Exportieren (0) Drucken
Alle erweitern

Facebook als ACS-Identitätsanbieter

Veröffentlicht: April 2011

Letzte Aktualisierung: März 2015

Betrifft: Azure

Zugriffssteuerung für Microsoft Azure Active Directory (auch Zugriffssteuerungsdienst oder ACS) unterstützt Facebook als Identitätsanbieter für Websites und Webanwendungen. ACS-Unterstützung für Facebook wird mithilfe der Facebook Graph-API bereitgestellt, die Verbundauthentifizierung und -autorisierung für Facebook-Benutzerkonten ermöglicht.

Damit Facebook als Identitätsanbieter in Ihrem Namespace für die Zugriffssteuerung hinzugefügt werden kann, müssen Sie zuerst eine Facebook-Anwendung erstellen und diese dann mit den für die Kommunikation mit ACS erforderlichen Parametern versehen. Weitere Informationen finden Sie unter Vorgehensweise: Konfigurieren von Facebook als Identitätsanbieter.

Nachdem die Facebook-Anwendung erstellt wurde und Facebook als Identitätsanbieter im Namespace für die Zugriffssteuerung hinzugefügt werden soll, müssen Sie die folgenden Einstellungen mithilfe des ACS-Verwaltungsportals angeben:

  • Anzeigename – Gibt den Anzeigenamen Ihres Identitätsanbieters an. Dieser Name wird nur im ACS-Verwaltungsportal verwendet.

  • Anwendungs-ID – Gibt die Anwendungs-ID an, die Sie aus Ihrer Facebook-Anwendung kopieren können.

  • Anwendungsgeheimnis – Gibt das Anwendungsgeheimnis an, das Sie aus Ihrer Facebook-Anwendung kopieren können.

  • Anwendungsberechtigungen – Gibt alle erweiterten Berechtigungen an, die von den Benutzern Ihrer Facebook-Anwendung angefordert werden sollen, wenn diese sich anmelden. Weitere Informationen zu den Berechtigungen, die Sie anfordern können, finden Sie unter Berechtigungen (http://go.microsoft.com/fwlink/?LinkID=214014). Die Berechtigung, auf die E-Mail-Adressen der Facebook-Benutzer zuzugreifen, wird standardmäßig bereitgestellt. Weitere Berechtigungen müssen durch Kommas getrennt werden. Nachdem die Berechtigungen konfiguriert wurden, kann Ihre Anwendung der vertrauenden Seite das ausgestellte Facebook-Zugriffstoken zum Anfordern der weiteren Benutzerinformationen mithilfe der Facebook Graph-API verwenden. Weitere Informationen finden Sie unter Anspruchstyp Zugriffstoken im Thema Supported claim types.

  • Anmeldelinktext – Gibt den Text an, der für den Identitätsanbieter Facebook auf der Anmeldeseite Ihrer Webanwendung angezeigt wird. Weitere Informationen finden Sie unter Anmeldeseiten und Homebereicherkennung.

  • Bild-URL (optional) – Gibt eine URL einer Bilddatei (z. B. einem Logo Ihrer Wahl) an, die Sie als Anmeldelink für diesen Identitätsanbieter anzeigen können. Dieses Logo wird automatisch auf der Standardanmeldeseite für Ihre ACS unterstützende Webanwendung sowie im JSON-Feed der Webanwendung angezeigt, den Sie zum Rendern einer benutzerdefinierten Anmeldeseite verwenden können. Wenn Sie keine Bild-URL angeben, wird ein Textanmeldelink für diesen Identitätsanbieter auf der Anmeldeseite Ihrer Webanwendung angezeigt. Wenn Sie eine Bild-URL angeben, wird dringend empfohlen, dass diese auf eine vertrauenswürdige Quelle verweist, z. B. auf Ihre eigene Website oder -anwendung, und dass HTTPS verwendet wird, um Sicherheitswarnungen des Browsers zu verhindern. Die Größe jedes Bilds, das breiter als 240 Pixel und höher als 40 Pixel ist, wird außerdem automatisch auf der Standardseite für die ACS-Startbereicherkennung angepasst. Wenn Sie das Facebook-Logo "f" herunterladen möchten, um es mit Ihren Facebook Connect-Anwendungen zu verwenden, lesen Sie Logos und Marken (http://go.microsoft.com/fwlink/?LinkID=214015) im Brand Permissions Center.

