Facebook как поставщик удостоверений ACS
Обновлено: 19 июня 2015 г.
Область применения: Azure
Microsoft Azure Active Directory контроль доступа (также известный как служба контроль доступа или ACS) поддерживает Facebook в качестве поставщика удостоверений для веб-сайтов и веб-приложений. Поддержка ACS для Facebook создается с помощью API Graph Facebook, которая обеспечивает федеративную проверку подлинности и авторизацию для учетных записей пользователей Facebook.
Настройка необходимого приложения Facebook
Чтобы добавить Facebook в качестве поставщика удостоверений в пространстве имен контроль доступа, необходимо сначала создать приложение Facebook и предоставить ему необходимые параметры для взаимодействия с ACS. Дополнительные сведения см. в разделе "Практическое руководство. Настройка Facebook в качестве поставщика удостоверений".
Настройка с помощью портала управления ACS
После создания приложения Facebook и добавления Facebook в качестве поставщика удостоверений в пространство имен контроль доступа необходимо указать следующие параметры с помощью портала управления ACS:
Отображаемое имя — указывает отображаемое имя поставщика удостоверений. Это имя используется только на портале управления ACS.
Идентификатор приложения — указывает идентификатор приложения, который вы можете скопировать из приложения Facebook.
Секрет приложения — указывает секрет приложения, который вы можете скопировать из приложения Facebook Connect.
Разрешения приложения— указывает все расширенные разрешения, которые вы хотите запросить у пользователей приложения Facebook при входе. Дополнительные сведения о разрешениях, которые можно запросить, см. в разделе "Разрешения" (https://go.microsoft.com/fwlink/?LinkID=214014). Разрешение на доступ к адресам электронной почты пользователей Facebook предоставляется по умолчанию, а дополнительные разрешения должны быть разделены запятыми. После того как разрешения будут настроены, приложение проверяющей стороны может использовать маркер доступа, выданный Facebook, для запроса дополнительных сведений о пользователях с помощью Facebook Graph API. Дополнительные сведения см. в разделе "Тип утверждения маркера доступа" в поддерживаемых типах утверждений.
Текст ссылки для входа — указывает текст, отображаемый для поставщика удостоверений Facebook на странице входа веб-приложения. Дополнительные сведения см. в разделе "Страницы входа" и "Обнаружение домашней области".
URL-адрес изображения (необязательно) — указывает URL-адрес файла изображения (например, выбранная вами эмблема), которую можно показывать в качестве ссылки для входа для этого поставщика удостоверений. Этот логотип автоматически отображается на странице входа по умолчанию для веб-приложения с поддержкой ACS, а также в веб-канале JSON веб-приложения, который можно использовать для отображения настраиваемой страницы входа. Если не указать URL-адрес изображения, то на странице входа веб-приложения отображается текстовая ссылка на поставщик удостоверений. Если URL-адрес изображения указан, настоятельно рекомендуется сделать так, чтобы он указывал на надежный источник, например ваш собственный веб-сайт или веб-приложение, и использовал протокол HTTPS во избежание появления предупреждений подсистемы безопасности браузера. Кроме того, изображения размером больше 240 пикселей в ширину и 40 пикселей в длину автоматически масштабируются на странице обнаружения домашней области ACS по умолчанию.
Приложение проверяющей стороны — указывает все существующие приложения проверяющей стороны, которые следует связать с поставщиком удостоверений Facebook. Дополнительные сведения см. в разделе "Приложения проверяющей стороны".
После связывания поставщика удостоверений с приложением проверяющей стороны следует автоматически или вручную добавить правила для этого поставщика в группу правил приложения, чтобы завершить настройку. Дополнительные сведения о создании правил см. в разделе "Группы правил" и "Правила".
Поддерживаемые типы утверждений
Когда пользователь проходит проверку подлинности, используя поставщик удостоверений, он получает маркер с утверждениями удостоверения. Утверждения — это фрагменты сведений о пользователе, например адрес электронной почты или уникальный идентификатор. ACS может передавать эти утверждения непосредственно приложению проверяющей стороны или принимать решения об авторизации на основе содержащихся в них значений.
По умолчанию типы утверждений в ACS однозначно идентифицируются с помощью универсального кода ресурса (URI) для соответствия спецификации токена SAML. Эти URI также используются для идентификации утверждений в других форматах маркеров.
В следующей таблице показаны типы утверждений, доступные acS для поставщиков удостоверений Facebook.
Тип утверждения | URI | Описание |
---|---|---|
Идентификатор имени |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
Уникальный идентификатор (uid) учетной записи пользователя, предоставленный Facebook. |
Имя |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
Отображаемое имя учетной записи пользователя, предоставляемое Facebook. |
Электронная почта |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Адрес электронной почты, используемый в качестве учетной записи пользователя и предоставляемый Facebook. Обратите внимание, что этот тип утверждения предоставляется только в том случае, если "электронная почта" настроена в качестве разрешения приложения, которое по умолчанию используется на портале управления ACS. |
Маркер доступа |
http://www.facebook.com/claims/AccessToken |
Маркер доступа Facebook OAuth 2.0 для текущего сеанса пользователя. Этот маркер доступа можно использовать для осуществления обратных вызовов в Facebook с помощью Graph API. Дополнительные сведения см. в API Graph. |
Окончание срока действия |
https://schemas.xmlsoap.org/ws/2008/06/identity/claims/expiration |
Дата и время истечения срока действия маркера доступа в формате UTC. Примечание Если запрашивается разрешение offline_access, этот тип утверждения отсутствует. |
Поставщик удостоверений |
https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider |
Утверждение, предоставленное ACS, которое сообщает приложению проверяющей стороны, что пользователь прошел проверку подлинности с помощью определенного приложения Facebook. Формат этого утверждения — идентификатор> приложения Facebook<, а фактическое значение отображается на портале управления ACS с помощью поля realm на странице "Изменение поставщика удостоверений". |