Questa documentazione è stata archiviata e non viene gestita.

Pagine di accesso e individuazione dell'area di autenticazione principale

Pubblicato: aprile 2011

Aggiornamento: giugno 2015

Si applica a: Azure

In Microsoft Azure Active Directory Access Control (anche noto come Servizio di controllo di accesso o ACS) è possibile procedere in due semplici modi per generare una pagina di accesso federato per l'applicazione o il sito Web.

ACS ospita una pagina di accesso federato di base che può essere usata con la propria applicazione relying party. Tale pagina di accesso viene ospitata nell'endpoint del protocollo WS-Federation dello spazio dei nomi in uso ed è possibile accedervi usando un URL simile al seguente.

https://<YourNamespace>.accesscontrol.windows.net/v2/wsfederation?wa=wsignin1.0&wtrealm=<YourAppRealm>&redirect=false

In questo URL sostituire <YourNamespace> con il nome del proprio Spazi dei nomi controllo di accesso. L'URL inoltre richiede i seguenti parametri:

  • wa - Impostare il parametro su wsignin1.0.

  • wtrealm - Impostare il parametro sul valore dell'area di autenticazione specificata per l'applicazione relying party. Per individuare il valore dell'area di autenticazione, nel portale di gestione ACS fare clic su Relying party applications, selezionare un'applicazione e controllare il campo Realm.

Per individuare i collegamenti della pagina di accesso per le applicazioni relying party:

  1. Passare al portale di gestione di Microsoft Azure (https://manage.WindowsAzure.com), eseguire l'accesso, quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)

  2. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

  3. Fare clic su Application integration, Login pages, quindi selezionare un'applicazione relying party.

    La pagina Login Page Integration visualizza le opzioni della pagina di accesso per l'applicazione.

La seguente figura mostra la pagina di accesso predefinita di un'applicazione che supporta Windows Live ID (account Microsoft), Google, Yahoo!, Facebook e "Contoso Corp", un provider di identità WS-Federation fittizio.

Pagine di accesso ad ACS 2.0

Per sostituire un pulsante del provider di identità WS-Federation con una casella di testo dell'indirizzo e-mail, aggiungere i suffissi dell'indirizzo e-mail ai collegamenti della pagina di accesso per il provider di identità WS-Federation. Questo approccio è utile se per l'applicazione relying party è configurato un numero elevato di provider di identità WS-Federation. La seguente immagine illustra una pagina di esempio.

Pagine di accesso ad ACS 2.0

Per velocizzare l'integrazione di ACS con l'applicazione relying party, usare la pagina di accesso ospitata da ACS predefinita. Per personalizzare il layout e l'aspetto di tale pagina di accesso, salvare la versione predefinita come file HTML e copiare il codice HTML e JavaScript nella propria applicazione, dove è possibile apportare le personalizzazioni.

Per consentire un controllo totale sull'aspetto, sul comportamento e sulla posizione della pagina di accesso federato, ACS fornisce un feed di metadati con codifica JSON contenente i nomi, gli URL di accesso, le immagini e i nomi dei domini di posta elettronica (solo ) per i provider di identità. Tale feed è noto come feed dei metadati di individuazione dell'area di autenticazione principale.

Per scaricare una pagina di accesso HTML di esempio per ognuna delle applicazioni relying party:

  1. Passare al portale di gestione di Microsoft Azure (https://manage.WindowsAzure.com), eseguire l'accesso, quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)

  2. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

  3. Fare clic su Application integration, Login pages, quindi selezionare un'applicazione relying party.

  4. Nella pagina Login Page Integration fare clic su Download Example Login Page.

Il codice HTML di esempio è identico al codice HTML relativo alla pagina di accesso ospitata da ACS.

Questo esempio include funzioni JavaScript per il rendering della pagina. Un tag di script nella parte inferiore della pagina chiama il feed dei metadati. Le pagine di accesso personalizzate utilizzano i metadati mediante puro codice HTML e JavaScript del lato client, come mostrato nell'esempio. Il feed tuttavia può anche essere usato da qualsiasi linguaggio in grado di supportare la codifica JSON per il rendering di un controllo di accesso personalizzato.

