匯出 (0) 列印
全部展開

Facebook 作為 ACS 身分識別提供者

發佈時間: 2011年4月

更新日期: 2015年3月

適用於: Azure

Microsoft Azure Active Directory 存取控制服務 (也稱為「存取控制服務」或 ACS) 支援 Facebook 做為網站和 web 應用程式的身分識別提供者。Facebook 的 ACS 支援是使用 Facebook 圖形 API 建置的,可對 Facebook 使用者帳戶啟用同盟的驗證和授權。

若要新增 Facebook 做為 存取控制命名空間 中的身分識別提供者,您必須先建立 Facebook 應用程式,然後提供它搭配必要參數,與 ACS 通訊。如需詳細資訊,請參閱作法:將 Facebook 設定為身分識別提供者

一旦建立 Facebook 應用程式,而且您想要新增 Facebook 做為 存取控制命名空間 中的身分識別提供者,您必須使用 ACS 管理入口網站指定下列設定:

  • 顯示名稱 - 指定身分識別提供者的顯示名稱。這個名稱僅用於 ACS 管理入口網站。

  • 應用程式識別碼— 指定您可以從 Facebook 應用程式複製的應用程式識別碼。

  • 應用程式密碼— 指定您可以從 Facebook Connect 應用程式複製的應用程式密碼。

  • 應用程式權限— 指定您想要在 Facebook 應用程式的使用者登入時,向他們要求的任何擴充權限。如需您可以要求之權限的詳細資訊,請參閱權限 (http://go.microsoft.com/fwlink/?LinkID=214014)。預設會提供存取 Facebook 使用者的電子郵件地址的權限,而其他權限必須以逗號分隔。一旦設定權限,信賴憑證者應用程式就可以使用簽發的 Facebook 存取權杖,利用 Facebook 圖形 API 要求其他使用者資訊。如需詳細資訊,請參閱Supported claim types中的存取權杖宣告類型。

  • 登入連結文字 - 指定在 Web 應用程式的登入頁面上,針對 Facebook 身分識別提供者顯示的文字。如需詳細資訊,請參閱登入頁面和主領域探索

  • 影像 URL (選擇性) - 指定影像檔案的 URL (例如,您所選的標誌),您可以將之顯示為此身分識別提供者的登入連結。這個標誌會自動出現在您的 ACS 感知 Web 應用程式的預設登入頁面上,也會顯示在您 Web 應用程式的 JSON 摘要中 (您可以用它來提供自訂的登入頁面)。如果您沒有指定影像 URL,則此身分識別提供者的文字登入連結會顯示在您的 Web 應用程式登入頁面上。如果您有指定影像 URL,則強烈建議必須將它指向信任的來源 (例如您自己的網站或應用程式),並使用 HTTPS 來防止瀏覽器安全性警告發生。此外,在預設 ACS 主領域搜索頁面上,會自動調整寬度大於 240 像素、高度大於 40 像素的任何影像。若要下載要與 Facebook Connect 應用程式搭配使用的 Facebook"f"標誌,請參閱品牌權限中心的標誌與商標 (http://go.microsoft.com/fwlink/?LinkID=214015)。

  • 信賴憑證者應用程式 - 指定要與 Facebook 身分識別提供者建立關聯之所有現有的信賴憑證者應用程式。如需詳細資訊,請參閱信賴憑證者應用程式

當身分識別提供者與信賴憑證者應用程式產生關聯後,必須產生該身分識別提供者的規則,並手動將規則新增到信賴憑證者應用程式的規則群組,才能完成設定。如需有關建立規則的詳細資訊,請參閱<規則群組和規則>。

當使用者通過身分識別提供者驗證之後,他們會收到已填入身分識別宣告的權杖。宣告是關於使用者的任何資訊,例如電子郵件位址或唯一 ID。ACS 可以將這些宣告直接傳遞到信賴憑證者應用程式或根據它們包含的值做出授權決定。

預設會使用符合 SAML 權杖規格的 URI 來唯一識別 ACS 中的宣告類型。這些 URI 也可以用於識別使用其他權杖格式的宣告。

下表顯示 Facebook 身分識別提供者的 ACS 可用宣告類型。

 

宣告類型 URI 描述

名稱識別碼

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

由 Facebook 提供的使用者帳戶唯一識別碼 (uid)。

名稱

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

由 Facebook 提供的使用者帳戶顯示名稱。

電子郵件地址

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

由 Facebook 提供的使用者帳戶電子郵件地址。請注意,只在「電子郵件」設定為應用程式權限時,才會提供這種宣告類型,其預設位置為 ACS 管理入口網站。

存取權杖

http://www.facebook.com/claims/AccessToken

目前使用者工作階段的 Facebook OAuth 2.0 存取權杖。此存取權杖可以用來使用圖形 API 來回呼 Facebook。如需詳細資訊,請參閱圖形 API

到期

http://schemas.xmlsoap.org/ws/2008/06/identity/claims/expiration

存取權杖到期的日期和時間,以國際標準時間 (UTC) 表示。

note附註
如果要求 offline_access 權限,則不會呈現此宣告類型。

身分識別提供者

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

ACS 提供的宣告,會告訴信賴憑證者應用程式使用者是使用特定 Facebook 應用程式進行驗證。此宣告值的格式為 Facebook-<應用程式識別碼>,並且可在 ACS 管理入口網站透過 [編輯身分識別提供者] 頁面上的 [領域] 欄位看見實際值。

另請參閱

社群新增項目

新增
顯示:
© 2015 Microsoft