Facebook als ACS-Identitätsanbieter

  • Artikel

Aktualisiert: 19. Juni 2015

Gilt für: Azure

Microsoft Azure Active Directory Access Control (auch als Access Control Service oder ACS bezeichnet) unterstützt Facebook als Identitätsanbieter für Websites und Webanwendungen. ACS-Unterstützung für Facebook wird mithilfe der Facebook-Graph-API erstellt, die die Verbundauthentifizierung und Autorisierung für Facebook-Benutzerkonten ermöglicht.

Konfigurieren einer Facebook-Anwendung als Voraussetzung

Um Facebook als Identitätsanbieter in Ihrem Access Control-Namespace hinzuzufügen, müssen Sie zuerst eine Facebook-Anwendung erstellen und sie mit den erforderlichen Parametern bereitstellen, um mit ACS zu kommunizieren. Weitere Informationen finden Sie unter Vorgehensweise: Konfigurieren von Facebook als Identitätsanbieter.

Konfiguration mithilfe des ACS-Verwaltungsportals

Nachdem Ihre Facebook-Anwendung erstellt wurde und Sie Facebook als Identitätsanbieter im Access Control-Namespace hinzufügen möchten, müssen Sie die folgenden Einstellungen mithilfe des ACS-Verwaltungsportals angeben:

  • Anzeigename – Gibt den Anzeigenamen Ihres Identitätsanbieters an. Dieser Name wird nur im ACS-Verwaltungsportal verwendet.

  • Anwendungs-ID – Gibt die Anwendungs-ID an, die Sie aus Ihrer Facebook-Anwendung kopieren können.

  • Anwendungsgeheimnis – Gibt das Anwendungsgeheimnis an, das Sie aus Ihrer Facebook-Anwendung kopieren können.

  • Anwendungsberechtigungen – Gibt alle erweiterten Berechtigungen an, die Sie von den Benutzern Ihrer Facebook-Anwendung anfordern möchten, wenn sie sich anmelden. Weitere Informationen zu den Berechtigungen, die Sie anfordern können, finden Sie unter Berechtigungen (https://go.microsoft.com/fwlink/?LinkID=214014). Die Berechtigung, auf die E-Mail-Adressen der Facebook-Benutzer zuzugreifen, wird standardmäßig bereitgestellt. Weitere Berechtigungen müssen durch Kommas getrennt werden. Nachdem die Berechtigungen konfiguriert wurden, kann Ihre Anwendung der vertrauenden Seite das ausgestellte Facebook-Zugriffstoken zum Anfordern der weiteren Benutzerinformationen mithilfe der Facebook Graph-API verwenden. Weitere Informationen finden Sie unter Access Token-Anspruchstyp in unterstützten Anspruchstypen.

  • Anmeldelinktext – Gibt den Text an, der für den Identitätsanbieter Facebook auf der Anmeldeseite Ihrer Webanwendung angezeigt wird. Weitere Informationen finden Sie unter Anmeldeseiten und Home Realm Discovery.

  • Bild-URL (optional) – Gibt eine URL einer Bilddatei (z. B. einem Logo Ihrer Wahl) an, die Sie als Anmeldelink für diesen Identitätsanbieter anzeigen können. Dieses Logo wird automatisch auf der Standardanmeldungsseite für Ihre ACS-bewusste Webanwendung sowie im JSON-Feed Ihrer Webanwendung angezeigt, mit dem Sie eine benutzerdefinierte Anmeldeseite rendern können. Wenn Sie keine Bild-URL angeben, wird ein Textanmeldelink für diesen Identitätsanbieter auf der Anmeldeseite Ihrer Webanwendung angezeigt. Wenn Sie eine Bild-URL angeben, wird dringend empfohlen, dass diese auf eine vertrauenswürdige Quelle verweist, z. B. auf Ihre eigene Website oder -anwendung, und dass HTTPS verwendet wird, um Sicherheitswarnungen des Browsers zu verhindern. Die Größe jedes Bilds, das breiter als 240 Pixel und höher als 40 Pixel ist, wird außerdem automatisch auf der Standardseite für die ACS-Startbereicherkennung angepasst.

  • Anwendung der vertrauenden Seite – Gibt alle vorhandenen Anwendungen der vertrauenden Seite an, die dem Identitätsanbieter Facebook zugeordnet werden sollen. Weitere Informationen finden Sie unter "Vertrauende Parteianwendungen".

Nachdem ein Identitätsanbieter einer Anwendung der vertrauenden Seite zugeordnet wurde, müssen Regeln für diesen Identitätsanbieter generiert oder manuell der Regelgruppe der Anwendung der vertrauenden Seite hinzugefügt werden, um die Konfiguration abzuschließen. Weitere Informationen zum Erstellen von Regeln finden Sie unter Regelgruppen und Regeln.

Unterstützte Anspruchstypen

Nachdem ein Benutzer die Authentifizierung mit einem Identitätsanbieter ausgeführt hat, empfängt er ein Token, das Identitätsansprüche enthält. Ansprüche sind Teile von Informationen über den Benutzer, z. B. eine E-Mail-Adresse oder eine eindeutige ID. ACS kann diese Ansprüche direkt an die Anwendung der vertrauenden Partei übergeben oder Autorisierungsentscheidungen basierend auf den enthaltenen Werten treffen.

Standardmäßig werden Anspruchstypen in ACS mit einem URI für die Einhaltung der SAML-Tokenspezifikation eindeutig identifiziert. Diese URIs werden auch verwendet, um Ansprüche in anderen Tokenformaten zu identifizieren.

In der folgenden Tabelle sind die Anspruchstypen aufgeführt, die für ACS für Facebook-Identitätsanbieter verfügbar sind.

Anspruchstyp URI BESCHREIBUNG

Namensbezeichner

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Ein eindeutiger Bezeichner für das Benutzerkonto, der von Facebook bereitgestellt wird.

Name

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Der Anzeigename für das Benutzerkonto, der von Facebook bereitgestellt wird.

E-Mail-Adresse

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Die E-Mail-Adresse für das Benutzerkonto, die von Facebook bereitgestellt wird. Beachten Sie, dass dieser Anspruchstyp nur bereitgestellt wird, wenn "E-Mail" als Anwendungsberechtigung konfiguriert ist, die es standardmäßig im ACS-Verwaltungsportal ist.

Access Token

http://www.facebook.com/claims/AccessToken

Das Facebook-OAuth 2.0-Zugriffstoken für die aktuelle Benutzersitzung. Dieses Zugriffstoken kann verwendet werden, um Aufrufe mithilfe der Graph-API zurück an Facebook zu senden. Weitere Informationen finden Sie unter Graph-API.

Ablauf

https://schemas.xmlsoap.org/ws/2008/06/identity/claims/expiration

Das Datum und die Uhrzeit des Ablaufs des Zugriffstokens als koordinierte Weltzeit (Coordinated Universal Time, UTC).

Hinweis

Dieser Anspruchstyp ist nicht vorhanden, wenn die Berechtigung offline_access angefordert wird.

Identitätsanbieter

https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Ein Anspruch von ACS, der die vertrauende Parteianwendung angibt, dass der Benutzer sich mit einer bestimmten Facebook-Anwendung authentifiziert hat. Das Format dieses Anspruchswerts ist Facebook-Application-ID<>, und der tatsächliche Wert wird im ACS-Verwaltungsportal über das Bereichsfeld auf der Seite "Identitätsanbieter bearbeiten" angezeigt.

Weitere Informationen

Konzepte

Identitätsanbieter