  • Anwendung der vertrauenden Seite – Gibt alle vorhandenen Anwendungen der vertrauenden Seite an, die dem Identitätsanbieter Facebook zugeordnet werden sollen. Weitere Informationen finden Sie unter Anwendungen der vertrauenden Seite.

Nachdem ein Identitätsanbieter einer Anwendung der vertrauenden Seite zugeordnet wurde, müssen Regeln für diesen Identitätsanbieter generiert oder manuell der Regelgruppe der Anwendung der vertrauenden Seite hinzugefügt werden, um die Konfiguration abzuschließen. Weitere Informationen zum Erstellen von Regeln finden Sie unter Regelgruppen und Regeln.

Nachdem ein Benutzer die Authentifizierung mit einem Identitätsanbieter ausgeführt hat, empfängt er ein Token, das Identitätsansprüche enthält. Ansprüche sind Informationen zum Benutzer, z. B. eine E-Mail-Adresse oder eine eindeutige ID. ACS kann diese Ansprüche direkt durch die Anwendung der vertrauenden Seite leiten oder Autorisierungsentscheidungen basierend auf den darin enthaltenen Werten treffen.

Anspruchstypen in ACS werden standardmäßig mithilfe eines URIs aus Gründen der Konformität mit der SAML-Tokenspezifikation eindeutig identifiziert. Diese URIs werden auch verwendet, um Ansprüche in anderen Tokenformaten zu identifizieren.

In der folgenden Tabelle werden die für ACS für Facebook-Identitätsanbieter verfügbaren Anspruchstypen aufgeführt.

 

Anspruchstyp URI Beschreibung

Namenbezeichner

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Ein eindeutiger Bezeichner für das Benutzerkonto, der von Facebook bereitgestellt wird.

Name

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Der Anzeigename für das Benutzerkonto, der von Facebook bereitgestellt wird.

E-Mail-Adresse

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Die E-Mail-Adresse für das Benutzerkonto, die von Facebook bereitgestellt wird. Beachten Sie, dass dieser Anspruchstyp nur bereitgestellt wird, wenn E-Mail als Anwendungsberechtigung konfiguriert ist. Dies ist im ACS-Verwaltungsportal standardmäßig der Fall.

Zugriffstoken

http://www.facebook.com/claims/AccessToken

Das Facebook-OAuth 2.0-Zugriffstoken für die aktuelle Benutzersitzung. Dieses Zugriffstoken kann verwendet werden, um Aufrufe mithilfe der Graph-API zurück an Facebook zu senden. Weitere Informationen finden Sie unter Graph-API.

Ablauf

http://schemas.xmlsoap.org/ws/2008/06/identity/claims/expiration

Das Datum und die Uhrzeit des Ablaufs des Zugriffstokens als koordinierte Weltzeit (Coordinated Universal Time, UTC).

noteHinweis
Dieser Anspruchstyp ist nicht vorhanden, wenn die Berechtigung offline_access angefordert wird.

Identitätsanbieter

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Ein von ACS bereitgestellter Anspruch, der die Anwendung der vertrauenden Seite informiert, dass sich der Benutzer mithilfe einer bestimmten Facebook-Anwendung authentifiziert hat. Das Format dieses Anspruchswerts lautet Facebook-<Anwendungs-ID. Der tatsächliche Wert wird im ACS-Verwaltungsportal über das Feld Bereichh auf der Seite Identitätsanbieter bearbeiten angezeigt.

Siehe auch

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2015 Microsoft