Facebook jako zprostředkovatel identity ACS
Aktualizováno: 19. června 2015
Platí pro: Azure
Microsoft Azure Active Directory Access Control (označované také jako služba Access Control nebo ACS) podporuje Facebook jako zprostředkovatele identity pro webové weby a webové aplikace. Podpora služby ACS pro Facebook je vytvořená pomocí Graph API Facebooku, která umožňuje federované ověřování a autorizaci uživatelských účtů Facebooku.
Konfigurace požadované aplikace Facebook
Pokud chcete přidat Facebook jako zprostředkovatele identity do oboru názvů Access Control, musíte nejprve vytvořit aplikaci Facebook a zadat ji s potřebnými parametry pro komunikaci se službou ACS. Další informace najdete v tématu Postupy: Konfigurace Facebooku jako zprostředkovatele identity.
Konfigurace pomocí portálu pro správu služby ACS
Po vytvoření aplikace Facebook a vy chcete přidat Facebook jako zprostředkovatele identity do oboru názvů Access Control, musíte pomocí portálu pro správu služby ACS zadat následující nastavení:
Zobrazovaný název – Určuje zobrazovaný název zprostředkovatele identity. Tento název se používá pouze na portálu pro správu služby ACS.
ID aplikace – Určuje ID aplikace, které můžete zkopírovat z vaší facebookové aplikace.
Tajný kód aplikace – Určuje tajný kód aplikace, který můžete zkopírovat z vaší aplikace Připojení Facebooku.
Oprávnění aplikace – Určuje všechna rozšířená oprávnění, která chcete požádat od uživatelů vaší facebookové aplikace při přihlášení. Další informace o oprávněních, která můžete požádat, najdete v tématu Oprávnění (https://go.microsoft.com/fwlink/?LinkID=214014). Oprávnění pro přístup k e-mailovým adresám uživatelů Facebooku je ve výchozím nastavení poskytováno a další oprávnění musí být oddělena čárkami. Po nakonfigurování oprávnění může aplikace předávající strany použít vydaný přístupový token Facebooku k vyžádání dalších informací o uživateli pomocí Graph API Facebooku. Další informace najdete v tématu Typ deklarace identity přístupového tokenu v podporovaných typech deklarací identity.
Text odkazu pro přihlášení – Určuje text, který se zobrazí pro zprostředkovatele identity Facebooku na přihlašovací stránce vaší webové aplikace. Další informace najdete v tématu Přihlašovací stránky a Zjišťování domovské sféry.
Adresa URL obrázku (volitelné) – Určuje adresu URL souboru obrázku (například logo podle vašeho výběru), které můžete zobrazit jako přihlašovací odkaz pro tohoto zprostředkovatele identity. Toto logo se automaticky zobrazí na výchozí přihlašovací stránce webové aplikace podporující službu ACS a také v informačním kanálu JSON vaší webové aplikace, který můžete použít k vykreslení vlastní přihlašovací stránky. Pokud nezadáte adresu URL obrázku, zobrazí se na přihlašovací stránce vaší webové aplikace textový přihlašovací odkaz pro tohoto zprostředkovatele identity. Pokud zadáte adresu URL obrázku, důrazně se doporučuje, aby odkazovala na důvěryhodný zdroj, například na vlastní web nebo aplikaci, pomocí protokolu HTTPS, aby se zabránilo upozorněním zabezpečení prohlížeče. Každý obrázek, který je větší než 240 pixelů v šířce a 40 pixelů ve výšce, se automaticky změní na výchozí stránce zjišťování domovské sféry služby ACS.
Aplikace předávající strany – Určuje všechny existující aplikace předávající strany, které chcete přidružit k zprostředkovateli identity Facebooku. Další informace naleznete v tématu Aplikace předávající strany.
Po přidružení zprostředkovatele identity k aplikaci předávající strany musí být pravidla pro tohoto zprostředkovatele identity vygenerována nebo přidána ručně do skupiny pravidel aplikace předávající strany, aby se konfigurace dokončila. Další informace o vytváření pravidel najdete v tématu Skupiny pravidel a pravidla.
Podporované typy deklarací identity
Jakmile se uživatel ověří u zprostředkovatele identity, obdrží token naplněný deklaracemi identity. Deklarace identity jsou informace o uživateli, například e-mailovou adresu nebo jedinečné ID. Služba ACS může tyto deklarace identity předat přímo do aplikace předávající strany nebo provádět rozhodnutí o autorizaci na základě hodnot, které obsahují.
Ve výchozím nastavení se typy deklarací identity v ACS jednoznačně identifikují pomocí identifikátoru URI pro dodržování specifikace tokenu SAML. Tyto identifikátory URI slouží také k identifikaci deklarací identity v jiných formátech tokenů.
V následující tabulce jsou uvedeny typy deklarací identity, které jsou k dispozici službě ACS pro zprostředkovatele identit Facebooku.
| Typ deklarace identity | Identifikátor URI | Description |
|---|---|---|
Identifikátor jména |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
Jedinečný identifikátor (uid) uživatelského účtu, který poskytuje Facebook. |
Name |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
Zobrazovaný název uživatelského účtu, který poskytuje Facebook. |
E-mailová adresa |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
E-mailová adresa uživatelského účtu, kterou poskytuje Facebook. Všimněte si, že tento typ deklarace identity je poskytován pouze v případě, že je "e-mail" nakonfigurovaný jako oprávnění aplikace, které je ve výchozím nastavení na portálu pro správu služby ACS. |
Token přístupu |
http://www.facebook.com/claims/AccessToken |
Přístupový token Facebook OAuth 2.0 pro aktuální uživatelskou relaci. Tento přístupový token lze použít k volání zpět na Facebook pomocí Graph API. Další informace najdete v tématu Graph API. |
Konec platnosti |
https://schemas.xmlsoap.org/ws/2008/06/identity/claims/expiration |
Datum a čas v koordinovaném univerzálním čase (UTC), ve kterém platnost přístupového tokenu vyprší. Poznámka Tento typ deklarace identity není k dispozici, pokud je požadováno oprávnění offline_access . |
Zprostředkovatel identity |
https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider |
Deklarace identity poskytovaná službou ACS, která říká aplikaci předávající strany, že se uživatel ověřil pomocí konkrétní facebookové aplikace. Formát této hodnoty deklarace identity je ID> facebookové< aplikace a skutečná hodnota je viditelná na portálu pro správu služby ACS prostřednictvím pole Sféra na stránce Upravit zprostředkovatele identity. |