Jaa

OpenID Connect -palvelun määrittäminen

  • Artikkeli

OpenID Connect -käyttäjätietopalveluntarjoajat noudattavat OpenID Connect -määrityksiä. OpenID Connect sisältää tunnustietueen käsitteen. Tunnustietue joka on suojaustunnus, jonka avulla asiakas voi tarkistaa käyttäjän henkilöllisyyden. Se hakee myös käyttäjän perusprofiilitiedot eli vaatimukset.

OpenID Connect -palvelut Azure AD B2C, Microsoft Entra ID ja Microsoft Entra ID, jossa useita vuokraajia on sisäänrakennettu Power Pagesiin. Tässä artikkelissa selostetaan, miten Power Pages -sivustoon lisätään muita OpenID Connect -tunnistetietojen toimittajia.

Power Pagesin tuetut ja tukemattomat todennusvirrat

  • Implisiittinen myöntäminen
    • Tämä työnkulku on Power Pages -sivustojen oletustodennusmenetelmä.
  • Käyttöoikeuksien tarkistuskoodi
    • Power Pages käyttää client_secret_post-menetelmää yhteydenpitoon käyttäjätietopalvelun tunnuspäätepisteen kanssa.
    • Tunnuksen päätepisteen todentamista private_key_jwt-menetelmällä ei tueta.
  • Yhteiskäyttö (rajoitettu tuki)
    • Power Pages edellyttää, että id_token on vastauksessa, joten response_type = code token-määritystä ei tueta.
    • Power Pagesin hybridityönkulku toimii samoin kuin implisiittisen myöntämisen työnkulku, ja käyttäjien suora kirjautuminen on mahdollista, koska id_token on käytössä.
  • Proof Key for Code Exchange (PKCE)
    • PKCE-todennustekniikkaa ei tueta.

Muistiinpano

Sivuston todennusasetusten muutokset voivat kestää muutaman minuutin, ennen kuin ne näkyvät sivustolla. Jos haluat nähdä muutokset heti, käynnistä sivusto uudelleen hallintakeskuksessa.

OpenID Connect -palvelun määrittäminen Power Pagesissa

  1. Valitse Power Pages -sivustollasi Suojaus>Tunnistetietojen toimittajat.

    Jos yhtään tunnistetietojen palveluntarjoajaa ei tule näkyviin, varmista, että Ulkoinen sisäänkirjautuminen on määritetty arvoon Käytössä sivustosi yleisissä todennusasetuksissa.

  2. Valitse + Uusi palveluntarjoaja.

  3. Valitse kohdassa Valitse kirjautumisen toimittaja Muu.

  4. Valitse protokollaksi OpenID Connect.

  5. Anna palveluntarjoajan nimi.

    Palveluntarjoajan nimi on teksti, joka näkyy painikkeessa, jonka käyttäjät näkevät, kun he valitsevat tunnistetietojen palveluntarjoajan sisäänkirjautumissivulla.

  6. Valitse Seuraava.

  7. Valitse Vastaus-URL-osoite -kohdasta Kopioi.

    Älä sulje Power Pages -selainvälilehteä. Palaat vielä sille.

Sovellusrekisteröinnin luominen tunnistetietojen toimittajassa

  1. Luo ja rekisteröi sovellus tunnistetietojen toimittajan avulla käyttämällä kopioimaasi vastaus-URL-osoitetta.

  2. Kopioi sovelluksen tai asiakkaan tunnus ja asiakkaan salaisuus.

  3. Etsi sovelluksen päätepisteet ja kopioi OpenID Connect -metatietoasiakirjan URL-osoite.

  4. Muuta muita tunnistetietojen toimittajan asetuksia tarpeen mukaan.

Syötä sivuston asetukset Power Pagesissa

Palaa aiemmin käyttämääsi Power Pagesin Määritä tunnistetietojen toimittaja -sivulle ja kirjoita seuraavat arvot. Voit myös muuttaa lisäasetuksia tarpeen mukaan. Valitse Vahvista, kun olet valmis.

