OpenID Connect-Anbieter einrichten mit Microsoft Entra ID
Microsoft Entra ist einer der OpenID Connect-Identitätsanbieter, mit denen Sie Besucher Ihrer Power Pages-Website authentifizieren können. Zusammen mit Microsoft Entra ID, mehrinstanzfähigem Microsoft Entra ID und Azure AD B2C können Sie jeden anderen Anbieter nutzen, der die Open ID-Verbindungsspezifikation bestätigt.
In diesem Artikel werden folgende Schritte behandelt:
- Microsoft Entra in Power Pages einrichten
- Eine App-Registrierung in Azure erstellen
- Website-Einstellungen in Power Pages eingeben
- Mehrinstanzenfähige Microsoft Entra-Authentifizierung zulassen
Anmerkung
Es kann einige Minuten dauern bis die Änderungen an den Authentifizierungseinstellungen auf Ihrer Website wiedergegeben werden. Um die Änderungen sofort zu sehen, starten Sie die Website im Admin Center neu.
Microsoft Entra in Power Pages einrichten
Legen Sie Microsoft Entra als Identitätsanbieter für Ihre Website fest.
Wählen Sie auf Ihrer Power Pages-Website Sicherheit>Identitätsanbieter aus.
Wenn keine Identitätsanbieter angezeigt werden, stellen Sie sicher, dass Externe Anmeldung auf Ein in den allgemeinen Authentifizierungseinstellungen Ihrer Website festgelegt ist.
Wählen Sie + Neuer Anbieter aus.
Unter Anmeldungsanbieter auswählen wählen Sie Sonstige aus.
Unter Protokoll wählen Sie OpenID Connect aus.
Benennen Sie den Anbieter, beispielswiese Microsoft Entra ID.
Der Anbietername ist der Text auf der Schaltfläche, die Benutzer sehen, wenn sie ihren Identitätsanbieter auf der Anmeldeseite auswählen.
Wählen Sie Weiter.
Wählen Sie unter Antwort-URL die Option Kopieren aus.
Schließen Sie nicht Ihre Power Pages-Browserregisterkarte. Sie werden bald dazu zurückkehren.
Eine App-Registrierung in Azure erstellen
Erstellen Sie eine App-Registrierung im Azure-Portal mit der Antwort-URL Ihrer Website als Umleitungs-URI.
Melden Sie sich am Azure-Portal an.
Suchen Sie nach und wählen Sie Azure Active Directory.
Klicken Sie unter Verwalten auf App-Registrierungen.
Wählen Sie Neue Registrierung aus.
Geben Sie einen Namen ein.
Wählen Sie einen der unterstützten Kontotypen aus, der die Anforderungen Ihrer Organisation am besten widerspiegelt.
Wählen Sie unter Umleitungs-URI Web als Plattform aus und geben Sie dann die Antwort-URL für Ihre Website ein.
- Wenn Sie die Standard-URL Ihrer Website verwenden, fügen Sie die Antwort-URL ein, die Sie kopiert haben.
- Wenn Sie einen benutzerdefinierten Domänennamen verwenden, geben Sie die benutzerdefinierte URL ein. Stellen Sie sicher, dass Sie dieselbe URL für die Umleitungs-URL in den Einstellungen für den Indentitäsanbieter auf Ihrer Website verwenden.
Wählen Sie Registrieren aus.
Kopieren Sie die Anwendungs- (Client-)ID.
Wählen Sie rechts neben Client-Anmeldeinformationen Zertifikat oder Geheimnis hinzufügen aus.
Wählen Sie + Neuer geheimer Clientschlüssel aus.
Geben Sie eine optionale Beschreibung ein, wählen Sie ein Ablaufdatum aus, und klicken Sie dann auf Hinzufügen.
Wählen Sie unter Geheimnis-ID das Symbol In Zwischenablage kopieren aus.
Wählen Sie oben auf der Seite Endpunkte aus.
Suchen Sie die URL des OpenID Connect Metadaten-Dokument und wählen Sie das Kopiersymbol aus.
Wählen Sie im linken Seitenbereich unter Verwalten Authentifizierung aus.
Wählen Sie unter Implizite Genehmigung das ID-Token (für implizite und Hyprid-Flows verwendet) aus.
