Exportieren (0) Drucken
Alle erweitern

Anmeldeseiten und Homebereicherkennung

Veröffentlicht: April 2011

Letzte Aktualisierung: Februar 2014

Betrifft: Azure

Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS) stellt zwei einfache Methoden zum Generieren einer Verbundanmeldeseite für Ihre Website oder -anwendung zur Verfügung:

ACS hostet eine allgemeine Verbundanmeldeseite, die in Ihrer Anwendung der vertrauenden Seite verwendet werden kann. Diese Anmeldeseite wird am Endpunkt des WS-Verbundprotokolls für Ihren Namespace gehostet. Der Zugriff darauf kann über eine URL mit dem folgenden Format erfolgen.

https://<YourNamespace>.accesscontrol.windows.net/v2/wsfederation?wa=wsignin1.0&wtrealm=<YourAppRealm>&redirect=false

Ersetzen Sie in dieser URL <IhrNamespace> durch den Namen Ihres Namespace für die Zugriffssteuerung. Außerdem sind für diese URL die folgenden Parameter erforderlich:

  • wa – Legen Sie diesen Wert auf wsignin1.0 fest.

  • wtrealm – Legen Sie den Wert des Bereichs für die Anwendung der vertrauenden Seite fest. Klicken Sie im ACS-Verwaltungsportal auf Anwendungen der vertrauenden Seite, wählen Sie eine Anwendung aus, und betrachten Sie das Feld Bereich, um den Bereichswert zu finden.

So finden Sie die Links der Anmeldeseite für die Anwendungen der vertrauenden Seite

  1. Navigieren Sie zum Microsoft Azure-Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Hinweis für die Fehlerbehebung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

  2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

  3. Klicken Sie auf Anwendungsintegration, dann auf Anmeldeseiten, und wählen Sie anschließend die Anwendung einer vertrauenden Seite aus.

    Auf der Seite Anmeldeseitenintegration werden Anmeldeseitenoptionen für die Anwendung angezeigt.

Die folgende Abbildung zeigt die Standardanmeldeseite für eine Anwendung, die Windows Live ID (Microsoft-Konto), Google, Yahoo!, Facebook und "Contoso Corp", einen fiktiven WS-Verbund-Identitätsanbieter, unterstützt.

ACS 2.0-Anmeldeseiten

Um die Schaltfläche eines WS-Verbundidentitätsanbieters durch das Textfeld einer E-Mail-Adresse zu ersetzen, fügen Sie die Suffixe der E-Mail-Adresse zu den Anmeldeseitenlinks für Ihren WS-Verbundidentitätsanbieter hinzu. Dieser Ansatz ist sinnvoll, wenn viele WS-Verbundidentitätsanbietern für Ihre Anwendung der vertrauenden Seite konfiguriert sind. Die folgende Abbildung zeigt eine Beispielseite.

ACS 2.0-Anmeldeseiten

Damit die Integration von ACS in Ihre Anwendung der vertrauenden Seite beschleunigt wird, verwenden Sie die von ACS gehostete Standardanmeldeseite. Wenn Sie das Layout und das Erscheinungsbild dieser Seite anpassen möchten, speichern Sie die Standardanmeldeseite als HTML-Datei und kopieren den HTML- und JavaScript-Code dann in Ihre Anwendung, um ihn dort anzupassen.

ACS stellt einen JSON-codierten Metadatenfeed zur Verfügung, der die Namen, Anmelde-URLs, Bilder und Namen der E-Mail-Domänen (nur ) für Ihre Identitätsanbieter bereitstellt, um die vollständige Steuerung des Aussehens, Verhaltens und Speicherorts Ihrer Verbundanmeldeseite zu steuern. Dieser Feed wird auch als Homebereicherkennungs-Metadatenfeed bezeichnet.

So laden Sie eine HTML-Beispielanmeldeseite für jede Ihrer Anwendungen der vertrauenden Seite herunter

  1. Navigieren Sie zum Microsoft Azure-Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Hinweis für die Fehlerbehebung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

  2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

  3. Klicken Sie auf Anwendungsintegration, dann auf Anmeldeseiten, und wählen Sie anschließend die Anwendung einer vertrauenden Seite aus.

  4. Klicken Sie auf der Seite Anmeldeseitenintegration auf Beispielanmeldeseite herunterladen.

Der HTML-Beispielcode ist mit dem HTML-Code für die von ACS gehostete Anmeldeseite identisch.

Dieses Beispiel enthält JavaScript-Funktionen zur Darstellung der Seite. Ein Skripttag am unteren Rand der Seite ruft den Metadatenfeed auf. Benutzerdefinierte Anmeldeseiten können die Metadaten mithilfe von reinem clientseitigen HTML- und JavaScript-Code verarbeiten, wie in diesem Beispiel gezeigt. Der Feed kann auch verarbeitet und verwendet werden, um ein benutzerdefiniertes Steuerelement für die Anmeldung in einer beliebigen Sprache darzustellen, die die JSON-Codierung unterstützt.

