Konfigurere en OpenID Connect-udbyder med Microsoft Entra ID
Microsoft Entra er en af de OpenID Connect-identitetsudbydere, du kan bruge til at godkende besøgende på Power Pages-webstedet. Sammen med Microsoft Entra ID, multi-lejer Microsoft Entra ID og Azure AD B2C kan du bruge en hvilken som helst anden udbyder, der bekræfter Open ID Connect-specifikation.
Denne artikel beskriver følgende trin:
- Konfigurere Microsoft Entra i Power Pages
- Oprette en appregistrering i Azure
- Angive indstillinger for websted i Power Pages
- Tillad godkendelse med flere Microsoft Entra-lejere
Bemærk
Det kan tage et par minutter, før ændringer i godkendelsesindstillingerne afspejles på dit websted. Genstart webstedet i Administration for at se ændringerne med det samme.
Konfigurere Microsoft Entra i Power Pages
Konfigurere Microsoft Entra som identitetsudbyder for dit websted.
Vælg Sikkerhed>Identitetsudbydere på Power Pages-webstedet.
Hvis der ikke vises identitetsudbydere, skal du kontrollere, at Eksternt logon er angivet til Til i de generelle godkendelsesindstillinger for dit websted.
Vælg + Ny udbyder.
Under Vælg logon-udbyder skal du vælge Anden.
Under Protokol skal du vælge OpenID Connect.
Angiv et navn til udbyderen, f.eks. Microsoft Entra ID..
Udbydernavnet vises på logonsiden for brugere som tekst på en knap, når de vælger denne identitetsudbyder.
Vælg Næste.
Vælg Kopiér under URL-adresse til svar.
Luk ikke fanen Power Pages i browseren. Den vender du snart tilbage til.
Oprette en appregistrering i Azure
Opret en apptilmelding på Azure-portalen med webadressen til dit websteds svar som omdirigerings-URI.
Log på Azure-portalen.
Søg efter og vælg Azure Active Directory.
Vælg Appregistreringer under Administrer.
Vælg Ny registrering.
Angiv et navn.
Vælg en af de understøttede kontotyper, der bedst afspejler organisationens behov.
Vælg Web som platform under Omdirigerings-URI, og angiv derefter URL-adressen til svaret for webstedet.
- Hvis du bruger webstedets standard-URL-adresse, skal du indsætte den URL-adresse til svar, du har kopieret.
- Hvis du bruger et brugerdefineret domænenavn, skal du angive den brugerdefinerede URL-adresse. Sørg for at bruge den samme brugerdefinerede URL-adresse til omdirigerings-URI i indstillingerne for identitetsudbyderen på webstedet.
Vælg Registrer.
Kopiér Program-id (klient).
Vælg Tilføj et certifikat eller en hemmelighed til højre for Klientlegitimationsoplysninger.
Vælg + Ny klienthemmelighed.
Angiv en valgfri beskrivelse, vælg et udløb, og vælg derefter Tilføj.
Vælg ikonet Kopiér til Udklipsholder under Hemmeligheds-id.
Vælg Slutpunkter øverst på siden.
Find programmets slutpunkter, og kopiér URL-adressen til OpenID Connect-metadata.
Vælg Godkendelse under Administrer i venstre panel.
Vælg ID-tokens (bruges til implicitte og hybride flows) under Implicit tildeling.
Vælg Gem.
Angive indstillinger for websted i Power Pages
Vend tilbage til siden Power Pages Konfigurer identitetsudbyder, du har forladt tidligere, og angiv følgende værdier. Du kan også ændre de ekstra indstillinger efter behov. Vælg Bekræft, når du er færdig.
Myndighed: Angiv webadressen til myndigheden i følgende format:
https://login.microsoftonline.com/<Directory (tenant) ID>/
, hvor <mappe-id (lejer-id)> er mappe-id (lejer-id) for det program, du har oprettet. Hvis Katalog-id (lejer) i Azure-portalen f.eks. eraaaabbbb-0000-cccc-1111-dddd2222eeee
, er URL-adressen til myndighedenhttps://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/
.Klient-id: Indsæt det program- eller klient-id for programmet, du har oprettet.
Omdirigerings-URL: Hvis webstedet har et brugerdefineret domænenavn, skal du angive den brugerdefinerede URL-adresse. Ellers skal du lade standardværdien være. Sørg for, at værdien er præcis den samme som URI'et til redirect for det program, du har oprettet.
Adresse på metadata: Indsæt den URL-adresse til OpenID Connect-metadata, du har kopieret.