  • Myöntäjä: Kirjoita myöntäjän URL-osoite seuraavassa muodossa: https://login.microsoftonline.com/<Directory (tenant) ID>/, jossa <Directory (tenant) ID> on luomasi sovelluksen hakemiston (vuokraajan) tunnus. Jos esimerkiksi Azure-portaalissa hakemiston (vuokraajan) tunnus on 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, myöntäjän URL-osoite on https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • Asiakkaan tunnus: Liitä sovelluksen tai asiakasohjelman tunnus luomastasi sovelluksesta.

  • Uudelleenohjauksen URL-osoite: Jos sivustosi käyttää mukautettua toimialuenimeä, syötä mukautettu URL-osoite. Muussa tapauksessa jätä oletusarvo. Varmista, että arvo on täsmälleen sama kuin luomasi sovelluksen uudelleenohjaus-URI.

  • Metatietojen osoite: Liitä kopioimasi OpenID Connect -metatietoasiakirjan URL-osoite.

  • Vaikutusalue: Anna välilyönnein eroteltu luettelo vaikutusalueista, joita voi pyytää OpenID Connectin scope-parametrin avulla. Oletusarvo on openid.

    openid-arvo on pakollinen. Tietoja muista lisättävistä vaatimuksista.

  • Vastaustyyppi: Anna OpenID Connectin response_type-parametrin arvo. Mahdolliset arvot: code, code id_token, id_token, id_token token ja code id_token token. Oletusarvo on code id_token.

  • Asiakasohjelman salasana: Liitä asiakasohjelman salasana palveluntarjoajan sovelluksesta. Sitä voidaan kutsua myös sovelluksen salaiseksi koodiksi tai kuluttajan salaiseksi koodiksi. Tämä asetus on pakollinen, jos vastaustyyppi on code.

  • Vastaustila: Anna OpenID Connectin response_mode-parametrin arvo. Arvon on oltava query, jos vastaustyyppi on code. Oletusarvo on form_post.

  • Ulkoinen uloskirjautuminen: Tämä asetus ohjaa sitä, käyttääkö sivusto yhdistettyä uloskirjautumista. Yhdistetyssä uloskirjautumisessa käyttäjän kirjautuessa ulos sovelluksesta tai sivustosta käyttäjä kirjataan ulos kaikista sovelluksista ja sivustoista, jotka käyttävät samaa tunnistetietojen palveluntarjoajaa. Ota käyttöön, jos haluat ohjata käyttäjät uudelleen yhdistettyyn käyttäjän uloskirjautumiskokemukseen, kun he kirjautuvat ulos sivustosta. Poista se käytöstä, kun haluat kirjata käyttäjät ulos vain sivustostasi.

  • Uloskirjautumisen jälkeinen uudelleenohjauksen URL-osoite: Anna URL-osoite, johon käyttäjätietopalvelun pitäisi uudelleenohjata käyttäjä uloskirjautumisen jälkeen. Tämä sijainti on määritettävä oikein käyttäjätietopalvelun määrityksessä.

  • RP:n käynnistämä uloskirjautuminen: Tämä asetus määrittää, voiko luotettu osapuoli, eli OpenID Connect -asiakassovellus, kirjata käyttäjiä ulos. Ulkoinen uloskirjautuminen on otettava käyttöön, ennen kuin tätä asetusta voi käyttää.

Lisäasetukset Power Pagesissa

Lisäasetuksilla on mahdollista hallita tarkemmin, miten käyttäjät todennetaan OpenID Connect -tunnistetietojen palveluntarjoajallasi. Näitä arvoja ei tarvitse määrittää. Ne ovat täysin valinnaisia.