So finden Sie die Metadatenfeed-URLs der Homebereicherkennung für die Anwendungen der vertrauenden Seite

  1. Navigieren Sie zum Microsoft Azure-Verwaltungsportal (https://manage.WindowsAzure.com), melden Sie sich an, und klicken Sie dann auf Active Directory. (Hinweis für die Fehlerbehebung: Das Element "Active Directory" fehlt oder ist nicht verfügbar)

  2. Um einen Namespace für die Zugriffssteuerung zu verwalten, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten. (Oder klicken Sie auf Namespaces für die Zugriffssteuerung, wählen Sie den Namespace aus und klicken Sie dann auf Verwalten.)

  3. Klicken Sie auf Anwendungsintegration, dann auf Anmeldeseiten, und wählen Sie anschließend die Anwendung einer vertrauenden Seite aus.

Die URL wird auf der Seite Anmeldeseitenintegration für die Anwendung unter Option 2: Hosten der Anmeldeseite als Teil Ihrer Anwendung angezeigt.

Folgendes ist ein Beispiel für die URL eines Homebereicherkennungsfeeds.

https://YourNamespace.accesscontrol.windows.net/v2/metadata/IdentityProviders.js?protocol=wsfederation&realm=YourAppRealm&reply_to=YourAppReturnURL&context=&version=1.0&callback=OptionalFunctionName

Diese URL verwendet die folgenden Parameter:

  • IhrNamespace – Erforderlich. Auf den Namen Ihres Namespace festgelegt.

  • Protokoll – Erforderlich. Dies ist das Protokoll, das Ihre Anwendung der vertrauenden Seite für die Kommunikation mit ACS verwendet. In ACS muss dieser Wert auf wsfederation festgelegt werden.

  • Bereich – Erforderlich. Dies ist der Bereich, den Sie im ACS-Verwaltungsportal für Ihre Anwendung der vertrauenden Seite angegeben haben.

  • Version – Erforderlich. In ACS muss dieser Wert auf 1.0 festgelegt werden.

  • reply_to – Optional. Dies ist die Rückgabe-URL, die Sie im ACS-Verwaltungsportal für Ihre Anwendung der vertrauenden Seite angegeben haben. Wenn diese Angabe ausgelassen wird, wird der Wert der Rückgabe-URL auf den Standardwert festgelegt, der im ACS-Verwaltungsportal für Ihre Anwendung der vertrauenden Seite konfiguriert wurde.

  • Kontext – Optional. Dies ist zusätzlicher Kontext, der an die Anwendung der vertrauenden Seite im Token zurückgegeben werden kann. ACS erkennt diese Inhalte nicht.

  • Rückruf – Optional. Sie können diesen Parameter auf den Namen einer JavaScript-Funktion festlegen, die beim Laden des JSON-Feeds ausgeführt werden soll. Die Zeichenfolge des JSON-Feeds ist das Argument, das an diese Funktion übergeben wird.

noteHinweis
Der JSON-codierte Metadatenfeed kann möglicherweise Änderungen unterliegen, daher wird empfohlen, ihn nicht zwischenzuspeichern.

Wenn der Metadatenfeed mit gültigen Parametern wie oben beschrieben angefordert wird, ist die Antwort ein Dokument, das ein JSON-codiertes Array aus Arrays enthält. Dabei stellt jedes interne Array einen Identitätsanbieter mit den folgenden Feldern dar:

  • Name – Der lesbare Anzeigename des Identitätsanbieters.

  • LoginUrl – Eine generierte Anmeldeanforderungs-URL.

  • LogoutUrl – Diese URL ermöglicht Benutzern das Abmelden von dem Identitätsanbieter, bei dem sie sich angemeldet haben. Diese Angabe wird zurzeit nur für und das Windows Live ID (Microsoft-Konto) verwendet und ist für andere Identitätsanbieter leer.

  • ImageUrl – Das anzuzeigende Bild, wie im ACS-Verwaltungsportal konfiguriert. Dieses Feld ist leer, wenn kein Bild vorhanden ist.

  • EmailAddressSuffixes – Ein Array von E-Mail-Adresssuffixen, die dem Identitätsanbieter zugeordnet sind. In ACS können E-Mail-Adresssuffixe nur für -Identitätsanbieter über das ACS-Verwaltungsportal konfiguriert werden. Gibt ein leeres Array zurück, wenn keine Suffixe konfiguriert sind.

Das folgende Beispiel zeigt den JSON-Feed, wenn Windows Live ID und AD FS 2.0 für die Anwendung der vertrauenden Seite konfiguriert sind. Der Benutzer hat eine Bild-URL für die Windows Live ID im ACS-Verwaltungsprotal festgelegt und für den -Identitätsanbieter ein E-Mail-Domänensuffix hinzugefügt.

noteHinweis
Aus Gründen der Lesbarkeit wurden Zeilenumbrüche hinzugefügt. Die URLs wurden durch Kürzen vereinfacht.

[ {
   "Name":"Windows Live ID",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"https://...",
   "EmailAddressSuffixes":[]
},
{
   "Name":"My ADFS 2.0 Provider",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"",
   "EmailAddressSuffixes":[“contoso.com”]
} ]

Siehe auch

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2015 Microsoft