Cette documentation est archivée et n’est pas conservée.

Pages de connexion et découverte d'accueil de domaine

Publication: avril 2011

Mis à jour: juin 2015

S'applique à: Azure

Microsoft Azure Active Directory Access Control (également appelé Access Control Service ou ACS) offre deux manières très simples de générer une page de connexion fédérée pour votre site web ou votre application :

ACS héberge une page de connexion fédérée de base qui peut être utilisée dans votre application de partie de confiance. Cette page de connexion est hébergée sur le point de terminaison de protocole WS-Federation de votre espace de noms et elle est accessible par une URL au format suivant.

https://<YourNamespace>.accesscontrol.windows.net/v2/wsfederation?wa=wsignin1.0&wtrealm=<YourAppRealm>&redirect=false

Dans cette URL, remplacez <YourNamespace> par le nom de votre espace de noms Access Control. De plus, cette URL nécessite les paramètres suivants :

  • wa : défini sur wsignin1.0

  • wtrealm : défini sur la valeur du domaine pour votre application de partie de confiance. Pour rechercher la valeur de domaine, dans le portail de gestion ACS, cliquez sur Applications de partie de confiance, sélectionnez une application et observez le champ Domaine.

Pour rechercher les liens de page de connexion pour vos applications de partie de confiance

  1. Accédez au Portail de gestion Microsoft Azure (https://manage.WindowsAzure.com), ouvrez une session, puis cliquez sur Active Directory. (Conseil de dépannage : « Active Directory » est manquant ou non disponible)

  2. Pour gérer un espace de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer. (Ou cliquez sur Espaces de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer.)

  3. Cliquez sur Intégration d'applications, sur Pages de connexion, puis sélectionnez une application de partie de confiance.

    La page Intégration de page de connexion affiche les options de page de connexion pour l'application.

L'image suivante montre la page de connexion par défaut pour une application qui prend en charge Windows Live ID (compte Microsoft), Google, Yahoo!, Facebook et « Contoso Corp », un fournisseur d'identité WS-Federation fictif.

Pages de connexion ACS 2.0

Pour remplacer un bouton de fournisseur d'identité WS-Federation par une zone de texte d'adresse de messagerie, ajoutez des suffixes d'adresse de messagerie aux liens de pages de connexion pour votre fournisseur d'identité WS-Federation. Cette approche est utile quand de nombreux fournisseurs d'identité WS-Federation sont configurés pour votre application de partie de confiance. L'image suivante montre un exemple de page.

Pages de connexion ACS 2.0

Pour accélérer l'intégration d'ACS à votre application de partie de confiance, utilisez la page de connexion par défaut hébergée par ACS. Pour personnaliser la disposition et l'apparence de cette page, enregistrez la page de connexion par défaut en tant que fichier HTML et copiez le HTML et le JavaScript dans votre application, où il peut être personnalisé.

Pour vous permettre de contrôler entièrement l'apparence, le comportement et l'emplacement de votre page de connexion fédérée, ACS fournit un flux de métadonnées encodé JSON avec les noms, les URL de connexion, les images et les noms de domaine de messagerie (services uniquement) de vos fournisseurs d'identité. Ce flux est appelé « Flux de métadonnées de découverte d'accueil de domaine ».

Pour télécharger un exemple de page de connexion HTML pour chacune de vos applications de partie de confiance

  1. Accédez au Portail de gestion Microsoft Azure (https://manage.WindowsAzure.com), ouvrez une session, puis cliquez sur Active Directory. (Conseil de dépannage : « Active Directory » est manquant ou non disponible)

  2. Pour gérer un espace de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer. (Ou cliquez sur Espaces de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer.)

  3. Cliquez sur Intégration d'applications, sur Pages de connexion, puis sélectionnez une application de partie de confiance.

  4. Dans la page Intégration de page de connexion, cliquez sur Télécharger l'exemple de page de connexion.

L'exemple de code HTML est identique au code HTML de la page de connexion hébergée par ACS.

Cet exemple comprend des fonctions JavaScript pour l'affichage de la page. Une balise de script en bas de la page appelle le flux de métadonnées. Les pages de connexion personnalisées peuvent consommer les métadonnées à l'aide de code JavaScript et HTML pur côté client, comme illustré dans cet exemple. Le flux peut aussi être consommé et servir à afficher un contrôle de connexion personnalisé dans n'importe quelle langage qui prend en charge l'encodage JSON.