  • Myöntäjän suodatin: Anna yleismerkkiin perustuva suodatin, joka määrittää kaikkien vuokraajien kaikkien myöntäjien vastaavuudet, esim. https://sts.windows.net/*/. Jos käytät Microsoft Entra ID -todennuspalvelua, myöntäjän URL-suodatin on https://login.microsoftonline.com/*/v2.0/.

  • Tarkista kohdeyleisö: Ota tämä asetus käyttöön, jos haluat tarkistaa kohdeyleisön tunnuksen tarkistuksen aikana.

  • Kelvolliset käyttäjäryhmät: Anna käyttäjäryhmän URL-osoitteiden pilkuin eroteltu luettelo.

  • Tarkista myöntäjät: Ota tämä asetus käyttöön, jos haluat tarkistaa myöntäjän tunnuksen tarkistuksen aikana.

  • Kelvolliset myöntäjät: Anna myöntäjän URL-osoitteiden pilkuin eroteltu luettelo.

  • Rekisteröintivaatimusten yhdistämismääritys​ ja Kirjautumisvaatimusten yhdistämismääritys: Käyttäjien todentamisessa vaatimus on tieto, joka kuvailee käyttäjän henkilöllisyyttä, esimerkiksi sähköpostiosoite tai syntymäpäivämäärä. Kun kirjaudut sisään sovellukseen tai sivustolle, se luo tunnuksen. Tunnus sisältää tietoja henkilöllisyydestäsi, mukaan lukien siihen liittyvät vaatimukset. Tunnuksilla todennetaan tunnistetietosi, kun käytät sovelluksen tai sivuston muita osia tai muita sovelluksia ja sivustoja, jotka on yhdistetty samaan tunnistetietojen palveluntarjoajaan. Vaatimusten yhdistämismääritys on tapa muuttaa tunnuksen sisältämiä tietoja. Sen avulla voidaan mukauttaa sovelluksen tai sivuston käytettävissä olevia tietoja sekä valvoa ominaisuuksien tai tietojen käyttöä. Rekisteröintivaatimusten yhdistämismääritys muokaa vaatimuksia, jotka syntyvät sovellukseen tai sivustoon rekisteröidyttäessä. Kirjautumisvaatimusten yhdistämismääritys muokaa vaatimuksia, jotka syntyvät kirjauduttaessa sisään sovellukseen tai sivustoon. Lisätietoja vaatimusten yhdistämismäärityksen käytännöistä.

  • Nonce-arvon elinkaari: Anna nonce-arvon elinkaari minuutteina. Oletusarvo on 10 minuuttia.

  • Käytä tunnuksen elinkaarta: Tämä asetus määrittää, pitääkö todennusistunnon elinkaaren (esimerkiksi evästeiden) vastata todennustunnuksen elinkaarta. Jos tämä on otettu käyttöön, tämä arvo korvaa Sovelluksen evästeen vanhentumisen kesto -arvon sivustoasetuksessa Authentication/ApplicationCookie/ExpireTimeSpan.

  • Yhteyshenkilön yhdistämismääritys ja sähköposti: Tämä asetus määrittää, onko yhteyshenkilöt yhdistetty vastaavaan sähköpostiosoitteeseen sisäänkirjauduttaessa.

    • Käytössä: Yhdistää yksilöllisen tietueen sitä vastaavaan sähköpostiosoitteeseen ja määrittää automaattisesti ulkoisen tunnistetarjoajan yhteyshenkilöön sen jälkeen, kun käyttäjä on onnistuneesti kirjautunut sisään.
    • Pois

Muistiinpano

UI_Locales-pyyntöparametri lähetetään automaattisesti todentamispyynnössä, ja se määritetään portaalissa valitulle kielelle.

Katso myös

OpenID Connect -palvelun määrittäminen Azure Active Directory (Azure AD) B2C:n kanssa
OpenID Connect -palvelun määrittäminen Microsoft Entra ID:n kanssa
OpenID Connectin usein kysytyt kysymykset