Wählen Sie Speichern.
Website-Einstellungen in Power Pages eingeben
Kehren Sie zur Seite Power Pages Identitätsanbieter konfigurieren zurück, die Sie zuvor verlassen haben, und geben Sie die folgenden Werte ein. Ändern Sie optional die zusätzlichen Einstellungen nach Bedarf. Wählen Sie Bestätigen aus, wenn Sie fertig sind.
Autoritative Stelle: Geben Sie die URL der autoritativen Stelle im folgenden Format ein:
https://login.microsoftonline.com/<Directory (tenant) ID>/
, wobei <Directory (tenant) ID> die Verzeichnis-(Mandanten-)ID der Anwendung ist, die Sie erstellt haben. Wenn die Verzeichnis-ID (Mandanten) im Azure-Portal beispielsweise7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb
ist, ist die Autoritäts-URLhttps://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/
.Client-ID: Fügen Sie die Anwendungs- oder Client-ID der Anwendung ein, die Sie erstellt haben.
Umleitungs-URL: Wenn Ihre Website einen benutzerdefinierten Domänennamen verwendet, geben Sie die benutzerdefinierte URL ein. Andernfalls lassen Sie den Standardwert. Stellen Sie sicher, dass der Wert genau mit der Umleitungs-URl der von Ihnen erstellten Anwendung übereinstimmt.
Metadatenadresse: Fügen Sie die OpenID Connect-Metadaten-Dokument-URL ein, die Sie kopiert haben.
Umfang:
openid email
eingeben.Der
openid
-Wert ist obligatorisch. Deremail
-Wert ist optional. ER stellt sicher, dass die E-Mail-Adresse des Benutzers automatisch ausgefüllt und auf der Profil-Seite angezeigt wird, nachdem sich der Benutzer angemeldet hat. Erfahren Sie mehr über weitere Ansprüche, die Sie hinzufügen können.Antworttyp:
code id_token
auswählen.Geheimer Clientschlüssel: Fügen Sie den geheimen Clientschlüssel aus der von Ihnen erstellten Anwendung ein. Diese Einstellung ist erforderlich, wenn der ausgewählte Antworttyp
code
ist.Antwortmodus:
form_post
auswählen.Externe Abmeldung: Diese Einstellung steuert, ob Ihre Website die verbundbasierten Abmeldung verwendet. Wenn Benutzer sich mit der Verbundabmeldung von einer Anwendung oder Website abmelden, werden sie auch von allen Anwendungen und Websites abgemeldet, die denselben Identitätsanbieter verwenden. Aktivieren Sie ihn, um Benutzer zur verbundbasierten Abmeldeoberfläche weiterzuleiten, wenn sie sich vom Ihrer Website abmelden. Deaktivieren Sie ihn, um Benutzer von Ihrer Website abzumelden.
Umleitungs-URL nach Abmeldung: Geben Sie die URL ein, auf die der Identitätsanbieter den Benutzer nach der Abmeldung umleiten sollte. Dieser Speicherort sollte auch in der Konfiguration des Identitätsanbieters entsprechend festgelegt werden.
Von RP initiierte Abmeldung: Diese Einstellung steuert, ob die vertrauende Seite – die OpenID Connect-Clientanwendung – den Benutzer abmelden kann. Um diese Einstellung verwenden zu können, muss die Externe Abmeldung aktiviert werden.
Zusätzliche Einstellungen in Power Pages
Mit den zusätzlichen Einstellungen können Sie genauer steuern, wie sich Benutzer bei Ihrem Microsoft Entra Identitätsanbieter authentifizieren. Sie müssen keinen dieser Werte festlegen. Sie sind völlig optional.
Aussteller-Filter: Geben Sie einen Platzhalter-basierten Filter ein, der auf alle Aussteller über alle Mandanten passt, beispielsweise
https://sts.windows.net/*/
.Zielgruppe validieren: Aktivieren Sie diese Einstellung, um die Zielgruppe während der Token-Validierung zu validieren.
Gültige Zielgruppe: Geben Sie eine durch Komma getrennte Liste mit Zielgruppen-URLs ein.
Aussteller validieren: Aktivieren Sie diese Einstellung, um die Aussteller während der Token-Validierung zu validieren.
