Jaa


OpenID Connect -palvelun määrittäminen Microsoft Entra ID:n kanssa

Microsoft Entra on yksi OpenID Connect -tunnistetietojen palveluntarjoajista, jonka avulla on mahdollista todentaa vierailijoita Power Pages -sivustolla. Microsoft Entra ID:n, monivuokraaja-Microsoft Entra ID:n ja Azure AD B2C:n lisäksi voit käyttää mitä tahansa muuta tarjoajaa, joka noudattaa Open ID Connect -määritystä.

Tässä artikkelissa käsitellään seuraavat vaiheet:

Muistiinpano

Sivuston todennusasetusten muutokset voivat kestää muutaman minuutin, ennen kuin ne näkyvät sivustolla. Jos haluat nähdä muutokset heti, käynnistä sivusto uudelleen hallintakeskuksessa.

Määritä Microsoft Entra Power Pagesissa

Määritä Microsoft Entra sivustosi tunnistetietojen palveluntarjoajaksi.

  1. Valitse Power Pages -sivustollasi Suojaus>Tunnistetietojen toimittajat.

    Jos yhtään tunnistetietojen palveluntarjoajaa ei tule näkyviin, varmista, että Ulkoinen sisäänkirjautuminen on määritetty arvoon Käytössä sivustosi yleisissä todennusasetuksissa.

  2. Valitse + Uusi palveluntarjoaja.

  3. Valitse kohdassa Valitse kirjautumisen toimittaja Muu.

  4. Valitse protokollaksi OpenID Connect.

  5. Anna toimittajan nimi, esim. Microsoft Entra ID.

    Palveluntarjoajan nimi on teksti, joka näkyy painikkeessa, jonka käyttäjät näkevät, kun he valitsevat tunnistetietojen palveluntarjoajan sisäänkirjautumissivulla.

  6. Valitse Seuraava.

  7. Valitse Vastaus-URL-osoite -kohdasta Kopioi.

    Älä sulje Power Pages -selainvälilehteä. Palaat vielä sille.

Sovellusrekisteröinnin luominen Azuressa

Luo sovellusrekisteröinti Azure-portaalissa siten, että sivuston vastaus-URL-osoite on uudelleenohjauksen URI.

  1. Kirjaudu sisään Azure-portaaliin.

  2. Hae ja valitse Azure Active Directory.

  3. Valitse Hallitse-kohdasta Sovelluksen rekisteröinnit.

  4. Valitse Uusi rekisteröinti.

  5. Anna nimi.

  6. Valitse tuetuista tilityypeistä parhaiten organisaation vaatimuksia vastaava.

  7. Valitse uudelleenohjauksen URI-osoite, valitse verkko ympäristöksi ja syötä sitten sivustosi vastaus-URL-osoite.

    • Jos käytät sivustosi oletus-URL-osoitetta, liitä vastaus-URL-osoite, jonka kopioit.
    • Jos käytät mukautettua toimialuenimeä, anna mukautettu URL-osoite. Varmista, että käytät samaa mukautettua URL-osoitetta uudelleenohjauksen URL-osoitteena sivustosi tunnistetietojen tarjoajan asetuksissa.
  8. Valitse Rekisteröi.

  9. Kopioi Sovelluksen (asiakasohjelman) tunnus .

  10. Valitse Asiakkaan tunnistetiedot -kohdan oikealta puolelta Lisää varmenne tai salainen koodi.

  11. Valitse + Uusi asiakasohjelman salasana.

  12. Kirjoita valinnainen kuvaus, valitse vanhentumispäivä ja valitse sitten Lisää.

  13. Valitse Salaisen koodin tunnus -kohdasta Kopioi leikepöydälle -kuvake.

  14. Valitse sivun yläosasta Päätepisteet.

  15. Etsi OpenID Connect -metatietoasiakirjan URL-osoite ja valitse kopiointikuvake.

  16. Valitse vasemmassa sivupaneelissa Hallinta-kohdassa Todennus.

  17. Valitse Implicit grant -kohdassa Tunnustietueet (käytetään implisiittisissä ja hybridityönkuluissa).

  18. Valitse Tallenna.

Syötä sivuston asetukset Power Pagesissa

Palaa aiemmin käyttämääsi Power Pagesin Määritä tunnistetietojen toimittaja -sivulle ja kirjoita seuraavat arvot. Voit myös muuttaa lisäasetuksia tarpeen mukaan. Valitse Vahvista, kun olet valmis.