Pour rechercher les URL de flux de métadonnées de découverte d'accueil de domaine pour vos applications de partie de confiance

  1. Accédez au Portail de gestion Microsoft Azure (https://manage.WindowsAzure.com), ouvrez une session, puis cliquez sur Active Directory. (Conseil de dépannage : « Active Directory » est manquant ou non disponible)

  2. Pour gérer un espace de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer. (Ou cliquez sur Espaces de noms Access Control, sélectionnez l'espace de noms, puis cliquez sur Gérer.)

  3. Cliquez sur Intégration d'applications, sur Pages de connexion, puis sélectionnez une application de partie de confiance.

L'URL apparaît dans la page Intégration de page de connexion de l'application sous Option 2 : héberger votre page de connexion dans votre application.

Voici un exemple d'URL de flux de découverte d'accueil de domaine.

https://YourNamespace.accesscontrol.windows.net/v2/metadata/IdentityProviders.js?protocol=wsfederation&realm=YourAppRealm&reply_to=YourAppReturnURL&context=&version=1.0&callback=OptionalFunctionName

Cette URL utilise les paramètres suivants :

  • YourNamespace : obligatoire. Affectez comme valeur le nom de votre espace de noms Azure.

  • protocol : obligatoire. Il s'agit du protocole utilisé par votre application de partie de confiance pour communiquer avec ACS. Dans ACS, cette valeur doit être wsfederation.

  • realm : obligatoire. Il s'agit du domaine que vous avez spécifié pour votre application de partie de confiance dans le portail de gestion ACS.

  • version : obligatoire. Dans ACS, cette valeur doit être 1.0.

  • reply_to : facultatif. Il s'agit de l'URL de retour que vous avez spécifiée pour votre application de partie de confiance dans le portail de gestion ACS. Si vous ne la spécifiez pas, la valeur de l'URL de retour est définie sur la valeur par défaut configurée pour votre application de partie de confiance dans le portail de gestion ACS.

  • context : facultatif. Il s'agit du contexte supplémentaire qui peut être repassé à l'application de partie de confiance dans le jeton. ACS ne reconnaît pas ce contenu.

  • callback : facultatif. Vous pouvez définir ce paramètre sur le nom d'une fonction JavaScript que vous souhaitez exécuter lors du chargement du flux JSON. La chaîne de flux JSON est l'argument passé à cette fonction.

noteRemarque
Le flux de métadonnées encodé JSON pouvant être sujet à modification, nous vous recommandons de ne pas le mettre en cache.

Quand le flux de métadonnées est demandé avec des paramètres valides comme décrit précédemment, la réponse est un document contenant un tableau de tableaux encodé JSON, chaque tableau interne représentant un fournisseur d'identité avec les champs suivants :

  • Name : nom complet explicite du fournisseur d'identité.

  • LoginUrl : URL de demande de connexion construite.

  • LogoutUrl : cette URL permet aux utilisateurs finaux de se déconnecter du fournisseur d'identité auquel ils se sont connectés. À l'heure actuelle, elle est prise en charge uniquement pour les services et Windows Live ID (compte Microsoft) et elle est vide pour les autres fournisseurs d'identité.

  • ImageUrl : image à afficher, telle que configurée dans le portail de gestion ACS. Vide s'il n'y a aucune image.

  • EmailAddressSuffixes : tableau de suffixes d'adresses de messagerie associées au fournisseur d'identité. Dans ACS, les suffixes d'adresses de messagerie peuvent être configurés uniquement pour les fournisseurs d'identité par l'intermédiaire du portail de gestion ACS. Renvoie un tableau vide si aucun suffixe n'est configuré.

L'exemple suivant montre le flux JSON quand Windows Live ID et les services AD FS 2.0 sont configurés pour l'application de partie de confiance. L'utilisateur a défini une URL d'image pour Windows Live ID dans le portail de gestion ACS et a ajouté un suffixe de domaine de messagerie pour le fournisseur d'identité .

noteRemarque
Nous avons ajouté des sauts de ligne pour faciliter la lecture et les URL ont été simplifiées pour plus de clarté.

[ {
   "Name":"Windows Live ID",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"https://...",
   "EmailAddressSuffixes":[]
},
{
   "Name":"My ADFS 2.0 Provider",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"",
   "EmailAddressSuffixes":[“contoso.com”]
} ]

Voir aussi

Afficher: