Κοινή χρήση μέσω

Ρύθμιση υπηρεσίας παροχής OpenID Connect

  • Άρθρο

Οι υπηρεσίες παροχής ταυτότητας OpenID Connect είναι υπηρεσίες που τηρούν τις προδιαγραφές Open ID Connect. Το OpenID Connect παρουσιάζει την έννοια ενός διακριτικού αναγνωριστικού. Ένα διακριτικό αναγνωριστικού είναι ένα διακριτικό ασφαλείας που επιτρέπει σε έναν πελάτη να επαληθεύει την ταυτότητα ενός χρήστη. Λαμβάνει επίσης βασικές πληροφορίες προφίλ για τους χρήστες, γνωστές ως αξιώσεις.

Οι υπηρεσίες παροχής OpenID Connect Azure AD B2C, Microsoft Entra ID και Microsoft Entra ID με πολλούς μισθωτές είναι ενσωματωμένες στο Power Pages. Αυτό το άρθρο εξηγεί τον τρόπο προσθήκης άλλων υπηρεσιών παροχής ταυτότητας OpenID Connect στην τοποθεσία Power Pages σας.

Υποστηριζόμενες και μη υποστηριζόμενες ροές ελέγχου σε Power Pages

  • Έμμεση εκχώρηση
    • Αυτή η ροή είναι η προεπιλεγμένη μέθοδος ελέγχου ταυτότητας για τις τοποθεσίες Power Pages.
  • Κωδικός εξουσιοδότησης
    • Το Power Pages χρησιμοποιεί τη μέθοδο client_secret_post για επικοινωνία με το τελικό σημείο διακριτικού του διακομιστή ταυτοτήτων.
    • Η μέθοδος private_key_jwt για έλεγχο ταυτότητας με τελικό σημείο διακριτικού δεν υποστηρίζεται.
  • Υβριδική (περιορισμένη υποστήριξη)
    • Το Power Pages απαιτεί το id_token να είναι παρόν στην απόκριση, ώστε η τιμή response_type = διακριτικό κώδικα δεν υποστηρίζεται.
    • Η υβριδική ροή στο Power Pages ακολουθεί την ίδια ροή ως έμμεση εκχώρηση και χρησιμοποιεί το id_token για την απευθείας σύνδεση των χρηστών.
  • Proof Key for Code Exchange (PKCE)
    • Οι τεχνικές βάσει PKCE για τον έλεγχο ταυτότητας των χρηστών δεν υποστηρίζονται.

Σημείωμα

Οι αλλαγές στις ρυθμίσεις ελέγχου ταυτότητας της τοποθεσίας σας μπορεί να χρειαστούν μερικά λεπτά για να εμφανιστούν στην τοποθεσία. Για να δείτε τις αλλαγές αμέσως, κάντε επανεκκίνηση της τοποθεσίας στο κέντρο διαχείρισης.

Ρύθμιση υπηρεσίας παροχής OpenID Connect στο Power Pages

  1. Στην τοποθεσία σας Power Pages, επιλέξτε Ασφάλεια>Υπηρεσίες παροχής ταυτότητας.

    Εάν δεν εμφανίζονται υπηρεσίες παροχής ταυτότητας, βεβαιωθείτε ότι η επιλογή Εξωτερική σύνδεση έχει οριστεί σε Ενεργό στις γενικές ρυθμίσεις ελέγχου ταυτότητας της τοποθεσίας σας.

  2. Επιλέξτε + Νέα υπηρεσία παροχής.

  3. Στην περιοχή Επιλογή Υπηρεσίας παροχής σύνδεσης επιλέξτε Άλλο.

  4. Στην περιοχή Πρωτόκολλο επιλέξτε OpenID Connect.

  5. Πληκτρολογήστε ένα όνομα για τον πάροχο.

    Το όνομα της υπηρεσίας παροχής είναι το κείμενο στο κουμπί που βλέπουν οι χρήστες όταν επιλέγουν τον πάροχο ταυτότητάς τους στη σελίδα σύνδεσης.