  • Myöntäjä: Kirjoita myöntäjän URL-osoite seuraavassa muodossa: https://login.microsoftonline.com/<Directory (tenant) ID>/, jossa <Directory (tenant) ID> on luomasi sovelluksen hakemiston (vuokraajan) tunnus. Jos esimerkiksi Azure-portaalissa hakemiston (vuokraajan) tunnus on 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, myöntäjän URL-osoite on https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • Asiakkaan tunnus: Liitä sovelluksen tai asiakasohjelman tunnus luomastasi sovelluksesta.

  • Uudelleenohjauksen URL-osoite: Jos sivustosi käyttää mukautettua toimialuenimeä, syötä mukautettu URL-osoite. Muussa tapauksessa jätä oletusarvo. Varmista, että arvo on täsmälleen sama kuin luomasi sovelluksen uudelleenohjaus-URI.

  • Metatietojen osoite: Liitä kopioimasi OpenID Connect -metatietoasiakirjan URL-osoite.

  • Vaikutusalue: Kirjoita openid email.

    openid-arvo on pakollinen. email-arvo on valinnainen; sen määrittäminen varmistaa sen, että käyttäjän sähköpostisoite täytetään automaattisesti ja näkyy profiilisivulla, kun käyttäjä kirjautuu sisään. Tietoja muista lisättävistä vaatimuksista.

  • Vastaustyyppi: valitse code id_token.

  • Asiakasohjelman salasana: Liitä asiakasohjelman salasana sovelluksesta, jonka loit. Tämä asetus on pakollinen, jos vastaustyyppi on code.

  • Vastaustila: Valitse form_post.

  • Ulkoinen uloskirjautuminen: Tämä asetus ohjaa sitä, käyttääkö sivusto yhdistettyä uloskirjautumista. Yhdistetyssä uloskirjautumisessa käyttäjän kirjautuessa ulos sovelluksesta tai sivustosta käyttäjä kirjataan ulos kaikista sovelluksista ja sivustoista, jotka käyttävät samaa tunnistetietojen palveluntarjoajaa. Ota käyttöön, jos haluat ohjata käyttäjät uudelleen yhdistettyyn käyttäjän uloskirjautumiskokemukseen, kun he kirjautuvat ulos sivustosta. Poista se käytöstä, kun haluat kirjata käyttäjät ulos vain sivustostasi.

  • Uloskirjautumisen jälkeinen uudelleenohjauksen URL-osoite: Anna URL-osoite, johon käyttäjätietopalvelun pitäisi uudelleenohjata käyttäjä uloskirjautumisen jälkeen. Tämä sijainti on määritettävä oikein käyttäjätietopalvelun määrityksessä.

  • RP:n käynnistämä uloskirjautuminen: Tämä asetus määrittää, voiko luotettu osapuoli, eli OpenID Connect -asiakassovellus, kirjata käyttäjiä ulos. Ulkoinen uloskirjautuminen on otettava käyttöön, ennen kuin tätä asetusta voi käyttää.

Lisäasetukset Power Pagesissa

Lisäasetuksilla on mahdollista hallita tarkemmin, miten käyttäjät todennetaan Microsoft Entra -tunnistetietojen palveluntarjoajallasi. Näitä arvoja ei tarvitse määrittää. Ne ovat täysin valinnaisia.

  • Myöntäjän suodatin: Anna yleismerkkiin perustuva suodatin, joka määrittää kaikkien vuokraajien kaikkien myöntäjien vastaavuudet, esim. https://sts.windows.net/*/.

