Google en tant que fournisseur d'identité ACS

  • Article

Mise à jour : 19 juin 2015

S’applique à : Azure

Microsoft Azure Active Directory Access Control (également appelé service Access Control ou ACS) prend en charge Facebook comme fournisseur d’identité pour les sites web et les applications web. La prise en charge d’ACS pour Facebook est créée à l’aide du API Graph Facebook, qui permet l’authentification fédérée et l’autorisation pour les comptes d’utilisateurs Facebook.

Configuration d'une application Facebook requise

Pour ajouter Facebook en tant que fournisseur d’identité dans votre espace de noms Access Control, vous devez d’abord créer une application Facebook et lui fournir les paramètres nécessaires pour communiquer avec ACS. Pour plus d’informations, consultez Guide pratique pour configurer Facebook en tant que fournisseur d’identité.

Configuration avec le portail de gestion ACS

Une fois votre application Facebook créée et que vous souhaitez ajouter Facebook en tant que fournisseur d’identité dans l’espace de noms Access Control, vous devez spécifier les paramètres suivants à l’aide du portail de gestion ACS :

  • Nom complet : spécifie le nom complet de votre fournisseur d'identité. Ce nom est utilisé uniquement dans le portail de gestion ACS.

  • ID de l'application : spécifie l'ID d'application que vous pouvez copier à partir de votre application Facebook.

  • Secret d'application : spécifie le secret d'application que vous pouvez copier à partir de votre application de connexion à Facebook.

  • Autorisations d’application : spécifie les autorisations étendues que vous souhaitez demander aux utilisateurs de votre application Facebook lorsqu’ils se connectent. Pour plus d’informations sur les autorisations que vous pouvez demander, consultez Autorisations (https://go.microsoft.com/fwlink/?LinkID=214014). L'autorisation d'accéder aux adresses de messagerie des utilisateurs de Facebook est fournie par défaut, et des autorisations supplémentaires doivent être délimitées par des virgules. Une fois les autorisations configurées, votre application par partie de confiance peut utiliser le jeton d'accès Facebook émis pour demander les informations utilisateur supplémentaires à l'aide de l'API graphique Facebook. Pour plus d’informations, consultez le type de revendication jeton d’accès dans les types de revendications pris en charge.

  • Texte du lien de connexion : spécifie le texte affiché pour le fournisseur d'identité Facebook sur la page de connexion de votre application web. Pour plus d’informations, consultez Pages de connexion et Découverte du domaine d’accueil.

  • URL d'image (facultative) : spécifie l'URL d'un fichier image (par exemple, un logo de votre choix) que vous pouvez afficher comme lien de connexion pour ce fournisseur d'identité. Ce logo apparaît automatiquement sur la page de connexion par défaut de votre application web prenant en charge ACS, ainsi que dans le flux JSON de votre application web que vous pouvez utiliser pour afficher une page de connexion personnalisée. Si vous ne spécifiez pas d'URL d'images, un texte de lien de connexion pour ce fournisseur d'identité est affiché dans la page de connexion de votre application web. Si vous spécifiez une URL d'image, nous vous recommandons vivement de la faire pointer vers une source approuvée, par exemple votre propre application ou site web, et d'utiliser le protocole HTTPS pour empêcher l'affichage d'avertissements de sécurité dans le navigateur. De plus, toute image supérieure à 240 pixels de large et 40 pixels de haut est redimensionnée automatiquement dans la page de découverte d'accueil de domaine ACS par défaut.

  • Application par partie de confiance : spécifie toutes les applications par partie de confiance existantes que vous souhaitez associer au fournisseur d'identité Facebook. Pour plus d’informations, consultez Applications de partie de confiance.

Une fois qu'un fournisseur d'identité a été associé à une application de partie de confiance, vous devez générer ou ajouter manuellement des règles pour ce fournisseur d'identité dans le groupe de règles de l'application de partie de confiance pour achever la configuration. Pour plus d’informations sur la création de règles, consultez Groupes de règles et Règles.

Types de revendications pris en charge

Une fois qu'un utilisateur s'est authentifié auprès d'un fournisseur d'identité, il reçoit un jeton contenant des revendications d'identité. Les revendications sont des informations relatives à l'utilisateur, telles qu'une adresse de messagerie ou un ID unique. ACS peut transmettre ces revendications directement à l’application de partie de confiance ou prendre des décisions d’autorisation en fonction des valeurs qu’ils contiennent.

Par défaut, les types de revendications dans ACS sont identifiés de manière unique à l’aide d’un URI pour la conformité avec la spécification de jeton SAML. Ces URI servent également à identifier les revendications dans d'autres formats de jetons.

Le tableau suivant présente les types de revendications disponibles pour les fournisseurs d’identité Facebook acS.

Type de revendication URI Description

Identificateur de nom

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Identificateur unique (uid) pour le compte d'utilisateur, fourni par Facebook.

Nom

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Nom complet du compte d'utilisateur, fourni par Facebook.

Adresse de messagerie

https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Adresse de messagerie du compte d'utilisateur, fournie par Facebook. Notez que ce type de revendication n’est fourni que si « e-mail » est configuré en tant qu’autorisation d’application, qu’il est par défaut dans le portail de gestion ACS.

Jeton d'accès

http://www.facebook.com/claims/AccessToken

Jeton d'accès OAuth 2.0 de Facebook pour la session utilisateur en cours. Ce jeton d'accès peut être utilisé pour effectuer des rappels à Facebook à l'aide de l'API graphique. Pour plus d’informations, consultez API Graph.

Expiration

https://schemas.xmlsoap.org/ws/2008/06/identity/claims/expiration

Date et heure exprimées en temps universel Coordonné (UTC), auxquelles le jeton d'accès expire.

Notes

Ce type de revendication n'est pas présent si l'autorisation offline_access est demandée.

Fournisseur d’identité

https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

Revendication fournie par ACS qui indique à l’application de partie de confiance que l’utilisateur s’est authentifié à l’aide d’une application Facebook particulière. Le format de cette valeur de revendication est l’ID> d’application Facebook< et la valeur réelle est visible dans le portail de gestion ACS via le champ Domaine dans la page Modifier le fournisseur d’identité.

Voir aussi

Concepts

Fournisseurs d’identité