  6. Επιλέξτε Επόμενο.

  7. Στην περιοχή Διεύθυνση URL απάντησης, επιλέξτε Αντιγραφή.

    Μην κλείσετε την καρτέλα του προγράμματος περιήγησης Power Pages. Θα επιστρέψετε σύντομα σε αυτό.

Δημιουργία καταχώρησης εφαρμογής στην υπηρεσία παροχής ταυτότητας

  1. Δημιουργήστε και καταχωρήστε μια εφαρμογή στην υπηρεσία παροχής ταυτότητας χρησιμοποιώντας τη διεύθυνση URL απάντησης που αντιγράψατε.

  2. Αντιγράψτε την εφαρμογή ή το αναγνωριστικό προγράμματος-πελάτη και το μυστικό προγράμματος-πελάτη.

  3. Βρείτε τα τελικά σημεία της εφαρμογής και αντιγράψτε τη διεύθυνση URL του εγγράφου μεταδεδομένων OpenID Connect.

  4. Αλλάξτε άλλες ρυθμίσεις, όπως απαιτείται, για τον υπηρεσία παροχής ταυτότητας.

Εισαγωγή ρυθμίσεων τοποθεσίας στο Power Pages

Επιστρέψτε στη σελίδα Power Pages Ρύθμισης παραμέτρων υπηρεσίας παροχής ταυτότητας από την οποία φύγατε νωρίτερα και πληκτρολογήστε τις ακόλουθες τιμές. Προαιρετικά, αλλάξτε τις πρόσθετες ρυθμίσεις, ανάλογα με τις ανάγκες. Όταν τελειώσετε, επιλέξτε Επιβεβαίωση.

  • Αρχή: Εισάγετε τη διεύθυνση URL της αρχής με την ακόλουθη μορφή: https://login.microsoftonline.com/<Directory (tenant) ID>/, όπου Αναγνωριστικό καταλόγου (μισθωτή)<> είναι το αναγνωριστικό καταλόγου (μισθωτή) της εφαρμογής που δημιουργήσατε. Για παράδειγμα, εάν το Αναγνωριστικό καταλόγου (μισθωτή) στην πύλη Azure είναι 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, η διεύθυνση URL της αρχής είναι https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • Αναγνωριστικό προγράμματος πελάτη​: Επικολλήστε το αναγνωριστικό εφαρμογής ή προγράμματος πελάτη της εφαρμογής που δημιουργήσατε.

  • URL ανακατεύθυνσης: Εάν η τοποθεσία σας χρησιμοποιεί ένα προσαρμοσμένο όνομα τομέα, εισαγάγετε την προσαρμοσμένη διεύθυνση URL. Διαφορετικά, αφήστε την προεπιλεγμένη τιμή. Βεβαιωθείτε ότι η τιμή είναι ακριβώς ίδια με τη διεύθυνση URI ανακατεύθυνσης της εφαρμογής που δημιουργήσατε.

  • Διεύθυνση μετα-δεδομένων: Επικολλήστε τη διεύθυνση URL του εγγράφου μετα-δεδομένων OpenID Connect που αντιγράψατε.

  • Πεδίο: Εισαγάγετε μια λίστα πεδίων διαχωρισμένη με διαστήματα για αίτηση μέσω της παραμέτρου OpenID Connect scope. Η προεπιλεγμένη τιμή είναι η openid.

    Η τιμή openid είναι υποχρεωτική. Ενημερωθείτε σχετικά με άλλες απαιτήσεις που μπορείτε να προσθέσετε.

  • Τύπος απόκρισης: Εισάγετε την τιμή της παραμέτρου OpenID Connect response_type. Οι πιθανές τιμές περιλαμβάνουν code, code id_token, id_token, id_token token και code id_token token. Η προεπιλεγμένη τιμή είναι η code id_token.

