Pages de connexion et découverte d'accueil de domaine

Mise à jour : 19 juin 2015

S’applique à : Azure

Microsoft Azure Active Directory Access Control (également appelé service Access Control ou ACS) offre deux façons simples de générer une page de connexion fédérée pour votre site web ou votre application :

Option 1 : page de connexion ACS-Hosted

ACS héberge une page de connexion fédérée de base qui peut être utilisée dans votre application de partie de confiance. Cette page de connexion est hébergée sur le point de terminaison de protocole WS-Federation de votre espace de noms et elle est accessible par une URL au format suivant.

https://<YourNamespace>.accesscontrol.windows.net/v2/wsfederation?wa=wsignin1.0&wtrealm=<YourAppRealm>&redirect=false

Dans cette URL, remplacez <YourNamespace> par le nom de votre espace de noms Access Control. De plus, cette URL nécessite les paramètres suivants :

• wa : défini sur wsignin1.0

• wtrealm : défini sur la valeur du domaine pour votre application de partie de confiance. Pour rechercher la valeur du domaine, dans le portail de gestion ACS, cliquez sur Applications de partie de confiance, sélectionnez une application et consultez le champ Domaine .

Pour rechercher les liens de page de connexion pour vos applications de partie de confiance

1. Accédez au portail de gestion Microsoft Azure (https://manage.WindowsAzure.com), connectez-vous, puis cliquez sur Active Directory. (Conseil de résolution des problèmes : l’élément « Active Directory » est manquant ou non disponible)

2. Pour gérer un espace de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer. (Ou cliquez sur Espaces de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer.)

3. Cliquez sur Intégration d'applications, sur Pages de connexion, puis sélectionnez une application de partie de confiance.

   La page Intégration de page de connexion affiche les options de page de connexion pour l'application.

L’image suivante montre la page de connexion par défaut d’une application qui prend en charge Windows l’ID live (compte Microsoft), Google, Yahoo!, Facebook et « Contoso Corp », un fournisseur d’identité WS-Federation fictif.

Pour remplacer un bouton de fournisseur d'identité WS-Federation par une zone de texte d'adresse de messagerie, ajoutez des suffixes d'adresse de messagerie aux liens de pages de connexion pour votre fournisseur d'identité WS-Federation. Cette approche est utile quand de nombreux fournisseurs d'identité WS-Federation sont configurés pour votre application de partie de confiance. L'image suivante montre un exemple de page.

Pour accélérer l’intégration d’ACS à votre application de partie de confiance, utilisez la page de connexion hébergée par ACS par défaut. Pour personnaliser la disposition et l'apparence de cette page, enregistrez la page de connexion par défaut en tant que fichier HTML et copiez le HTML et le JavaScript dans votre application, où il peut être personnalisé.

Option 2 : Héberger une page de connexion personnalisée dans le cadre de votre application

Pour activer le contrôle total sur l’apparence, le comportement et l’emplacement de votre page de connexion fédérée, ACS fournit un flux de métadonnées encodé JSON avec les noms, URL de connexion, images et noms de domaine de messagerie (uniquement) de vos fournisseurs d’identité. Ce flux est appelé « Flux de métadonnées de découverte d'accueil de domaine ».

Exemple de page de connexion personnalisée

Pour télécharger un exemple de page de connexion HTML pour chacune de vos applications de partie de confiance

1. Accédez au portail de gestion Microsoft Azure (https://manage.WindowsAzure.com), connectez-vous, puis cliquez sur Active Directory. (Conseil de résolution des problèmes : l’élément « Active Directory » est manquant ou non disponible)

2. Pour gérer un espace de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer. (Ou cliquez sur Espaces de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer.)

3. Cliquez sur Intégration d'applications, sur Pages de connexion, puis sélectionnez une application de partie de confiance.

4. Dans la page Intégration de page de connexion, cliquez sur Télécharger l'exemple de page de connexion.

L’exemple de code HTML est identique au code HTML de la page de connexion hébergée par ACS.

Cet exemple comprend des fonctions JavaScript pour l'affichage de la page. Une balise de script en bas de la page appelle le flux de métadonnées. Les pages de connexion personnalisées peuvent consommer les métadonnées à l'aide de code JavaScript et HTML pur côté client, comme illustré dans cet exemple. Le flux peut aussi être consommé et servir à afficher un contrôle de connexion personnalisé dans n'importe quelle langage qui prend en charge l'encodage JSON.

