Časté otázky k používání OpenID Connect v Power Pages
Tento článek obsahuje informace o běžných scénářích Power Pages a odpovědi na nejčastější dotazy týkající se použití poskytovatele ověřování, který odpovídá Specifikacím OpenID Connect.
Potřebuji k integraci s Power Pages dokument OpenId Connect s automatickým zjišťováním?
K integraci s Power Pages je vyžadován dokument s automatickým zjišťováním nebo dokument metadat OpenID Connect (označovaný také jako /.well-known/openid-configuration). Power Pages používá informace v tomto dokumentu k vytvoření požadavků na autorizaci a ověření tokenů ověřování.
Pokud váš poskytovatel identity tento dokument automatického zjišťování neposkytuje, můžete si ho vytvořit ručně a hostovat na jakémkoli veřejném místě, včetně svého webu.
Poznámka:
Podobně jako v dokumentu zjišťování Power Pages také vyžadují, aby poskytovatel identity poskytl veřejný koncový bod URI JWKS, kde jsou k dispozici veřejné klíče k ověření podpisu ID tokenu. Tento koncový bod je třeba v dokumentu zjišťování zadat jako klíč jwks_uri.
Podporují Power Pages parametry požadavku acr_values v požadavcích na ověření?
Power Pages nepodporuje parametry požadavku acr_values v požadavcích na ověření. Ověření Power Pages však podporuje všechny požadované doporučené parametry požadavků definované ve specifikaci OpenId Connect. Podporované jsou také následující volitelné parametry:
- Response_mode
- Nonce
- UI_Locales
Podporuje Power Pages vlastní parametry rozsahu v požadavcích na ověření?
Vlastní parametry rozsahu lze určit pomocí nastavení Rozsah v konfiguraci poskytovatele.
Proč je uživatelské jméno v kontaktu nebo externí záznam identity v Dataverse odlišné od toho, co uživatel zadal na přihlašovací stránce?
Pole uživatelského jména v záznamu kontaktu a externí záznam totožnosti zobrazuje hodnotu odeslanou buď v dílčí deklaraci identity nebo v deklaraci identity ID (OID) pro poskytovatele na základě Microsoft Entra. Důvodem je, že dílčí deklarace identity představuje identifikátor uživatele a je zaručena poskytovatelem identity jako jedinečná. Deklarace identity OID, kde ID objektu je jedinečným identifikátorem pro všechny uživatele v tenantovi, je podporována při použití s poskytovatelem Microsoft Entra na základě s jedním tenantem.
Podporuje Power Pages odhlášení od poskytovatele založeného na OpenId Connect?
Ověřování Power Pages podporuje techniku odhlášení z předního kanálu pro odhlášení z obou aplikací a poskytovatelů založených na OpenIdConnect.
Podporuje Power Pages jednotné odhlašování?
Power Pages nepodporuje techniku jednotného odhlašování pro poskytovatele založené na OpenID Connect.
Vyžaduje Power Pages nějakou konkrétní deklaraci identity v ID tokenu?
Power Pages vyžaduje nárok, který představuje e-mailovou adresu uživatele v tokenu ID. Tato deklarace identity musí být pojmenována email, emails nebo upn. Tyto deklarace identity jsou zpracovávány v následujícím pořadí, které je nastaveno jako Primární e-mailová adresa záznamu kontaktu v Dataverse:
- e-maily
- upn
Pokud se používá, "emailclaimsmapping" se také používá k vyhledání existujícího kontaktu (pole Primární e-mailová adresa v Dataverse).
Mohu získat přístup k tokenům (ID nebo přístup) pomocí JavaScriptu?
Token ID poskytovaný poskytovatelem identity není zpřístupněn pomoci JavaScript ani prostřednictvím žádné standardní techniky na straně klienta. Používá se pouze pro ověřování. Pokud však používáte tok implicitního udělení oprávnění, můžete k získání přístupu k ID nebo přístupovým tokenům použít metody poskytované vaším poskytovatelem identity. Například Microsoft Entra ID poskytuje Knihovnu Microsoft Authentication pro tento scénář.
Mohu použít vlastního poskytovatele OpenId Connect místo Microsoft Entra ID?
Power Pages podporuje libovolného poskytovatele identity, který dodržuje standardní specifikaci OpenID Connect.