zum Microsoft Azure Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Problembehandlungstipps: Das Element "Active Directory" fehlt oder nicht verfügbar)

  2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

  3. Klicken Sie auf Anwendungsintegration, dann auf Anmeldeseiten, und wählen Sie anschließend die Anwendung einer vertrauenden Seite aus.

Die URL wird auf der Seite " Anmeldeseitenintegration " für die Anwendung unter Option 2 angezeigt: Hosten Sie die Anmeldeseite als Teil Ihrer Anwendung.

Folgendes ist ein Beispiel für die URL eines Homebereicherkennungsfeeds.

https://YourNamespace.accesscontrol.windows.net/v2/metadata/IdentityProviders.js?protocol=wsfederation&realm=YourAppRealm&reply_to=YourAppReturnURL&context=&version=1.0&callback=OptionalFunctionName

Diese URL verwendet die folgenden Parameter:

  • IhrNamespace – Erforderlich. Auf den Namen Ihres Namespace festgelegt.

  • Protokoll – Erforderlich. Dies ist das Protokoll, das Ihre vertrauende Parteianwendung verwendet, um mit ACS zu kommunizieren. In ACS muss dieser Wert auf wsfederation festgelegt werden.

  • Bereich – Erforderlich. Dies ist der Bereich, den Sie für Ihre vertrauende Parteianwendung im ACS-Verwaltungsportal angegeben haben.

  • Version – Erforderlich. In ACS muss dieser Wert auf 1,0 festgelegt werden.

  • reply_to – Optional. Dies ist die Rückgabe-URL, die Sie für Ihre vertrauende Parteianwendung im ACS-Verwaltungsportal angegeben haben. Wenn nicht angegeben, wird der Wert der Rückgabe-URL auf den Standardwert festgelegt, der für Ihre vertrauende Parteianwendung im ACS-Verwaltungsportal konfiguriert ist.

  • Kontext – Optional. Dies ist jeder zusätzliche Kontext, der zurück an die vertrauende Parteianwendung im Token übergeben werden kann. ACS erkennt diese Inhalte nicht.

  • Rückruf – Optional. Sie können diesen Parameter auf den Namen einer JavaScript-Funktion festlegen, die beim Laden des JSON-Feeds ausgeführt werden soll. Die Zeichenfolge des JSON-Feeds ist das Argument, das an diese Funktion übergeben wird.

Hinweis

Der JSON-codierte Metadatenfeed kann möglicherweise Änderungen unterliegen, daher wird empfohlen, ihn nicht zwischenzuspeichern.

Datenformat des JSON-Feeds

Wenn der Metadatenfeed mit gültigen Parametern wie oben beschrieben angefordert wird, ist die Antwort ein Dokument, das ein JSON-codiertes Array aus Arrays enthält. Dabei stellt jedes interne Array einen Identitätsanbieter mit den folgenden Feldern dar:

  • Name – Der lesbare Anzeigename des Identitätsanbieters.

  • LoginUrl – Eine generierte Anmeldeanforderungs-URL.

  • LogoutUrl – Diese URL ermöglicht Benutzern das Abmelden von dem Identitätsanbieter, bei dem sie sich angemeldet haben. Dies wird derzeit nur für und Windows Live ID (Microsoft-Konto) unterstützt und ist für andere Identitätsanbieter leer.

  • ImageUrl– Das zu anzeigende Bild, wie im ACS-Verwaltungsportal konfiguriert. Dieses Feld ist leer, wenn kein Bild vorhanden ist.

  • EmailAddressSuffixes – Ein Array von E-Mail-Adresssuffixen, die dem Identitätsanbieter zugeordnet sind. In ACS können E-Mail-Adresssuffixe nur für Identitätsanbieter über das ACS-Verwaltungsportal konfiguriert werden. Gibt ein leeres Array zurück, wenn keine Suffixe konfiguriert sind.

Das folgende Beispiel zeigt den JSON-Feed, wenn Windows Live ID und AD FS 2.0 für die vertrauende Parteianwendung konfiguriert sind. Der Benutzer hat eine Bild-URL für Windows Live ID im ACS-Verwaltungsportal festgelegt und ein E-Mail-Domänensuffix für den Identitätsanbieter hinzugefügt.

Hinweis

Aus Gründen der Lesbarkeit wurden Zeilenumbrüche hinzugefügt. Die URLs wurden durch Kürzen vereinfacht.

[ {
   "Name":"Windows Live ID",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"https://...",
   "EmailAddressSuffixes":[]
},
{
   "Name":"My ADFS 2.0 Provider",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"",
   "EmailAddressSuffixes":[“contoso.com”]
} ]

Weitere Informationen

Konzepte

ACS 2.0-Komponenten