Omfang: Angiv
openid email
.Værdien
openid
er obligatorisk.email
-værdien er valgfri, og hvis du angiver den i omfanget, sikres det, at portalbrugerens mailadresse (kontaktpost) er udfyldt, og den vises på Profil-siden, når brugeren er logget på. Få mere at vide om andre krav, du kan tilføje.Svartype: Vælg
code id_token
.Klienthemmelighed: Indsæt den klienthemmelighed fra programmet , du har oprettet. Denne indstilling er obligatorisk, hvis svartypen er
code
.Svartype: Vælg
form_post
.Eksternt logout: Denne indstilling styrer, om webstedet bruger logout via organisationsnetværk. Når brugere logger af et program eller websted med logout via organisationsnetværket, logges de også af alle programmer og websteder, der bruger samme identitetsudbyder. Aktiver det til omdiriger brugerne til samlet logout, når de logger af dit websted. Slå det fra til at logge brugere ud af dit websted.
Omdiriger URL-adresse efter logout: Angiv den URL, som identitetsudbyderen skal omdirigere en bruger til efter ekstern logout. Denne placering skal også indstilles korrekt i konfigurationen af identitetsudbyderen.
RP-startet logout: Denne indstilling styrer, om Relying Party – OpenID Connect-klientprogrammet – kan logge brugere af. Hvis du vil bruge denne indstilling, skal du aktivere Eksternt logout.
Yderligere indstillinger i Power Pages
De ekstra indstillinger giver dig en finere kontrol over, hvordan brugere godkender med Microsoft Entra-identitetsudbyderen. Du behøver ikke at angive nogen af disse værdier. De er helt valgfrie.
Udstederfilter: Angiv et jokertegnbaseret filter, der matcher alle udstedere på tværs af alle lejere, f.eks.
https://sts.windows.net/*/
.Valider målgruppe: Slå denne indstilling til for at validere målgruppe under tokenvalidering.
Gyldige målgrupper: Angiv en kommasepareret liste over målgruppens URL-adresser.
Valider udstedere: Slå denne indstilling til for at validere udstederen under tokenvalidering.
Gyldige udstedere: Angiv en kommasepareret liste over udsteders URL-adresser.
Tilknytning af registreringskrav og Tilknytning af logonkrav: I brugergodkendelse er et krav oplysninger, der beskriver en brugers identitet, f.eks. en mailadresse eller fødselsdato. Når du logger på et program eller et websted, oprettes der et token. Et token indeholder oplysninger om din identitet, herunder eventuelle krav, der er knyttet til den. Tokens bruges til at godkende din identitet, når du får adgang til andre dele af programmet eller webstedet eller andre programmer og websteder, der har forbindelse til den samme identitetsudbyder. Kravstilknytning er en måde at ændre de oplysninger, der findes i et token. Det kan bruges til at tilpasse de oplysninger, der er tilgængelige for programmet eller webstedet, og til at styre adgangen til funktioner eller data. Tilknytning af registreringskrav ændrer de krav, der udsendes, når du tilmelder dig et program eller et websted. Tilknytning af logonkrav ændrer de krav, der udsendes, når du logger på et program eller et websted. Få mere at vide om politikker for kravstilknytning.
Nonce-levetid: Angiv nonce-værdiens levetid i minutter. Standardværdien er 10 minutter.
Brug tokenlevetid: Denne indstilling kontrollerer, om levetiden for godkendelsessessionen (f.eks. cookies) skal matche den i godkendelsestokenet. Hvis denne værdi aktiveres, vil den tilsidesætte værdien af Tidsinterval for udløb af applikationscookie i webstedsindstillingen Authentication/ApplicationCookie/ExpireTimeSpan.
Kontakttilknytning med mail: Angiver, om kontakter er knyttet til en tilsvarende mailadresse, når de logger på.
- Til: Knytter en entydig kontaktpersonpost til en matchende mailadresse og tildeler automatisk den eksterne identitetsudbyder til kontaktpersonen, efter at brugeren har logget på.
- Fra
Bemærk
UI_Locales sendes nu automatisk i godkendelsesanmodningen, og den angives til det sprog, der er valgt på portalen.
Konfigurere yderligere krav
Aktivér valgfrie krav i Microsoft Entra ID.
Angiv Omfang til at inkludere de ekstra krav, f.eks.
openid email profile
.Angiv Tilknytning af registreringskrav som yderligere indstilling for websted, f.eks.
firstname=given_name,lastname=family_name
.Angiv Tilknytning af loginkrav som yderligere indstilling for websted, f.eks.
firstname=given_name,lastname=family_name
.
I disse eksempler leveres fornavn, efternavn og mailadresser sammen med de ekstra krav, bliver f.eks. standardværdierne på portalens profilside på webstedet.
Bemærk
Kravstilknytning understøttes i tekst- og booleske datatyper.
Tillad godkendelse med flere Microsoft Entra-lejere
Hvis du vil give Microsoft Entra-brugere tilladelse til at godkende fra en lejer i Azure, ikke kun fra en bestemt lejer, skal du ændre programregistreringen Microsoft Entra til multi-lejer.
Du skal også angive udstederfilteret i udbyderens ekstra indstillinger.