  • Μυστικό προγράμματος-πελάτη: Επικολλήστε το Μυστικό προγράμματος-πελάτη από την εφαρμογή της υπηρεσίας παροχής. Ενδέχεται επίσης να αναφέρεται ως μυστικό εφαρμογής ή μυστικό καταναλωτή. Αυτή η ρύθμιση απαιτείται εάν ο τύπος απόκρισης είναι code.

  • Λειτουργία απόκρισης: Εισάγετε την τιμή της παραμέτρου OpenID Connect response_mode. Πρέπει να είναι query εάν ο τύπος απόκρισης είναι code. Η προεπιλεγμένη τιμή είναι η form_post.

  • Εξωτερική αποσύνδεση: Αυτή η ρύθμιση ελέγχει εάν η τοποθεσία σας χρησιμοποιεί ομοσπονδιακή είσοδο. Με τη ομοσπονδιακή είσοδο, όταν οι χρήστες κάνουν είσοδο έξω από μια εφαρμογή ή τοποθεσία, έχουν αποσυνδεθεί επίσης από όλες τις εφαρμογές και τοποθεσίες που χρησιμοποιούν την ίδια υπηρεσία παροχής ταυτότητας. Ενεργοποιήστε την για να ανακατευθύνετε τους χρήστες στην εμπειρία ομοσπονδιακής αποσύνδεσης όταν αποσυνδέονται από την τοποθεσία web σας. Απενεργοποιήστε το για να αποσυνδέετε τους χρήστες μόνο από την τοποθεσία Web σας.

  • URL ανακατεύθυνσης μετά την αποσύνδεση: Εισάγετε τη διεύθυνση URL στην οποία η υπηρεσία παροχής ταυτότητας θα πρέπει να ανακατευθύνει τους χρήστες μετά την αποσύνδεσή τους. Αυτή η τοποθεσία θα πρέπει να οριστεί κατάλληλα στη ρύθμιση παραμέτρων της υπηρεσίας παροχής ταυτότητας.

  • Αποσύνδεση με πρωτοβουλία RP: Αυτή η ρύθμιση ελέγχει αν το συμβαλλόμενο μέρος - η εφαρμογή προγράμματος-πελάτης του OpenID Connect - μπορεί να αποσυνδέσει χρήστες. Για να χρησιμοποιήσετε αυτήν τη ρύθμιση, ενεργοποιήστε την Εξωτερική αποσύνδεση.

Πρόσθετες ρυθμίσεις στο Power Pages

Οι πρόσθετες ρυθμίσεις σας δίνουν τη δυνατότητα πιο λεπτού ελέγχου σχετικά με τον τρόπο ελέγχου ταυτότητας των χρηστών με την υπηρεσία παροχής ταυτότητας OpenID Connect. Δεν χρειάζεται να ορίσετε καμία από αυτές τις τιμές. Είναι εντελώς προαιρετικές.

  • Εκδότης φίλτρου: Εισάγετε ένα φίλτρο που βασίζεται σε χαρακτήρα μπαλαντέρ και ταιριάζει σε όλους τους εκδότες σε όλους τους μισθωτές, για παράδειγμα,, https://sts.windows.net/*/. Εάν χρησιμοποιείτε έναν πάροχο ταυτότητας Microsoft Entra ID, το φίλτρο διεύθυνσης URL εκδότη θα είναι https://login.microsoftonline.com/*/v2.0/.

  • Επικύρωση κοινού: Ενεργοποιήστε αυτήν τη ρύθμιση για να επικυρώσετε το κοινό κατά την επικύρωση διακριτικού.

  • Έγκυρο κοινό: Εισάγετε μια λίστα URL του κοινού που διαχωρίζεται με κόμμα.

  • Επικύρωση εκδοτών: Ενεργοποιήστε αυτήν τη ρύθμιση για να επικυρώσετε τον εκδότη κατά την επικύρωση διακριτικού.

  • Έγκυροι εκδότες: Εισάγετε μια λίστα εκδοτών URL που διαχωρίζεται με κόμμα.

