Facebook como proveedor de identidades de ACS
Esta documentación está archivada y no tiene mantenimiento.

Facebook como proveedor de identidades de ACS

Publicada: abril de 2011

Actualizado: junio de 2015

Se aplica a: Azure

Active Directory Access Control de Microsoft Azure (también conocido como Access Control Service o ACS) admite a Facebook como proveedor de identidades para sitios web y aplicaciones web. La compatibilidad de ACS con Facebook se creó mediante la API Graph de Facebook, que permite la autenticación federada y la autorización para las cuentas de usuario de Facebook.

Para agregar Facebook como proveedor de identidades en su Espacio de nombres Access Control, primero debe crear una aplicación de Facebook y suministrarle los parámetros necesarios para comunicarse con ACS. Para obtener más información, vea Procedimiento: Configurar Facebook como proveedor de identidades.

Cuando la aplicación de Facebook ya está creada y desea agregar Facebook como proveedor de identidades en Espacio de nombres Access Control, debe especificar las siguientes opciones con el portal de administración de ACS:

  • Nombre para mostrar: especifica el nombre para mostrar del proveedor de identidades. Este nombre se usa solo en el Portal de administración de ACS.

  • Identificador de aplicación: especifica el identificador de la aplicación que se puede copiar desde su aplicación de Facebook.

  • Secreto de aplicación: especifica el secreto de aplicación que puede copiar desde su aplicación de Facebook Connect.

  • Permisos de aplicación: especifica los permisos extendidos que desea solicitar a los usuarios de su aplicación de Facebook cuando inicien sesión. Para obtener más información acerca de los permisos que puede solicitar, consulte Permissions (http://go.microsoft.com/fwlink/?LinkID=214014). El permiso para tener acceso a direcciones de correo electrónico de usuarios de Facebook se proporciona de forma predeterminada y los permisos adicionales deben estar delimitados por comas. Cuando se hayan configurado los permisos, la aplicación de usuario de confianza puede utilizar el token de acceso de Facebook emitido para solicitar la información de usuario adicional con la Graph API de Facebook. Para obtener más información, vea tipo de notificación de token de acceso en Supported claim types.

  • Texto del vínculo de inicio de sesión: especifica el texto que se muestra en el proveedor de identidades de Facebook en la página de inicio de sesión de la aplicación web. Para obtener más información, vea Páginas de inicio de sesión y detección del dominio de inicio.

  • URL de la imagen (opcional): especifica la dirección URL de un archivo de imagen (por ejemplo, un logotipo a su elección) que puede mostrar como vínculo de inicio de sesión para este proveedor de identidades. Este logotipo se mostrará automáticamente en la página de inicio de sesión predeterminada de su aplicación web que distingue entre ACS, así como en la fuente JSON de su aplicación web que podrá utilizar para representar una página de inicio de sesión personalizada. Si no especifica ninguna dirección URL de una imagen, se mostrará el texto del vínculo de inicio de sesión en la página de inicio de sesión de la aplicación web. Si especifica la dirección URL de una imagen, se recomienda encarecidamente que apunte a un origen de confianza, por ejemplo, su propio sitio web o aplicación, mediante HTTPS para evitar advertencias de seguridad en los exploradores. Además, el tamaño de las imágenes de más de 240 píxeles de ancho y 40 píxeles de alto se ajusta automáticamente en la página predeterminada de detección del dominio kerberos principal de ACS.

  • Aplicación de usuario de confianza: especifica todas las aplicaciones de usuario de confianza que quiere asociar al proveedor de identidades de Facebook. Para obtener más información, vea Aplicaciones de usuario de confianza.

Después de asociar un proveedor de identidades a una aplicación de usuario de confianza, se deben generar reglas para ese proveedor de identidades, o se deben agregar manualmente al grupo de reglas de la aplicación de usuario de confianza a fin de completar la configuración. Para más información sobre la creación de reglas, vea Grupos de reglas y reglas.

Después de que un usuario se autentica en un proveedor de identidades, recibe un token que se completa con notificaciones de identidad. Las notificaciones son fragmentos de información sobre el usuario, como una dirección de correo electrónico o un identificador exclusivo. ACS puede pasar estas notificaciones directamente a la aplicación de usuario de confianza o puede tomar decisiones de autorización según los valores que contienen.

De forma predeterminada, los tipos de notificaciones en ACS se identifican de forma exclusiva mediante un URI para el cumplimiento con la especificación de tokens SAML. Estos URI también se pueden usar para identificar notificaciones en otros formatos de token.

En la tabla siguiente se muestran los tipos de notificaciones que están disponibles en ACS para proveedores de identidades de Facebook.

 

Tipo de notificación URI Descripción

Identificador de nombre

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Un identificador único (uid) de la cuenta de usuario, que lo proporciona Facebook.

Nombre

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

El nombre para mostrar de la cuenta de usuario, que lo proporciona Facebook.

Dirección de correo electrónico

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

La dirección de correo electrónico de la cuenta de usuario, que la proporciona Facebook. Tenga en cuenta que este tipo de notificación solo se proporciona si "email" está configurado como un permiso de aplicación, como viene establecido de forma predeterminada en el portal de administración de ACS.

Token de acceso

http://www.facebook.com/claims/AccessToken

El token de acceso de Facebook OAuth 2.0 para la sesión de usuario actual. Este token de acceso puede utilizarse para realizar llamadas de vuelta a Facebook mediante Graph API. Para obtener más información, vea Graph API.

Expiración

http://schemas.xmlsoap.org/ws/2008/06/identity/claims/expiration

La fecha y hora en hora universal coordinada (UTC) a la que expira el token de acceso.

noteNota
Este tipo de notificación no está presente si se solicita el permiso offline_access.

Proveedor de identidades

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Una notificación que proporciona ACS que le indica a la aplicación de usuario de confianza que el usuario se ha autenticado con una aplicación de Facebook concreta. El formato de este valor de notificación es Facebook-<Application ID>, y el valor real es visible en el portal de administración de ACS a través del campo Dominio en la página Editar proveedor de identidades.

Vea también

Mostrar:
© 2016 Microsoft