このページは役に立ちましたか。
このページのコンテンツについての ご意見をお待ちしております
その他にご意見はありますか。
残り 1500 文字
ACS ID プロバイダーとしての Facebook

ACS ID プロバイダーとしての Facebook

発行: 2011年4月

更新日: 2015年6月

適用対象: Azure

Microsoft Azure Active Directory アクセス制御 (アクセス制御サービスまたは ACS) は、Web サイトと Web アプリケーションの ID プロバイダーとして Facebook をサポートしています。ACS の Facebook のサポートは、Facebook グラフ API を使用して構築されています。この API を利用することで、Facebook ユーザー アカウントのフェデレーション認証と承認が可能になります。

アクセス制御名前空間に Facebook を ID プロバイダーとして追加するには、まず Facebook アプリケーションを作成し、必要なパラメーターを指定して ACS と通信する必要があります。詳細については、「方法:Facebook を ID プロバイダーとして構成する」を参照してください。

Facebook アプリケーションが作成された後に アクセス制御名前空間に ID プロバイダーとして Facebook を追加するには、ACS 管理ポータルを使用して次の設定を指定する必要があります。

  • 表示名 - ID プロバイダーの表示名を指定します。この名前は、ACS 管理ポータルのみで使用されます。

  • アプリケーション ID - アプリケーション ID を指定します。アプリケーション ID は Facebook アプリケーションからコピーできます。

  • アプリケーション シークレット - アプリケーション シークレットを指定します。アプリケーション シークレットは Facebook Connect アプリケーションからコピーできます。

  • アプリケーションのアクセス許可 - 拡張アクセス許可を指定します。拡張アクセス許可は、Facebook アプリケーションのユーザーがログインするときに依頼することができます。依頼できるアクセス許可の詳細については、「アクセス許可 (英語)」 (http://go.microsoft.com/fwlink/?LinkID=214014) を参照してください。既定で、Facebook ユーザーの電子メール アドレスのアクセス許可が付与されます。追加のアクセス許可は、コンマ区切りで指定します。アクセス許可の構成が完了すると、証明書利用者アプリケーションは、発行された Facebook アクセス トークンと Facebook グラフ API を使用して、追加のユーザー情報を要求できます。詳細については、「Supported claim types」のアクセス トークン要求の種類を参照してください。

  • ログイン リンク テキスト - Web アプリケーションのログイン ページで Facebook ID プロバイダーについて表示されるテキストを指定します。詳細については、「ログイン ページとホーム領域検出」を参照してください。

  • イメージ URL (オプション) — この ID プロバイダーのログイン リンクとして表示できるイメージ ファイル (たとえば、選択したロゴ) への URL を指定します。このロゴは、ACS 対応 Web アプリケーションの既定のログイン ページと、カスタム ログイン ページの表示に使用できる Web アプリケーションの JSON フィードに自動的に表示されます。イメージ URL を指定しない場合、この ID プロバイダーのテキスト ログイン リンクが Web アプリケーションのログイン ページに表示されます。イメージ URL を指定する場合は、ブラウザーにセキュリティ警告が表示されないように HTTP を使用して、信頼されているリソース (独自の Web サイトまたはアプリケーションなど) を指すようにすることを強くお勧めします。また、幅が 240 ピクセルを超え、高さが 40 ピクセルを超えるイメージは、既定の ACS ホーム領域検出ページで自動的にサイズ変更されます。Facebook の "f" のロゴをダウンロードして Facebook Connect アプリケーションに使用するには、Brand Permissions Center の「ロゴと商標 (英語)」 (http://go.microsoft.com/fwlink/?LinkID=214015) を参照してください。

  • 証明書利用者アプリケーション - Facebook ID プロバイダーに関連付けるすべての既存の証明書利用者アプリケーションを指定します。詳細については、「証明書利用者アプリケーション」を参照してください。

ID プロバイダーが証明書利用者アプリケーションに関連付けられたら、その ID プロバイダーのルールを証明書利用者アプリケーションのルール グループに手動で生成するか追加して、構成を完了する必要があります。ルール作成の詳細については、「規則グループと規則」を参照してください。

ユーザーは ID プロバイダーで認証されると、ID 要求を含むトークンを受け取ります。要求は、電子メール アドレスや一意の ID など、ユーザーに関するいくつかの情報です。ACS はこれらの要求を証明書利用者アプリケーションに直接渡すか、含まれる値に基づいて承認を決定します。

既定では、ACS の要求の種類は、SAML トークン仕様に準拠するために URI を使用して、一意に識別されます。これらの URI は他のトークン形式の要求の識別にも使用されます。

次の表に、Facebook ID プロバイダー用に ACS で使用できる要求の種類を示します。

 

要求の種類 URI 説明

名前識別子

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

Facebook から提供される、ユーザー アカウントの一意の識別子 (UID)。

名前

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

Facebook から提供される、ユーザー アカウントの表示名。

電子メール アドレス

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Facebook から提供される、ユーザー アカウントの電子メール アドレス。この要求の種類は、"電子メール アドレス" がアプリケーションのアクセス許可として構成されている場合 (ACS 管理ポータルの既定値) にのみ提供されます。

アクセス トークン

http://www.facebook.com/claims/AccessToken

現在のユーザー セッションの Facebook OAuth 2.0 アクセス トークン。このアクセス トークンとグラフ API を使用して、Facebook にコール バックすることができます。詳細については、「グラフ API」を参照してください。

有効期限

http://schemas.xmlsoap.org/ws/2008/06/identity/claims/expiration

アクセス許可の有効期限が切れる日時 (協定世界時 (UTC))。

noteメモ
offline_access アクセス許可が要求された場合、この要求の種類は提供されません。

ID プロバイダー

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

ACS から提供される要求。ユーザーが特定の Facebook アプリケーションを使用して認証されたことを証明書利用者アプリケーションに通知します。この要求値は、Facebook-<アプリケーション ID> という形式です。実際の値は、ACS 管理ポータルの [ID プロバイダーの編集] ページにある [領域] フィールドで確認できます。

関連項目

コミュニティの追加

追加
表示:
© 2015 Microsoft