匯出 (0) 列印
全部展開

登入頁面和主領域探索

發佈時間: 2011年4月

更新日期: 2015年3月

適用於: Azure

Microsoft Azure Active Directory 存取控制服務 (也稱為「存取控制服務」或 ACS) 提供兩種方法來產生網站或應用程式的同盟登入頁面:

ACS 管理一個可在您的信賴憑證者應用程式中使用的基本同盟登入頁面。此登入頁面是在命名空間的 WS-同盟通訊協定端點上管理,可透過下列格式的 URL 來存取。

https://<YourNamespace>.accesscontrol.windows.net/v2/wsfederation?wa=wsignin1.0&wtrealm=<YourAppRealm>&redirect=false

在 URL 中,請將 <YourNamespace> 換成您的存取控制命名空間名稱。此外,此 URL 需要下列參數:

  • wa - 設定為 wsignin1.0

  • wtrealm - 設為您的信賴憑證者應用程式的領域值。若要尋找領域值,請在 ACS 管理入口網站中按一下 [信賴憑證者應用程式],選取應用程式,然後查看 [領域] 欄位。

尋找信賴憑證者應用程式的登入頁面連結:

  1. 移至 Microsoft Azure 管理入口網站 (https://manage.WindowsAzure.com),登入後按一下 [Active Directory]。(疑難排解提示:"Active Directory" 項目遺失或無法使用)

  2. 若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。(或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。

  3. 按一下 [應用程式整合],按一下 [登入頁面],然後選取信賴憑證者應用程式。

    [登入頁面整合] 頁面會顯示應用程式的登入頁面選項。

下圖顯示支援 Windows Live ID (Microsoft 帳戶)、Google、Yahoo!、Facebook 和 "Contoso Corp" (虛構的 WS-同盟身分識別提供者) 的應用程式的預設登入頁面。

ACS 2.0 登入頁面

若要將 WS-同盟身分識別提供者按鈕取代為電子郵件地址文字方塊,請將電子郵件地址尾碼加入至 WS-同盟身分識別提供者的登入頁面的連結。當信賴憑證者應用程式設定許多 WS-同盟身分識別提供者時,此方法很有用。下圖顯示範例頁面。

ACS 2.0 登入頁面

若要促進 ACS 與信賴憑證者應用程式的整合,建議 ACS 管理的預設登入頁面。若要自訂此頁面的版面配置和外觀,可將預設登入頁面另存為 HTML 檔案,並將 HTML 和 JavaScript 複製到可自訂它的應用程式。

為了完整控制同盟登入頁面的外觀、行為和位置,ACS 為提供 JSON 編碼的中繼資料摘要,其中包含身分識別提供者的名稱、登入URL、影像和電子郵件網域名稱 (僅 )。此摘要也稱為「主領域探索中繼資料摘要」。

下載每一個信賴憑證者應用程式的 HTML 登入頁面範例:

  1. 移至 Microsoft Azure 管理入口網站 (https://manage.WindowsAzure.com),登入後按一下 [Active Directory]。(疑難排解提示:"Active Directory" 項目遺失或無法使用)

  2. 若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。(或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。

  3. 按一下 [應用程式整合],按一下 [登入頁面],然後選取信賴憑證者應用程式。

  4. 在 [登入頁面整合] 頁面上,按一下 [下載登入頁面範例]。

HTML 程式碼範例與 ACS 管理之登入頁面的 HTML 程式碼相同。

此範例包含呈現頁面的 JavaScript 函數。頁面底部的一個 Script 標記會呼叫中繼資料摘要。自訂登入頁面可利用此範例所示的用戶端 HTML 和 JavaScript 來取用中繼資料。也可以使用任何支援 JSON 編碼的語言,以取用摘要並用來呈現自訂登入控制項。

尋找信賴憑證者應用程式的主領域探索中繼資料摘要 URL:

  1. 移至 Microsoft Azure 管理入口網站 (https://manage.WindowsAzure.com),登入後按一下 [Active Directory]。(疑難排解提示:"Active Directory" 項目遺失或無法使用)

  2. 若要管理存取控制命名空間,請選取該命名空間,然後按一下 [管理]。(或按一下 [存取控制命名空間]、選取 [命名空間],然後按一下 [管理])。

  3. 按一下 [應用程式整合],按一下 [登入頁面],然後選取信賴憑證者應用程式。

URL 會出現在應用程式的 [登入頁面整合] 頁面的 [選項 2:下載登入頁面範例] 下方。

以下是主領域探索摘要 URL 範例。

https://YourNamespace.accesscontrol.windows.net/v2/metadata/IdentityProviders.js?protocol=wsfederation&realm=YourAppRealm&reply_to=YourAppReturnURL&context=&version=1.0&callback=OptionalFunctionName

此 URL 使用下列參數:

  • YourNamespace - 必要。設為 Azure 命名空間的名稱。

  • protocol - 必要。這是您的信賴憑證者應用程式用來與 ACS 進行通訊的通訊協定。在 ACS 中,此值必須設為 wsfederation

  • realm - 必要。這是您在 ACS 管理入口網站中為信賴憑證者應用程式所指定的領域。

  • version - 必要。在 ACS 中,此值必須設為 1.0。

  • reply_to - 選擇性。這是您在 ACS 管理入口網站中為信賴憑證者應用程式所指定的傳回 URL。如果省略,則會將傳回 URL 設定為您在 ACS 管理入口網站中為信賴憑證者應用程式所設定的預設值。

  • context - 選擇性。這是可傳回給權杖中信賴憑證者應用程式的任何其他內容。ACS 不會辨識這些內容。

  • callback - 選擇性。您可將此參數設定為載入 JSON 摘要時要執行之 JavaScript 函數的名稱。JSON 摘要字串是傳遞至此函數的引數。

note附註
JSON 編碼的中繼資料摘要很可能變動,因此建議不要快取它。

使用先前說明的有效參數要求中繼資料摘要時,回應是包含陣列之 JSON 編碼陣列的文件,每一個內部陣列則代表一個內含下列欄位的身分識別提供者:

  • Name - 可直接閱讀的身分識別提供者顯示名稱。

  • LoginUrl - 建構的登入要求 URL。

  • LogoutUrl - 此 URL 可讓使用者登出其登入的身分識別提供者。這目前只有 和 Windows Live ID (Microsoft 帳戶) 才支援,對其他身分識別提供者而言為空白。

  • ImageUrl - 要顯示的影像,在 ACS 管理入口網站中設定。若無影像則空白。

  • EmailAddressSuffixes - 身分識別提供者相關聯的電子郵件地址尾碼陣列。在 ACS 中,只可透過 ACS 管理入口網站,為 身分識別提供者設定電子郵件地址尾碼。若未設定尾碼,則傳回空陣列。

下列範例顯示在為信賴憑證者應用程式設定 Windows Live ID 和 AD FS 2.0 時的 JSON 摘要。使用者已在 ACS 管理入口網站中設定 Windows Live ID 的影像 URL,且已新增 身分識別提供者的電子郵件網域尾碼。

note附註
我們加入換行以方便閱讀,也將 URL 簡化得更簡短。

[ {
   "Name":"Windows Live ID",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"https://...",
   "EmailAddressSuffixes":[]
},
{
   "Name":"My ADFS 2.0 Provider",
   "LoginUrl":" https://...",
   "LogoutUrl":" https://...",
   "ImageUrl":"",
   "EmailAddressSuffixes":[“contoso.com”]
} ]

另請參閱

社群新增項目

新增
顯示:
© 2015 Microsoft