Экспорт (0) Печать
Развернуть все

Страницы входа и обнаружение домашней области

Опубликовано: Апрель 2011 г.

Обновлено: Март 2015 г.

Назначение: Azure

Microsoft Azure Active Directory Access Control (также называется Access Control Service или ACS) есть два простых способа создать федеративную страницу входа для веб-сайта или приложения:

В Служба управления доступом размещается простая федеративная страница для входа, используемая приложением проверяющей стороны. Эта страница для входа размещается на конечной точке протокола WS-Federation пространства имен и доступна по URL-адресу наподобие следующего.

https://<YourNamespace>.accesscontrol.windows.net/v2/wsfederation?wa=wsignin1.0&wtrealm=<YourAppRealm>&redirect=false

В этом URL-адресе замените <YourNamespace> именем вашего Пространство имен Access Control. Кроме того, в URL-адресе необходимы следующие параметры:

  • wa — задайте как wsignin1.0

  • wtrealm — задайте значение области для приложения проверяющей стороны. Чтобы найти значение области, на портале управления Служба управления доступом, щелкните Приложения проверяющей стороны, выберите приложение и просмотрите поле Область.

Чтобы найти ссылки на страницы входа для приложений проверяющей стороны:

  1. Перейдите на http://go.microsoft.com/fwlink/p/?LinkID=275081 (https://manage.WindowsAzure.com), выполните вход и щелкните Active Directory. (Совет по устранению неполадок. "Active Directory" item is missing or not availablehttp://go.microsoft.com/fwlink/?LinkId=320739 (Элемент "Active Directory" отсутствует или недоступен))

  2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

  3. Щелкните Интеграция приложений, щелкните Страницы для входа, а затем выберите приложение проверяющей стороны.

    На странице Интеграция страницы для входа отображаются варианты страницы входа для приложения.

На следующем рисунке показано, как выглядит страница для входа по умолчанию при настройке поставщиков удостоверений Идентификатор Windows Live ID (учетная запись Майкрософт), Google, Yahoo!, Facebook и вымышленного поставщика удостоверений WS-Federation (Contoso Corp.).

Страницы входа в систему ACS 2.0

Чтобы заменить кнопку поставщика удостоверений WS-Federation на поле с адресом электронной почты, добавьте суффиксы адресов электронной почты к ссылкам на страницы входа для поставщика удостоверений WS-Federation. Этот подход полезен, когда несколько поставщиков удостоверений WS-Federation настроено для приложения проверяющей стороны. На приведенном ниже рисунке показан пример страницы.

Страницы входа в систему ACS 2.0

Чтобы ускорить интеграцию Служба управления доступом с приложением проверяющей стороны, следует использовать стандартную страницу входа Служба управления доступом. Чтобы изменить макет и вид страницы, сохраните страницу по умолчанию в виде HTML-файла и скопируйте HTML и JavaScript в приложение для настройки.

Чтобы включить полное управление интерфейсом, поведением и расположением федеративной страницы входа, Служба управления доступом обеспечивает веб-канал метаданных, закодированных JSON, который предоставляет имена, URL-адреса входа, изображения и доменные имена электронной почты (только ) для поставщиков удостоверений. Этот канал называется каналом метаданных обнаружения домашней области.

Чтобы загрузить пример страницы для входа на HTML для каждого приложения проверяющей стороны:

  1. Перейдите на http://go.microsoft.com/fwlink/p/?LinkID=275081 (https://manage.WindowsAzure.com), выполните вход и щелкните Active Directory. (Совет по устранению неполадок. "Active Directory" item is missing or not availablehttp://go.microsoft.com/fwlink/?LinkId=320739 (Элемент "Active Directory" отсутствует или недоступен))

  2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

  3. Щелкните Интеграция приложений, щелкните Страницы для входа, а затем выберите приложение проверяющей стороны.

  4. На странице Интеграция страницы для входа щелкните Загрузить пример страницы для входа.

Пример HTML-кода будет аналогичен HTML-коду для страницы входа Служба управления доступом.

Данный пример включает функции JavaScript для отображения страницы. Тег script внизу страницы вызывает канал метаданных. Настраиваемые страницы для входа могут считывать метаданные, используя клиентский HTML и JavaScript, как показано в данном примере. Канал также может считываться и использоваться для отображения настраиваемого элемента управления для входа на любом языке, поддерживающем кодировку JSON.

