Share via

Facebook como proveedor de identidades de ACS

  • Artículo

Actualizado: 19 de junio de 2015

Se aplica a: Azure

Microsoft Azure Active Directory Access Control (también conocido como Access Control Service o ACS) admite Facebook como proveedor de identidades para sitios web y aplicaciones web. La compatibilidad de ACS con Facebook se crea mediante el Graph API de Facebook, que permite la autenticación federada y la autorización para las cuentas de usuario de Facebook.

Configuración de los requisitos previos de una aplicación de Facebook

Para agregar Facebook como proveedor de identidades en el espacio de nombres Access Control, primero debe crear una aplicación de Facebook y proporcionarla con los parámetros necesarios para comunicarse con ACS. Para obtener más información, vea Cómo: Configurar Facebook como proveedor de identidades.

Configuración mediante el Portal de administración de ACS

Una vez creada la aplicación de Facebook y desea agregar Facebook como proveedor de identidades en el espacio de nombres Access Control, debe especificar la siguiente configuración mediante el Portal de administración de ACS:

  • Nombre para mostrar: especifica el nombre para mostrar del proveedor de identidades. Este nombre solo se usa en el Portal de administración de ACS.

  • Identificador de aplicación: especifica el identificador de la aplicación que se puede copiar desde su aplicación de Facebook.

  • Secreto de aplicación: especifica el secreto de aplicación que puede copiar desde su aplicación de Facebook Connect.

  • Permisos de aplicación: especifica los permisos extendidos que quiera solicitar de los usuarios de la aplicación de Facebook cuando inicien sesión. Para obtener más información sobre los permisos que puede solicitar, vea Permisos (https://go.microsoft.com/fwlink/?LinkID=214014). El permiso para tener acceso a direcciones de correo electrónico de usuarios de Facebook se proporciona de forma predeterminada y los permisos adicionales deben estar delimitados por comas. Cuando se hayan configurado los permisos, la aplicación de usuario de confianza puede utilizar el token de acceso de Facebook emitido para solicitar la información de usuario adicional con la Graph API de Facebook. Para obtener más información, consulte Tipo de notificación de token de acceso en Tipos de notificación admitidos.

  • Texto del vínculo de inicio de sesión: especifica el texto que se muestra en el proveedor de identidades de Facebook en la página de inicio de sesión de la aplicación web. Para obtener más información, vea Inicio de sesión de páginas de inicio y detección de dominio principal.

  • URL de la imagen (opcional): especifica la dirección URL de un archivo de imagen (por ejemplo, un logotipo a su elección) que puede mostrar como vínculo de inicio de sesión para este proveedor de identidades. Este logotipo aparece automáticamente en la página de inicio de sesión predeterminada de la aplicación web compatible con ACS, así como en la fuente JSON de la aplicación web que puede usar para representar una página de inicio de sesión personalizada. Si no especifica ninguna dirección URL de una imagen, se mostrará el texto del vínculo de inicio de sesión en la página de inicio de sesión de la aplicación web. Si especifica la dirección URL de una imagen, se recomienda encarecidamente que apunte a un origen de confianza, por ejemplo, su propio sitio web o aplicación, mediante HTTPS para evitar advertencias de seguridad en los exploradores. Además, el tamaño de las imágenes de más de 240 píxeles de ancho y 40 píxeles de alto se ajusta automáticamente en la página predeterminada de detección del dominio kerberos principal de ACS.

  • Aplicación de usuario de confianza: especifica todas las aplicaciones de usuario de confianza que quiere asociar al proveedor de identidades de Facebook. Para obtener más información, consulte Aplicaciones de usuario autenticado.

Después de asociar un proveedor de identidades a una aplicación de usuario de confianza, se deben generar reglas para ese proveedor de identidades, o se deben agregar manualmente al grupo de reglas de la aplicación de usuario de confianza a fin de completar la configuración. Para obtener más información sobre la creación de reglas, consulte Reglas y grupos de reglas.

Tipos de notificaciones admitidos

Después de que un usuario se autentica en un proveedor de identidades, recibe un token que se completa con notificaciones de identidad. Las notificaciones son fragmentos de información sobre el usuario, como una dirección de correo electrónico o un identificador único. ACS puede pasar estas notificaciones directamente a la aplicación de usuario de confianza o tomar decisiones de autorización basadas en los valores que contienen.

De forma predeterminada, los tipos de notificación de ACS se identifican de forma única mediante un URI para cumplir con la especificación del token SAML. Estos URI también se pueden usar para identificar notificaciones en otros formatos de token.

En la tabla siguiente se muestran los tipos de notificación que están disponibles para ACS para proveedores de identidades de Facebook.

Tipo de notificación URI Descripción

Identificador de nombre

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Un identificador único (uid) de la cuenta de usuario, que lo proporciona Facebook.

Nombre

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

El nombre para mostrar de la cuenta de usuario, que lo proporciona Facebook.

Dirección de correo electrónico

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

La dirección de correo electrónico de la cuenta de usuario, que la proporciona Facebook. Tenga en cuenta que este tipo de notificación solo se proporciona si "correo electrónico" está configurado como permiso de aplicación, que es de forma predeterminada en el Portal de administración de ACS.

Token de acceso

http://www.facebook.com/claims/AccessToken

El token de acceso de Facebook OAuth 2.0 para la sesión de usuario actual. Este token de acceso puede utilizarse para realizar llamadas de vuelta a Facebook mediante Graph API. Para obtener más información, consulte Graph API.

Expiration

https://schemas.xmlsoap.org/ws/2008/06/identity/claims/expiration

La fecha y hora en hora universal coordinada (UTC) a la que expira el token de acceso.

Nota

Este tipo de notificación no está presente si se solicita el permiso offline_access.

Proveedor de identidades

https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Una notificación proporcionada por ACS que indica a la aplicación de usuario de confianza que el usuario se autenticó mediante una aplicación de Facebook determinada. El formato de este valor de notificación es Facebook-Application< ID> y el valor real es visible en el Portal de administración de ACS a través del campo Realm (Dominio kerberos) de la página Editar proveedor de identidades.

Consulte también

Conceptos

Proveedores de identidades