  • Αντιστοίχιση ισχυρισμών καταχώρησης και αντιστοίχιση ισχυρισμών σύνδεσης: Στον έλεγχο ταυτότητας χρηστών, ένας ισχυρισμός είναι μια πληροφορία που περιγράφει την ταυτότητα ενός χρήστη, όπως μια διεύθυνση ηλεκτρονικού ταχυδρομείου ή μια ημερομηνία γέννησης. Όταν συνδέεστε σε μια εφαρμογή ή μια τοποθεσία Web, δημιουργείται ένα διακριτικό. Ένα διακριτικό περιέχει πληροφορίες σχετικά με την ταυτότητά σας, συμπεριλαμβανομένων τυχόν ισχυρισμών που σχετίζονται με αυτό. Τα διακριτικά χρησιμοποιούνται για τον έλεγχο ταυτότητας σας όταν έχετε πρόσβαση σε άλλα τμήματα της εφαρμογής ή της τοποθεσίας ή σε άλλες εφαρμογές και τοποθεσίες που συνδέονται στην ίδια υπηρεσία παροχής ταυτότητας. Η αντιστοίχιση ισχυρισμών είναι ένας τρόπος αλλαγής των πληροφοριών που περιλαμβάνονται σε ένα διακριτικό. Μπορεί να χρησιμοποιηθεί για την προσαρμογή των πληροφοριών που είναι διαθέσιμες στην εφαρμογή ή την τοποθεσία και για τον έλεγχο της πρόσβασης σε δυνατότητες ή δεδομένα. Η αντιστοίχιση των ισχυρισμών καταχώρησης τροποποιεί τους ισχυρισμούς που εκλύονται όταν καταχωρείτε μια εφαρμογή ή μια τοποθεσία. Η αντιστοίχιση των ισχυρισμών σύνδεσης τροποποιεί τους ισχυρισμούς που εκλύονται όταν συνδέεστε σε μια εφαρμογή ή μια τοποθεσία. Μάθετε περισσότερα σχετικά με τις πολιτικές αντιστοίχισης ισχυρισμών.

  • Διάρκεια ζωής μοναδικού αριθμού: Εισαγάγετε τη διάρκεια ζωής μοναδικού αριθμού σε λεπτά. Η προεπιλεγμένη τιμή είναι 10 λεπτά.

  • Χρήση διάρκειας ζωής διακριτικού: Αυτή η ρύθμιση ελέγχει αν η διάρκεια ζωής της περιόδου λειτουργίας ελέγχου ταυτότητας όπως τα cookie θα πρέπει να αντιστοιχεί με αυτήν του διακριτικού ελέγχου ταυτότητας. Εάν την ενεργοποιήσετε, αυτή η τιμή θα παρακάμψει την τιμή Χρονικό όριο λήξης cookie εφαρμογής στη ρύθμιση τοποθεσίας Authentication/ApplicationCookie/ExpireTimeSpan.

  • Αντιστοίχιση επαφών με μήνυμα ηλεκτρονικού ταχυδρομείου: Αυτή η ρύθμιση καθορίζει εάν οι επαφές αντιστοιχίζονται σε μια αντίστοιχη διεύθυνση email κατά την είσοδό τους.

    • Ενεργοποιημένη: Συσχετίζει μια μοναδική καρτέλα επαφής με μια αντίστοιχη διεύθυνση ηλεκτρονικού ταχυδρομείου και αυτόματα αναθέτει την υπηρεσία παροχής εξωτερικής ταυτότητας στην επαφή αφού ο χρήστης έχει πραγματοποιήσει επιτυχή είσοδο.
    • Απενεργοποιημένο

Σημείωμα

Η παράμετρος αίτησης UI_Locales αποστέλλεται αυτόματα στην αίτηση ελέγχου ταυτότητας και ορίζεται στη γλώσσα που επιλέχθηκε στην πύλη.

Δείτε επίσης

Ρύθμιση υπηρεσίας παροχής OpenID Connect με το Azure Active Directory (Azure AD) B2C
Ρύθμιση υπηρεσίας παροχής OpenID Connect με το Microsoft Entra ID
Συνήθεις ερωτήσεις για το OpenID Connect