Per individuare gli URL del feed dei metadati di individuazione dell'area di autenticazione principale per le applicazioni relying party:

  1. Passare al portale di gestione di Microsoft Azure (https://manage.WindowsAzure.com), eseguire l'accesso, quindi fare clic su Active Directory. (Suggerimento per la risoluzione dei problemi: elemento "Active Directory" mancante o non disponibile)

  2. Per gestire uno spazio dei nomi di Controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci. Altrimenti, fare clic su Spazi dei nomi controllo di accesso, selezionare lo spazio dei nomi, quindi fare clic su Gestisci.

  3. Fare clic su Application integration, Login pages, quindi selezionare un'applicazione relying party.

L'URL viene visualizzato nella pagina Login Page Integration dell'applicazione in Option 2: Host the login page as part of your application.

Il seguente esempio illustra un URL del feed dei metadati di individuazione dell'area di autenticazione principale.

https://YourNamespace.accesscontrol.windows.net/v2/metadata/IdentityProviders.js?protocol=wsfederation&realm=YourAppRealm&reply_to=YourAppReturnURL&context=&version=1.0&callback=OptionalFunctionName

L'URL usa i seguenti parametri:

  • YourNamespace - Obbligatorio. Impostare il nome dello spazio dei nomi di Azure.

  • protocol - Obbligatorio. Questo è il protocollo usato dall'applicazione relying party per comunicare con ACS. In ACS tale valore deve essere impostato su wsfederation.

  • realm - Obbligatorio. Questa è l'area di autenticazione specificata per l'applicazione relying party nel portale di gestione ACS.

  • version - Obbligatorio. In ACS tale valore deve essere impostato su 1.0.

  • reply_to - Facoltativo. Questo è l'URL restituito specificato per l'applicazione relying party nel portale di gestione ACS. Se questo parametro viene omesso, il valore dell'URL restituito viene impostato sul valore predefinito configurato per l'applicazione relying party nel portale di gestione ACS.

  • context - Facoltativo. Contesto aggiuntivo che può essere passato all'applicazione relying party nel token. ACS non riconosce questo tipo di contenuto.

  • callback - Facoltativo. È possibile impostare questo parametro sul nome di una funzione JavaScript che si desidera eseguire quando viene caricato il feed JSON. La stringa del feed JSON è l'argomento che viene passato a tale funzione.

noteNota
Il feed di metadati con codifica JSON può essere soggetto a modifica, è quindi consigliabile non memorizzarlo nella cache.

Quando il feed dei metadati viene richiesto con parametri validi come descritto in precedenza, la risposta è un documento contenente una matrice con codifica JSON di matrici interne, ognuna delle quali rappresenta un provider di identità con i seguenti campi:

  • Name - Nome visualizzato del provider di identità in formato leggibile dall'utente.

  • LoginUrl - URL di richiesta di accesso creato.

  • LogoutUrl - Questo URL consente agli utenti finali di disconnettersi dal provider di identità a cui si sono connessi. Attualmente è supportato soltanto per e Windows Live ID (account Microsoft) ed è vuoto per gli altri provider di identità.

  • ImageUrl - Immagine da visualizzare, configurata nel portale di gestione ACS. È vuoto se non vi sono immagini.

  • EmailAddressSuffixes - Matrice di suffissi di indirizzi e-mail associati al provider di identità. In ACS tali suffissi possono essere configurati solo per i provider di identità mediante il portale di gestione ACS. Viene restituita una matrice vuota se non vi sono suffissi configurati.

Il seguente esempio illustra il feed JSON quando Windows Live ID e ADFS 2.0 sono configurati per l'applicazione relying party. L'utente ha impostato l'URL di un'immagine per Windows Live ID nel portale di gestione ACS e associato il suffisso di un dominio di posta elettronica per il provider di identità .

noteNota
Le interruzioni di riga sono state aggiunte per migliorare la leggibilità e gli URL sono stati semplificati per brevità.

[ {
   "Name":"Windows Live ID",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"https://...",
   "EmailAddressSuffixes":[]
},
{
   "Name":"My ADFS 2.0 Provider",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"",
   "EmailAddressSuffixes":[“contoso.com”]
} ]

Vedere anche

Mostra: