Zjišťování přihlašovacích stránek a domovské sféry
Aktualizováno: 19. června 2015
Platí pro: Azure
Microsoft Azure Active Directory Access Control (označované také jako služba Access Control nebo služba ACS) nabízí dva jednoduché způsoby generování federované přihlašovací stránky pro web nebo aplikaci:
Možnost 1: ACS-Hosted přihlašovací stránku
Služba ACS hostuje základní federovanou přihlašovací stránku, kterou je možné použít v aplikaci předávající strany. Tato přihlašovací stránka je hostovaná v koncovém bodu protokolu WS-Federation pro váš obor názvů a je přístupná adresou URL s následujícím formátem.
https://<YourNamespace>.accesscontrol.windows.net/v2/wsfederation?wa=wsignin1.0&wtrealm=<YourAppRealm>&redirect=false
V této adrese URL nahraďte <YourNamespace> názvem vašeho oboru názvů Access Control. Tato adresa URL navíc vyžaduje následující parametry:
wa – Nastavit na wsignin1.0
wtrealm – Nastavte hodnotu sféry pro vaši aplikaci předávající strany. Pokud chcete najít hodnotu sféry, klikněte na portálu pro správu služby ACS na aplikace předávající strany, vyberte aplikaci a podívejte se na pole Sféra .
Vyhledání odkazů na přihlašovací stránku pro aplikace předávající strany:
Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)
Pokud chcete spravovat Access Control obor názvů, vyberte obor názvů a klikněte na Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)
Klikněte na Integraci aplikace, klikněte na Přihlašovací stránky a pak vyberte aplikaci předávající strany.
Na stránce Integrace přihlašovací stránky se zobrazí možnosti přihlašovací stránky aplikace.
Následující obrázek ukazuje výchozí přihlašovací stránku aplikace, která podporuje Windows Live ID (účet Microsoft), Google, Yahoo!, Facebook a "Contoso Corp", fiktivní WS-Federation zprostředkovatele identity.
.gif "ACS 2.0 login pages")
Pokud chcete nahradit tlačítko WS-Federation identifikovat zprostředkovatele textovým polem e-mailové adresy, přidejte přípony e-mailových adres na odkazy na přihlašovací stránku pro poskytovatele identity WS-Federation. Tento přístup je užitečný, když je pro vaši aplikaci předávající strany nakonfigurováno mnoho zprostředkovatelů identity WS-Federation. Následující obrázek ukazuje ukázkovou stránku.
.gif "ACS 2.0 login pages")
Pokud chcete urychlit integraci služby ACS s aplikací předávající strany, použijte výchozí přihlašovací stránku hostovanou službou ACS. Pokud chcete přizpůsobit rozložení a vzhled této stránky, uložte výchozí přihlašovací stránku jako soubor HTML a zkopírujte kód HTML a JavaScript do aplikace, kde ji můžete přizpůsobit.
Možnost 2: Hostování vlastní přihlašovací stránky jako součást vaší aplikace
Pokud chcete povolit úplnou kontrolu nad vzhledem, chováním a umístěním federované přihlašovací stránky, poskytuje služba ACS informační kanál metadat kódovaných ve formátu JSON s názvy, přihlašovacími adresami URL, obrázky a názvy e-mailových domén (jenom) vašich zprostředkovatelů identity. Tento informační kanál se označuje jako informační kanál metadat zjišťování domovské sféry.
Ukázková vlastní přihlašovací stránka
Stažení ukázkové přihlašovací stránky HTML pro jednotlivé aplikace předávající strany:
Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)
Pokud chcete spravovat Access Control obor názvů, vyberte obor názvů a klikněte na Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)
Klikněte na Integraci aplikace, klikněte na Přihlašovací stránky a pak vyberte aplikaci předávající strany.
Na stránce Integrace přihlašovací stránky klikněte na možnost Stáhnout ukázkovou přihlašovací stránku.
Ukázkový kód HTML je stejný jako kód HTML pro přihlašovací stránku hostované službou ACS.
Tato ukázka obsahuje javascriptové funkce pro vykreslení stránky. Značka skriptu v dolní části stránky volá informační kanál metadat. Vlastní přihlašovací stránky můžou využívat metadata pomocí čistého kódu HTML na straně klienta a JavaScriptu, jak je znázorněno v tomto příkladu. Informační kanál lze také využívat a použít k vykreslení vlastního ovládacího prvku přihlášení v libovolném jazyce, který podporuje kódování JSON.
Informační kanál metadat zjišťování domovské sféry
Vyhledání adres URL informačních kanálů pro zjišťování domovské sféry pro aplikace předávající strany:
Přejděte na portál pro správu Microsoft Azure (https://manage.WindowsAzure.com), přihlaste se a klikněte na Active Directory. (Tip pro řešení potíží: Položka Active Directory chybí nebo není k dispozici)
Pokud chcete spravovat Access Control obor názvů, vyberte obor názvů a klikněte na Spravovat. (Nebo klikněte na Access Control Obory názvů, vyberte obor názvů a potom klikněte na Spravovat.)
Klikněte na Integraci aplikace, klikněte na Přihlašovací stránky a pak vyberte aplikaci předávající strany.
Adresa URL se zobrazí na stránce Integrace přihlašovací stránky pro aplikaci v části Možnost 2: Hostování přihlašovací stránky jako součást vaší aplikace.
Následuje ukázka adresy URL informačního kanálu pro zjišťování domovské sféry.
https://YourNamespace.accesscontrol.windows.net/v2/metadata/IdentityProviders.js?protocol=wsfederation&realm=YourAppRealm&reply_to=YourAppReturnURL&context=&version=1.0&callback=OptionalFunctionName
Tato adresa URL používá následující parametry:
YourNamespace – povinné. Nastavte název oboru názvů Azure.
protokol – Povinné. Jedná se o protokol, který aplikace předávající strany používá ke komunikaci se službou ACS. V ACS musí být tato hodnota nastavena na wsfederation.
sféra – povinné. Jedná se o sféru, kterou jste zadali pro aplikaci předávající strany na portálu pro správu služby ACS.
verze – Povinné. V ACS musí být tato hodnota nastavena na 1.0.
reply_to – volitelné. Toto je návratová adresa URL, kterou jste zadali pro aplikaci předávající strany na portálu pro správu služby ACS. Pokud je tato hodnota vynechána, je hodnota návratové adresy URL nastavená na výchozí hodnotu nakonfigurovanou pro aplikaci předávající strany na portálu pro správu služby ACS.
kontext – nepovinný. Jedná se o jakýkoli další kontext, který lze předat zpět aplikaci předávající strany v tokenu. Služba ACS tento obsah nerozpozná.
zpětné volání – volitelné. Tento parametr můžete nastavit na název funkce JavaScriptu, kterou chcete spustit při načtení informačního kanálu JSON. Řetězec informačního kanálu JSON je argument, který je předán této funkci.
Poznámka
Informační kanál metadat s kódováním JSON může být předmětem změny, proto se doporučuje, abyste ho neupamovali do mezipaměti.
Formát dat informačního kanálu JSON
Pokud je informační kanál metadat požadován s platnými parametry, jak bylo popsáno dříve, je odpověď dokument obsahující pole pole s kódováním JSON, přičemž každé interní pole představující zprostředkovatele identity s následujícími poli:
Název – zobrazovaný název pro zprostředkovatele identity čitelný pro člověka.
LoginUrl – sestavená adresa URL žádosti o přihlášení.
LogoutUrl – Tato adresa URL umožňuje koncovým uživatelům odhlásit se od zprostředkovatele identity, se kterým se přihlásili. Tato funkce je aktuálně podporovaná jenom pro a Windows Live ID (účet Microsoft) a je prázdná pro jiné zprostředkovatele identity.
ImageUrl – obrázek, který se má zobrazit, jak je nakonfigurované na portálu pro správu služby ACS. Prázdné, pokud neexistuje žádný obrázek.
EmailAddressSuffixes – pole přípon e-mailových adres přidružených k zprostředkovateli identity. V ACS je možné přípony e-mailových adres nakonfigurovat jenom pro zprostředkovatele identit prostřednictvím portálu pro správu služby ACS. Vrátí prázdné pole, pokud nejsou nakonfigurované žádné přípony.
Následující příklad ukazuje informační kanál JSON, když Windows Live ID a AD FS 2.0 jsou nakonfigurovány pro aplikaci předávající strany. Uživatel nastavil adresu URL obrázku pro Windows Live ID na portálu pro správu služby ACS a přidal příponu e-mailové domény pro zprostředkovatele identity.
Poznámka
Přidali jsme konce řádků pro čitelnost a adresy URL jsme zjednodušili pro stručnost.
[ {
"Name":"Windows Live ID",
"LoginUrl":" https://...",
"LogoutUrl":" https://...",
"ImageUrl":"https://...",
"EmailAddressSuffixes":[]
},
{
"Name":"My ADFS 2.0 Provider",
"LoginUrl":" https://...",
"LogoutUrl":" https://...",
"ImageUrl":"",
"EmailAddressSuffixes":[“contoso.com”]
} ]