Del via


Konfigurere en OpenID Connect-udbyder

OpenID Connect-identitetsudbydere er tjenester, der overholder OpenID Connect-specifikationen. I OpenID Connect introduceres begrebet et id-token. Et ID-token er et sikkerhedstoken, der gør det muligt for klienten at bekræfte brugerens identitet. Det henter også grundlæggende profiloplysninger om brugerne, også kaldet krav.

OpenID Connect-udbydere Azure AD B2C, Microsoft Entra ID og Microsoft Entra ID med flere lejere indbygget i Power Pages. I denne artikel forklares, hvordan du kan føje andre OpenID Connect-identitetsudbydere til webstedet Power Pages.

Understøttede og ikke-understøttede godkendelsesflows i Power Pages

  • Implicit tildeling
    • Dette flow er den standardgodkendelsesmetode, der bruges af Power Pages-websteder.
  • Godkendelseskode
    • Power Pages bruger client_secret_post som metode til at kommunikere med token-slutpunkt på identitetsserveren.
    • Brug af private_key_jwt-metoden til godkendelse med token slutpunkt understøttes ikke.
  • Hybrid (begrænset understøttelse)
    • Power Pages kræver, at id_token skal være til stede i svaret, så response_type = code token ikke understøttes.
    • Det hybride flow i Power Pages følger samme flow som implicit tildeling og bruger id_token til at logge brugerne direkte på.
  • Korrekturnøgle til kode exchange (PKCE)
    • PKCE-baserede teknikker til godkendelse af brugere understøttes ikke.

Bemærk

Det kan tage et par minutter, før ændringer i godkendelsesindstillingerne afspejles på dit websted. Genstart webstedet i Administration for at se ændringerne med det samme.

Konfigurere OpenID Connect-udbyderen i Power Pages

  1. Vælg Sikkerhed>Identitetsudbydere på Power Pages-webstedet.

    Hvis der ikke vises identitetsudbydere, skal du kontrollere, at Eksternt logon er angivet til Til i de generelle godkendelsesindstillinger for dit websted.

  2. Vælg + Ny udbyder.

  3. Under Vælg logon-udbyder skal du vælge Anden.

  4. Under Protokol skal du vælge OpenID Connect.

  5. Angiv et navn til udbyderen.

    Udbydernavnet vises på logonsiden for brugere som tekst på en knap, når de vælger denne identitetsudbyder.

  6. Vælg Næste.

  7. Vælg Kopiér under URL-adresse til svar.

    Luk ikke fanen Power Pages i browseren. Den vender du snart tilbage til.

Oprette en apptilmelding hos identitetsudbyderen

  1. Opret og registrer et program hos din identitetsudbyder ved hjælp af den url-adresse til svar , du har kopieret.

  2. Kopiér programmet eller klient-id'et og klientens hemmelighed.

  3. Find programmets slutpunkter, og kopiér URL-adressen til OpenID Connect-metadata.

  4. Rediger andre indstillinger efter behov for din identitetsudbyder.

Angive indstillinger for websted i Power Pages

Vend tilbage til siden Power Pages Konfigurer identitetsudbyder, du har forladt tidligere, og angiv følgende værdier. Du kan også ændre de ekstra indstillinger efter behov. Vælg Bekræft, når du er færdig.

  • Myndighed: Angiv webadressen til myndigheden i følgende format: https://login.microsoftonline.com/<Directory (tenant) ID>/, hvor <mappe-id (lejer-id)> er mappe-id (lejer-id) for det program, du har oprettet. Hvis Katalog-id (lejer) i Azure-portalen f.eks. er aaaabbbb-0000-cccc-1111-dddd2222eeee, er URL-adressen til myndigheden https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • Klient-id​: Indsæt det program- eller klient-id for programmet, du har oprettet.

  • Omdirigerings-URL: Hvis webstedet har et brugerdefineret domænenavn, skal du angive den brugerdefinerede URL-adresse. Ellers skal du lade standardværdien være. Sørg for, at værdien er præcis den samme som URI'et til redirect for det program, du har oprettet.

  • Adresse på metadata: Indsæt den URL-adresse til OpenID Connect-metadata, du har kopieret.

  • Omfang:Angiv en liste adskilt med mellemrum over omfang til anmodninger via OpenID Connect-parameteren scope. Standardværdien er openid.

    Værdien openid er obligatorisk. Få mere at vide om andre krav, du kan tilføje.

  • Svartype: Angiv værdien for OpenID Connect-parameteren response_type. Mulige værdier code, code id_token, id_token, id_token token og code id_token token. Standardværdien er code id_token.