Чтобы найти URL-адреса канала метаданных обнаружения домашней области для приложений проверяющей стороны:

  1. Перейдите на http://go.microsoft.com/fwlink/p/?LinkID=275081 (https://manage.WindowsAzure.com), выполните вход и щелкните Active Directory. (Совет по устранению неполадок. "Active Directory" item is missing or not availablehttp://go.microsoft.com/fwlink/?LinkId=320739 (Элемент "Active Directory" отсутствует или недоступен))

  2. Для выполнения управления пространством имен Access Control выберите пространство имен и щелкните Управление. (Или щелкните Пространства имен Access Control, выберите пространство имен, а затем щелкните Управление.)

  3. Щелкните Интеграция приложений, щелкните Страницы для входа, а затем выберите приложение проверяющей стороны.

URL-адрес указан на странице Интеграция страницы для входа для приложения в разделе Вариант 2: Размещение страницы для входа в составе приложения.

Ниже приведен пример URL-адреса канала обнаружения домашней области.

https://YourNamespace.accesscontrol.windows.net/v2/metadata/IdentityProviders.js?protocol=wsfederation&realm=YourAppRealm&reply_to=YourAppReturnURL&context=&version=1.0&callback=OptionalFunctionName

В этом URL-адресе используются следующие параметры:

  • YourNamespace — обязательный параметр. Замените его на имя пространства имен Azure.

  • protocol — обязательный параметр. Это протокол, используемый приложением проверяющей стороны для связи с Служба управления доступом. В Служба управления доступом это значение должно быть установлено как wsfederation.

  • realm — обязательный параметр. Это область, указанная для приложения проверяющей стороны на портале управления Служба управления доступом .

  • version — обязательный параметр. В Служба управления доступом это значение должно быть установлено как 1.0.

  • reply_to — необязательно. Это URL-адрес возврата, указанный для приложения проверяющей стороны на портале управления Служба управления доступом . Если этот параметр пропущен, URL-адрес возврата задается как значение по умолчанию, указанное для приложения проверяющей стороны на портале управления Служба управления доступом.

  • context — необязательно. Это дополнительный контекст, который можно передать приложению проверяющей стороны в токене. Служба управления доступом не поддерживает это содержимое.

  • callback — необязательно. В этот параметр можно занести имя функции JavaScript, которая должна запускаться при загрузке канала JSON. Строка канала JSON — это аргумент, передаваемый в эту функцию.

noteПримечание
Канал метаданных в формате JSON может быть изменен, в связи с этим рекомендуется не кэшировать его.

При запросе канала метаданных с допустимыми параметрами, описанными выше, в ответ приходит документ, содержащий массив массивов JSON, в котором каждый вложенный массив представляет поставщик удостоверений и содержит следующие поля:

  • Name — понятное отображаемое имя поставщика удостоверений.

  • LoginUrl — созданный URL-адрес запроса входа.

  • LogoutUrl — этот URL-адрес позволяет пользователям выйти из поставщика удостоверений, с помощью которого они вошли. Сейчас эта возможность поддерживается только для и Идентификатор Windows Live ID (учетная запись Майкрософт), но не поддерживается для других поставщиков.

  • ImageUrl — отображаемое изображение, настроенное на портале управления Служба управления доступом. Если изображения нет, поле пусто.

  • EmailAddressSuffixes — массив почтовых суффиксов, связанных с поставщиком удостоверений. В Служба управления доступом почтовые суффиксы можно настроить только для поставщиков удостоверений через портал управления Служба управления доступом. Возвращает пустой массив, если суффиксы не настроены.

В следующем примере показан канал JSON, если Windows Live ID и AD FS 2.0 настраиваются для приложения проверяющей стороны. Пользователь задал URL-адрес изображения для Windows Live ID на портале управления Служба управления доступом и добавил суффикс домена электронной почты для поставщика удостоверений .

noteПримечание
Мы добавили разрывы строк для упрощения чтения, а URL-адреса были упрощены для краткости.

[ {
   "Name":"Windows Live ID",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"https://...",
   "EmailAddressSuffixes":[]
},
{
   "Name":"My ADFS 2.0 Provider",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"",
   "EmailAddressSuffixes":[“contoso.com”]
} ]

См. также

Основные понятия

Компоненты ACS 2.0

Добавления сообщества

ДОБАВИТЬ
Корпорация Майкрософт проводит интернет-опрос, чтобы выяснить ваше мнение о веб-сайте MSDN. Если вы желаете принять участие в этом интернет-опросе, он будет отображен при закрытии веб-сайта MSDN.

Вы хотите принять участие?
Показ:
© 2015 Microsoft