Gültige Aussteller: Geben Sie eine durch Komma getrennte Liste mit Ausstellungs-URLs ein.
Zuordnung von Registrierungsansprüchen und Zuordnung von Anmeldeansprüchen: Bei der Benutzerauthentifizierung handelt es sich bei einem Anspruch um Informationen, die die Identität eines Benutzers beschreiben, wie z. B. eine E-Mail-Adresse oder ein Geburtsdatum. Wenn Sie sich bei einer Anwendung oder einer Website anmelden, wird ein Token erstellt. Ein Token enthält Informationen über Ihre Identität, einschließlich aller damit verbundenen Ansprüche. Token werden zur Authentifizierung Ihrer Identität verwendet, wenn Sie auf andere Teile der Anwendung oder Website oder auf andere Anwendungen und Websites zugreifen, die mit demselben Identitätsanbieter verbunden sind. Die Anspruchszuordnung ist eine Möglichkeit, die in einem Token enthaltenen Informationen zu ändern. Er kann verwendet werden, um die für die Anwendung oder Website verfügbaren Informationen anzupassen und den Zugriff auf Funktionen oder Daten zu steuern. Die Registrierungsanspruchszuordnung ändert die Ansprüche, die ausgegeben werden, wenn Sie sich für eine Anwendung oder eine Website registrieren. Die Anmeldeanspruchszuordnung ändert die Ansprüche, die ausgegeben werden, wenn Sie sich bei einer Anwendung oder einer Website anmelden. Weitere Informationen zu Anspruchszuordnungsrichtlinien.
Nonce-Lebensdauer: Geben Sie die Lebensdauer des Nonce-Werts in Minuten ein. Der Standardwert ist 10 Minuten
Tokengültigkeitsdauer verwenden: Diese Einstellung steuert, ob die Gültigkeitsdauer der Authentifizierungssitzung, z. B. Cookies, mit der des Authentifizierungstokens übereinstimmen muss. Wenn aktiviert, überschreibt dieser Wert den Wert für den Gültigkeitszeitraum des Anwendungscookies in der Authentication/ApplicationCookie/ExpireTimeSpan Websiteeinstellung.
Zuordnung von Kontakt und E-Mail-Adresse: Diese Einstellung legt fest, ob Kontakte einer entsprechenden E-Mail-Adresse zugeordnet werden, wenn sie sich anmelden.
- Ein: Ordnet einen eindeutigen Kontaktdatensatz einer entsprechenden E-Mail-Adresse zu und weist den externen Identitätsanbieter automatisch dem Kontakt zu, wenn der Benutzer sich erfolgreich angemeldet hat.
- Deaktiviert
Anmerkung
Der Anfrageparameter UI_Locales wird automatisch in der Authentifizierungsanfrage gesendet und wird auf die im Portal ausgewählte Sprache festgelegt.
Zusätzliche Ansprüche einrichten
Aktivieren Sie optionale Ansprüche in Microsoft Entra ID.
Stellen Sie den Umfang ein, um die zusätzlichen Ansprüche aufzunehmen, beispielsweise
openid email profile
.Legen Sie die Anspruchregistrierungszuordnung für zusätzliche Websiteeinstellung fest, beispielsweise
firstname=given_name,lastname=family_name
.Legen Sie die Anspruchregistrierungszuordnung für zusätzliche Websiteeinstellung fest, beispielsweise
firstname=given_name,lastname=family_name
.
In diesen Beispielen wird Vorname, Nachname und E-Mail-Adressen, die beispielsweise mit den zusätzlichen Ansprüchen bereitgestellt werden, zu Standardwerten auf der Profilseite auf der Website.
Anmerkung
Die Anspruchszuordnung wird für Text und boolesche Datentypen unterstützt.
Mehrinstanzenfähige Microsoft Entra Authentifizierung zulassen
Um Microsoft Entra Benutzern die Authentifizierung von jedem Mandanten in Azure und nicht nur von einem bestimmten Mandanten aus zu ermöglichen, ändern Sie die Microsoft Entra Anwendungsregistrierung zu Multi-Mandant.
Außerdem müssen Sie den Ausstellungsfilter Ihres Anbieters in den zusätzlichen Einstellungen festlegen.