  • Klienthemmelighed: Indsæt klienthemmeligheden fra udbyderprogrammet. Den kaldes også en apphemmelighed eller forbrugerhemmelighed. Denne indstilling er obligatorisk, hvis svartypen er code.

  • Svartilstand: Angiv værdien for OpenID Connect-parameteren response_mode. Værdien skal være query, hvis den valgte svartype er code. Standardværdien er form_post.

  • Eksternt logout: Denne indstilling styrer, om webstedet bruger logout via organisationsnetværk. Når brugere logger af et program eller websted med logout via organisationsnetværket, logges de også af alle programmer og websteder, der bruger samme identitetsudbyder. Aktiver det til omdiriger brugerne til samlet logout, når de logger af dit websted. Slå det fra til at logge brugere ud af dit websted.

  • Omdiriger URL-adresse efter logout: Angiv den URL, som identitetsudbyderen skal omdirigere en bruger til efter ekstern logout. Denne placering skal også indstilles korrekt i konfigurationen af identitetsudbyderen.

  • RP-startet logout: Denne indstilling styrer, om Relying Party – OpenID Connect-klientprogrammet – kan logge brugere af. Hvis du vil bruge denne indstilling, skal du aktivere Eksternt logout.

Yderligere indstillinger i Power Pages

De ekstra indstillinger giver dig en finere kontrol over, hvordan brugere godkender med OpenID Connect-identitetsudbyderen. Du behøver ikke at angive nogen af disse værdier. De er helt valgfrie.

  • Udstederfilter: Angiv et jokertegnbaseret filter, der matcher alle udstedere på tværs af alle lejere, f.eks. https://sts.windows.net/*/. Hvis du bruger en Microsoft Entra-id-godkendelsesudbyder, kan URL-filteret være https://login.microsoftonline.com/*/v2.0/.

  • Valider målgruppe: Slå denne indstilling til for at validere målgruppe under tokenvalidering.

  • Gyldige målgrupper: Angiv en kommasepareret liste over målgruppens URL-adresser.

  • Valider udstedere: Slå denne indstilling til for at validere udstederen under tokenvalidering.

  • Gyldige udstedere: Angiv en kommasepareret liste over udsteders URL-adresser.

  • Tilknytning af registreringskrav​ og Tilknytning af logonkrav: I brugergodkendelse er et krav oplysninger, der beskriver en brugers identitet, f.eks. en mailadresse eller fødselsdato. Når du logger på et program eller et websted, oprettes der et token. Et token indeholder oplysninger om din identitet, herunder eventuelle krav, der er knyttet til den. Tokens bruges til at godkende din identitet, når du får adgang til andre dele af programmet eller webstedet eller andre programmer og websteder, der har forbindelse til den samme identitetsudbyder. Kravstilknytning er en måde at ændre de oplysninger, der findes i et token. Det kan bruges til at tilpasse de oplysninger, der er tilgængelige for programmet eller webstedet, og til at styre adgangen til funktioner eller data. Tilknytning af registreringskrav ændrer de krav, der udsendes, når du tilmelder dig et program eller et websted. Tilknytning af logonkrav ændrer de krav, der udsendes, når du logger på et program eller et websted. Få mere at vide om politikker for kravstilknytning.

  • Nonce-levetid: Angiv nonce-værdiens levetid i minutter. Standardværdien er 10 minutter.

  • Brug tokenlevetid: Denne indstilling kontrollerer, om levetiden for godkendelsessessionen (f.eks. cookies) skal matche den i godkendelsestokenet. Hvis denne værdi aktiveres, vil den tilsidesætte værdien af Tidsinterval for udløb af applikationscookie i webstedsindstillingen Authentication/ApplicationCookie/ExpireTimeSpan.

  • Kontakttilknytning med mail: Angiver, om kontakter er knyttet til en tilsvarende mailadresse, når de logger på.

    • Til: Knytter en entydig kontaktpersonpost til en matchende mailadresse og tildeler automatisk den eksterne identitetsudbyder til kontaktpersonen, efter at brugeren har logget på.
    • Fra

Bemærk

UI_Locales sendes nu automatisk i godkendelsesanmodningen, og den angives til det sprog, der er valgt på portalen.

Se også

Konfigurere en OpenID Connect-udbyder med Azure Active Directory (Azure AD) B2C
Konfigurere en OpenID Connect-udbyder med Microsoft Entra ID
Ofte stillede spørgsmål om OpenID Connect