Flux de métadonnées de découverte d'accueil de domaine

Pour rechercher les URL de flux de métadonnées de découverte d'accueil de domaine pour vos applications de partie de confiance

1. Accédez au portail de gestion Microsoft Azure (https://manage.WindowsAzure.com), connectez-vous, puis cliquez sur Active Directory. (Conseil de résolution des problèmes : l’élément « Active Directory » est manquant ou non disponible)

2. Pour gérer un espace de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer. (Ou cliquez sur Espaces de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer.)

3. Cliquez sur Intégration d'applications, sur Pages de connexion, puis sélectionnez une application de partie de confiance.

L'URL apparaît dans la page Intégration de page de connexion de l'application sous Option 2 : héberger votre page de connexion dans votre application.

Voici un exemple d'URL de flux de découverte d'accueil de domaine.

https://YourNamespace.accesscontrol.windows.net/v2/metadata/IdentityProviders.js?protocol=wsfederation&realm=YourAppRealm&reply_to=YourAppReturnURL&context=&version=1.0&callback=OptionalFunctionName

Cette URL utilise les paramètres suivants :

• YourNamespace : obligatoire. Affectez comme valeur le nom de votre espace de noms Azure.

• protocol : obligatoire. Il s’agit du protocole que votre application de partie de confiance utilise pour communiquer avec ACS. Dans ACS, cette valeur doit être définie sur wsfederation.

• realm : obligatoire. Il s’agit du domaine que vous avez spécifié pour votre application de partie de confiance dans le portail de gestion ACS.

• version : obligatoire. Dans ACS, cette valeur doit être définie sur 1.0.

• reply_to : facultatif. Il s’agit de l’URL de retour que vous avez spécifiée pour votre application de partie de confiance dans le portail de gestion ACS. Si elle est omise, la valeur de l’URL de retour est définie sur la valeur par défaut configurée pour votre application de partie de confiance dans le portail de gestion ACS.

• context : facultatif. Il s'agit du contexte supplémentaire qui peut être repassé à l'application de partie de confiance dans le jeton. ACS ne reconnaît pas ce contenu.

• callback : facultatif. Vous pouvez définir ce paramètre sur le nom d'une fonction JavaScript que vous souhaitez exécuter lors du chargement du flux JSON. La chaîne de flux JSON est l'argument passé à cette fonction.

Notes

Le flux de métadonnées encodé JSON pouvant être sujet à modification, nous vous recommandons de ne pas le mettre en cache.

Format des données de flux JSON

Quand le flux de métadonnées est demandé avec des paramètres valides comme décrit précédemment, la réponse est un document contenant un tableau de tableaux encodé JSON, chaque tableau interne représentant un fournisseur d'identité avec les champs suivants :

• Name : nom complet explicite du fournisseur d'identité.

• LoginUrl : URL de demande de connexion construite.

• LogoutUrl : cette URL permet aux utilisateurs finaux de se déconnecter du fournisseur d'identité auquel ils se sont connectés. Cela n’est actuellement pris en charge que pour et Windows l’ID live (compte Microsoft) et est vide pour d’autres fournisseurs d’identité.

• ImageUrl : image à afficher, comme configuré dans le portail de gestion ACS. Vide s'il n'y a aucune image.

• EmailAddressSuffixes : tableau de suffixes d'adresses de messagerie associées au fournisseur d'identité. Dans ACS, les suffixes d’adresse de messagerie ne peuvent être configurés que pour les fournisseurs d’identité via le portail de gestion ACS. Renvoie un tableau vide si aucun suffixe n'est configuré.

L’exemple suivant montre le flux JSON lorsque Windows l’ID actif et AD FS 2.0 sont configurés pour l’application de partie de confiance. L’utilisateur a défini une URL d’image pour Windows l’ID en direct dans le portail de gestion ACS et a ajouté un suffixe de domaine de messagerie pour le fournisseur d’identité.

Notes

Nous avons ajouté des sauts de ligne pour faciliter la lecture et les URL ont été simplifiées pour plus de clarté.

[ {
   "Name":"Windows Live ID",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"https://...",
   "EmailAddressSuffixes":[]
},
{
   "Name":"My ADFS 2.0 Provider",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"",
   "EmailAddressSuffixes":[“contoso.com”]
} ]

Voir aussi

Concepts

Composants ACS 2.0