Facebook como um provedor de identidade do ACS
Atualizado: 19 de junho de 2015
Aplica-se ao Azure
Microsoft Azure Active Directory Controle de Acesso (também conhecido como serviço de Controle de Acesso ou ACS) dá suporte ao Facebook como um provedor de identidade para sites e aplicativos Web. O suporte do ACS para o Facebook é criado usando a API do Graph do Facebook, que permite a autenticação federada e a autorização para contas de usuário do Facebook.
Configurando um pré-requisito de aplicativo para Facebook
Para adicionar o Facebook como um provedor de identidade em seu namespace Controle de Acesso, primeiro você deve criar um aplicativo do Facebook e fornecê-lo com os parâmetros necessários para se comunicar com o ACS. Para obter mais informações, consulte Como configurar o Facebook como um provedor de identidade.
Configurando com o Portal de Gerenciamento ACS
Depois que seu aplicativo do Facebook for criado e você quiser adicionar o Facebook como um provedor de identidade no namespace Controle de Acesso, especifique as seguintes configurações usando o Portal de Gerenciamento do ACS:
Nome de exibição – especifica o nome de exibição do seu provedor de identidade. Esse nome é usado somente no Portal de Gerenciamento do ACS.
ID do aplicativo – especifica a ID do aplicativo que você pode copiar de seu aplicativo do Facebook.
Segredo do aplicativo – especifica o segredo do aplicativo que você pode copiar de seu aplicativo do Facebook Connect.
Permissões de aplicativo — especifica todas as permissões estendidas que você deseja solicitar dos usuários do seu aplicativo do Facebook quando eles fazem logon. Para obter mais informações sobre as permissões que você pode solicitar, consulte Permissões (https://go.microsoft.com/fwlink/?LinkID=214014). A permissão para acessar os endereços de email dos usuários do Facebook é fornecida por padrão e as permissões adicionais devem ser delimitadas por vírgulas. Depois que as permissões forem configuradas, o aplicativo de terceira parte confiável pode usar o token de acesso do Facebook emitido para solicitar as informações de usuário adicionais usando a API de gráficos do Facebook. Para obter mais informações, consulte o tipo de declaração do Token de Acesso em tipos de declaração com suporte.
Texto do link de logon – especifica o texto que será exibido para o provedor de identidade do Facebook na página de logon do aplicativo Web. Para obter mais informações, consulte Páginas de Logon e Descoberta de Realm Inicial.
URL da imagem (opcional) – especifica uma URL para um arquivo de imagem (por exemplo, um logo da sua escolha) que você possa exibir como o link de logon para este provedor de identidade. Esse logotipo aparece automaticamente na página de logon padrão do aplicativo Web com reconhecimento acs, bem como no feed JSON do aplicativo Web que você pode usar para renderizar uma página de logon personalizada. Se você não especificar a URL de uma imagem, um link de logon de texto desse provedor de identidade será exibido na página de logon de seu aplicativo Web. Se você especificar a URL de uma imagem, é altamente recomendável que ela aponte para uma fonte confiável. Por exemplo, seu próprio aplicativo ou site da Web, usando HTTPS para evitar avisos de segurança do navegador. Além disso, qualquer imagem com mais de 240 pixels de largura e 40 pixels de altura é automaticamente redimensionada na página Descoberta de realm inicial padrão do ACS.
Aplicativo de terceira parte confiável – especifica todos os aplicativos de terceira parte confiável existentes que você queira associar ao provedor de identidade do Facebook. Para obter mais informações, consulte Aplicativos de Terceira Parte Confiável.
Após a associação do provedor de identidade a um aplicativo de terceira parte confiável, regras para esse provedor de identidade devem ser geradas ou adicionadas manualmente em um grupo de regras do aplicativo de terceira parte confiável para concluir a configuração. Para obter mais informações sobre como criar regras, consulte Grupos de Regras e Regras.
Tipos de declaração com suporte
Depois da autenticação do usuário com um provedor de identidade, o usuário recebe um token com declarações de identidade. As declarações são informações sobre o usuário, como um endereço de email ou uma ID exclusiva. O ACS pode passar essas declarações diretamente para o aplicativo de terceira parte confiável ou tomar decisões de autorização com base nos valores que elas contêm.
Por padrão, os tipos de declaração no ACS são identificados exclusivamente usando um URI para conformidade com a especificação do token SAML. Esses URIs também são usados para identificar declarações em outros formatos de token.
A tabela a seguir mostra os tipos de declaração que estão disponíveis para o ACS para provedores de identidade do Facebook.
| Tipo de declaração | URI | Descrição |
|---|---|---|
Identificador do Nome |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
Identificador exclusivo (uid) da conta de usuário fornecido pelo Facebook. |
Nome |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/name |
Nome para exibição da conta de usuário fornecido pelo Facebook. |
Endereço de Email |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Endereço de email da conta de usuário fornecido pelo Facebook. Observe que esse tipo de declaração só será fornecido se "email" estiver configurado como uma permissão de aplicativo, que é por padrão no Portal de Gerenciamento do ACS. |
Token de acesso |
http://www.facebook.com/claims/AccessToken |
O token de acesso OAuth 2.0 do Facebook para a sessão atual do usuário. Esse token de acesso pode ser usado para fazer chamadas para o Facebook usando a Graph API. Para obter mais informações, consulte API do Graph. |
Expiração |
https://schemas.xmlsoap.org/ws/2008/06/identity/claims/expiration |
A data e hora em UTC (Tempo Universal Coordenado) em que o token de acesso expira. Observação Esse tipo de declaração não estará presente se a permissão offline_access for solicitada. |
Provedor de identidade |
https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider |
Uma declaração fornecida pelo ACS que informa ao aplicativo de terceira parte confiável que o usuário autenticou usando um aplicativo específico do Facebook. O formato desse valor de declaração é Facebook-Application< ID> e o valor real fica visível no Portal de Gerenciamento do ACS por meio do campo Realm na página Editar Provedor de Identidade. |