Facebook 作為 ACS 身分識別提供者
更新日期:2015 年 6 月 19 日
適用對象:Azure
Microsoft Azure Active Directory 存取控制 (也稱為 存取控制 Service 或 ACS) 支援 Facebook 作為網站和 Web 應用程式的識別提供者。 Facebook 的 ACS 支援是使用 Facebook 圖形 API所建置,可啟用 Facebook 使用者帳戶的同盟驗證和授權。
設定必要的 Facebook 應用程式
若要在存取控制命名空間中新增 Facebook 作為識別提供者,您必須先建立 Facebook 應用程式,並提供必要的參數來與 ACS 通訊。 如需詳細資訊,請參閱 如何:將 Facebook 設定為識別提供者。
使用 ACS 管理入口網站進行設定
建立 Facebook 應用程式並想要在 存取控制 命名空間中將 Facebook 新增為識別提供者之後,您必須使用 ACS 管理入口網站指定下列設定:
顯示名稱 - 指定身分識別提供者的顯示名稱。 此名稱僅適用于 ACS 管理入口網站。
應用程式識別碼— 指定您可以從 Facebook 應用程式複製的應用程式識別碼。
應用程式密碼— 指定您可以從 Facebook Connect 應用程式複製的應用程式密碼。
應用程式許可權— 指定您想要在 Facebook 應用程式登入時向 Facebook 應用程式使用者要求的任何擴充許可權。 如需您可以要求之許可權的詳細資訊,請參閱 許可權 (https://go.microsoft.com/fwlink/?LinkID=214014) 。 預設會提供存取 Facebook 使用者的電子郵件地址的權限,而其他權限必須以逗號分隔。 一旦設定權限,信賴憑證者應用程式就可以使用簽發的 Facebook 存取權杖,利用 Facebook 圖形 API 要求其他使用者資訊。 如需詳細資訊,請參閱 支援的宣告類型中的存取權杖宣告類型。
登入連結文字 - 指定在 Web 應用程式的登入頁面上,針對 Facebook 身分識別提供者顯示的文字。 如需詳細資訊,請參閱 登入頁面和主領域探索。
影像 URL (選擇性) - 指定影像檔案的 URL (例如,您所選的標誌),您可以將之顯示為此身分識別提供者的登入連結。 此標誌會自動出現在 ACS 感知 Web 應用程式的預設登入頁面上,以及可用來轉譯自訂登入頁面的 Web 應用程式的 JSON 摘要中。 如果您沒有指定影像 URL,則此身分識別提供者的文字登入連結會顯示在您的 Web 應用程式登入頁面上。 如果您有指定影像 URL,則強烈建議必須將它指向信任的來源 (例如您自己的網站或應用程式),並使用 HTTPS 來防止瀏覽器安全性警告發生。 此外,在預設 ACS 主領域搜索頁面上,會自動調整寬度大於 240 像素、高度大於 40 像素的任何影像。
信賴憑證者應用程式 - 指定要與 Facebook 身分識別提供者建立關聯之所有現有的信賴憑證者應用程式。 如需詳細資訊,請參閱 信賴憑證者應用程式。
當身分識別提供者與信賴憑證者應用程式產生關聯後,必須產生該身分識別提供者的規則,並手動將規則新增到信賴憑證者應用程式的規則群組,才能完成設定。 如需建立規則的詳細資訊,請參閱 規則群組和規則。
支援的宣告類型
當使用者通過身分識別提供者驗證之後,他們會收到已填入身分識別宣告的權杖。 宣告是使用者的相關資訊片段,例如電子郵件地址或唯一識別碼。 ACS 可以直接傳遞這些宣告給信賴憑證者應用程式,或根據其包含的值做出授權決策。
根據預設,ACS 中的宣告類型會使用 URI 來唯一識別,以符合 SAML 權杖規格。 這些 URI 也可以用於識別使用其他權杖格式的宣告。
下表顯示 ACS for Facebook 識別提供者可用的宣告類型。
| 宣告類型 | URI | 描述 |
|---|---|---|
名稱識別碼 |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
由 Facebook 提供的使用者帳戶唯一識別碼 (uid)。 |
Name |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
由 Facebook 提供的使用者帳戶顯示名稱。 |
電子郵件地址 |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
由 Facebook 提供的使用者帳戶電子郵件地址。 請注意,只有在將「電子郵件」設定為應用程式許可權時,才會提供此宣告類型,預設為 ACS 管理入口網站中。 |
存取權杖 |
http://www.facebook.com/claims/AccessToken |
目前使用者工作階段的 Facebook OAuth 2.0 存取權杖。 此存取權杖可以用來使用圖形 API 來回呼 Facebook。 如需詳細資訊,請參閱圖形 API。 |
到期 |
https://schemas.xmlsoap.org/ws/2008/06/identity/claims/expiration |
存取權杖到期的日期和時間,以國際標準時間 (UTC) 表示。 注意 如果要求 offline_access 權限,則不會呈現此宣告類型。 |
身分識別提供者 |
https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider |
ACS 提供的宣告,告知信賴憑證者應用程式使用者已使用特定 Facebook 應用程式進行驗證。 此宣告值的格式為Facebook-Application < ID >,而實際值會透過[編輯識別提供者] 頁面上的 [領域] 欄位顯示在 ACS 管理入口網站中。 |