Jaa

Usein kysyttyjä kysymyksiä portaalien OpenID Connectista

  • Artikkeli

Huomautus

Power Apps -portaaleja kutsutaan 12. lokakuuta 2022 alkaen nimellä Power Pages. Lisätietoja: Microsoft Power Pages on nyt yleisesti saatavilla (blogi)
Siirrämme ja yhdistämme Power Apps -portaalien dokumentaation pian Power Pagesin dokumentaatioon.

Tässä artikkelissa on tietoja yleisistä Power Apps -portaalien skenaarioista ja usein kysytyistä kysymyksistä, jotka koskevat OpenID Connect -määritysten mukaisen todennuspalvelun käyttämistä.

Edellyttääkö integrointi portaalien kanssa OpenId Connect Auto-Discovery Document -ominaisuutta?

Kyllä. Auto-Discovery Document (johon viitataan myös nimellä /.well-known/openid-configuration) on pakollinen portaali-integroinneissa. Tässä asiakirjassa olevien tietojen avulla portaalit voivat luoda valtuutuspyyntöjä ja tarkistaa todennustunnukset.

Jos käyttäjätietopalvelu ei anna tätä asiakirjaa, voit luoda sen manuaalisesti ja isännöidä sitä missä tahansa julkisessa sijainnissa (kuten portaalissa).

Huomautus

Samoin kuin etsintäasiakirjan osalta portaalit edellyttävät, että käyttäjätietopalvelu tarjoaa julkisen JWKS URI -päätepiste, jossa olevilla julkisilla avaimilla voidaan tarkistaa ID-tunnuksen allekirjoitus. Tämä päätepiste on määritettävä etsintäasiakirjassa jwks_uri-avaimena.

Tukevatko portaalit acr_values-todentamispyyntöjen parametreja?

Ei. Portaalit eivät tue acr_values-käyttöoikeuksien myöntämisparametreja. Portaalitoiminto kuitenkin tukee pakollisia ja suositeltuja pyyntöparametreja, jotka on määritetty OpenID Connect -määrityksissä.

Seuraavat valinnaiset parametrit ovat tuettuja:

  • Response_mode
  • Nonce
  • UI_Locales

Tukevatko portaalit todennuspyyntöjen mukautettuja vaikutusalueparametreja?

Kyllä. Mukautetut vaikutusalueparametrit voidaan määrittää käyttämällä vaikutusalueasetusten määrityksen aikana.

Miksi yhteyshenkilön käyttäjänimen arvo tai Dataversen ulkoinen käyttäjätietotietue näyttää eri arvon kuin minkä käyttäjä on antanut kirjautumissivulla?

Yhteyshenkilötietueen käyttäjänimi-kenttä ja ulkoinen käyttäjätietotietue näyttävät arvon, joka lähetetään joko alivaatimuksessa tai objektitunnus (OID) (Azure AD -pohjaiset palvelut). Tämä johtuu siitä, että alivaatimus ilmaisee loppukäyttäjän tunnuksen ja käyttäjätietopalvelu takaa sen olevan yksilöivä. OID-vaatimusta (jossa objektin tunnus on kaikkien vuokraajan käyttäjien yksilöivä tunnus) tuetaan, kun sitä käytetään yhden vuokraajan Azure AD -pohjaisten palvelujen kanssa.

Tukevatko portaalit uloskirjautumista OpenId Connect -pohjaisista palveluista?

Kyllä. Portaalitoiminto tukee Front Channel -uloskirjautumistekniikkaa kirjauduttaessa ulos sekä sovelluksesta että OpenID Connect -pohjaisista palveluista.

Tukevatko portaalit kertauloskirjautumista?

Ei. Portaalit eivät tue OpenID Connect -pohjaisten palvelujen kertauloskirjautumista.

Edellyttävätkö portaalit tiettyä vaatimusta ID-tunnuksessa*?

Kaikkien pakollisten vaatimusten lisäksi portaalitoiminto edellyttää vaatimusta, joka ilmaisee käyttäjien sähköpostiosoitteen ID-tunnuksessa. Tämän vaatimuksen nimen on oltava email, emails tai upn.

Kaikkien pakollisten vaatimusten lisäksi portaalin vaatii vaatimusta, joka kuvaa käyttäjien sähköpostiosoitetta kohteessa id_token. Tämän vaatimuksen nimeksi on asetettava joko “email”, “emails” tai “upn”.

Nämä vaatimukset käsitellään seuraavassa tärkeysjärjestyksessä, ja ne määritetään yhteyshenkilötietueen ensisijaiseksi sähköpostiosoitteeksi Dataversessa:

  1. sähköpostiosoite
  2. sähköpostiviestit
  3. upn

Kun "emailclaimsmapping"-määritys on käytössä, sitä käytetään myös aiemmin luodun yhteyshenkilön haussa (Ensisijainen sähköpostiosoite -kenttä Dataversessa).

Voinko käyttää tunnuksia (ID tai käyttöoikeus) JavaScriptin avulla?

Ei. Käyttötietopalvelun antama ID-tunnus ei ole saatavana minkään asiakaspuolen vakiotekniikan kautta, ja sitä käytetään vain todennustarkoitukseen. Jos käytössä on kuitenkin implisiittinen myöntämistyönkulku, voit käyttää käyttäjätietopalvelun tarjoamia menetelmiä ID- tai käyttöoikeustunnusten käyttämiseen.

Azure AD sisältää esimerkiksi Microsoftin todentamiskirjaston, jonka avulla tämä skenaario voidaan toteuttaa asiakasohjelmissa.

Voinko käyttää OpenID Connect -palvelua Azure AD:n sijaan?

Kyllä. Portaalit tukevat kaikkia OpenID Connect -palvelua, joka tukee vakiomuotoisia OpenID Connect -määrityksiä.

Katso myös

Portaalien OpenID Connect -palvelun määrittäminen

Huomautus

Voitko kertoa meille dokumentaatiota koskevan kielimäärityksesi? Vastaa lyhyeen kyselyyn. (Huomaa, että tämä kysely on englanninkielinen.)

Kyselyyn vastaaminen kestää noin seitsemän minuuttia. Henkilökohtaisia tietoja ei kerätä (tietosuojatiedot).