  • Tarkista kohdeyleisö: Ota tämä asetus käyttöön, jos haluat tarkistaa kohdeyleisön tunnuksen tarkistuksen aikana.

  • Kelvolliset käyttäjäryhmät: Anna käyttäjäryhmän URL-osoitteiden pilkuin eroteltu luettelo.

  • Tarkista myöntäjät: Ota tämä asetus käyttöön, jos haluat tarkistaa myöntäjän tunnuksen tarkistuksen aikana.

  • Kelvolliset myöntäjät: Anna myöntäjän URL-osoitteiden pilkuin eroteltu luettelo.

  • Rekisteröintivaatimusten yhdistämismääritys​ ja Kirjautumisvaatimusten yhdistämismääritys: Käyttäjien todentamisessa vaatimus on tieto, joka kuvailee käyttäjän henkilöllisyyttä, esimerkiksi sähköpostiosoite tai syntymäpäivämäärä. Kun kirjaudut sisään sovellukseen tai sivustolle, se luo tunnuksen. Tunnus sisältää tietoja henkilöllisyydestäsi, mukaan lukien siihen liittyvät vaatimukset. Tunnuksilla todennetaan tunnistetietosi, kun käytät sovelluksen tai sivuston muita osia tai muita sovelluksia ja sivustoja, jotka on yhdistetty samaan tunnistetietojen palveluntarjoajaan. Vaatimusten yhdistämismääritys on tapa muuttaa tunnuksen sisältämiä tietoja. Sen avulla voidaan mukauttaa sovelluksen tai sivuston käytettävissä olevia tietoja sekä valvoa ominaisuuksien tai tietojen käyttöä. Rekisteröintivaatimusten yhdistämismääritys muokaa vaatimuksia, jotka syntyvät sovellukseen tai sivustoon rekisteröidyttäessä. Kirjautumisvaatimusten yhdistämismääritys muokaa vaatimuksia, jotka syntyvät kirjauduttaessa sisään sovellukseen tai sivustoon. Lisätietoja vaatimusten yhdistämismäärityksen käytännöistä.

  • Nonce-arvon elinkaari: Anna nonce-arvon elinkaari minuutteina. Oletusarvo on 10 minuuttia.

  • Käytä tunnuksen elinkaarta: Tämä asetus määrittää, pitääkö todennusistunnon elinkaaren (esimerkiksi evästeiden) vastata todennustunnuksen elinkaarta. Jos tämä on otettu käyttöön, tämä arvo korvaa Sovelluksen evästeen vanhentumisen kesto -arvon sivustoasetuksessa Authentication/ApplicationCookie/ExpireTimeSpan.

  • Yhteyshenkilön yhdistämismääritys ja sähköposti: Tämä asetus määrittää, onko yhteyshenkilöt yhdistetty vastaavaan sähköpostiosoitteeseen sisäänkirjauduttaessa.

    • Käytössä: Yhdistää yksilöllisen tietueen sitä vastaavaan sähköpostiosoitteeseen ja määrittää automaattisesti ulkoisen tunnistetarjoajan yhteyshenkilöön sen jälkeen, kun käyttäjä on onnistuneesti kirjautunut sisään.
    • Pois

Muistiinpano

UI_Locales-pyyntöparametri lähetetään automaattisesti todentamispyynnössä, ja se määritetään portaalissa valitulle kielelle.

Lisävaatimusten määrittäminen

  1. Ota käyttöön Microsoft Entra ID:n valinnaiset vaatimukset.

  2. Määritä Vaikutusalue sisältämään lisävaatimukset, kuten openid email profile.

  3. Määritä Rekisteröintivaatimusten yhdistämismääritys -lisäsivustoasetus, esim. firstname=given_name,lastname=family_name.

  4. Määritä Kirjautumisvaatimusten yhdistämismääritys -lisäsivustoasetus, esim. firstname=given_name,lastname=family_name.

Näissä esimerkeissä lisävaatimusten mukana toimitetuista etunimi-, sukunimi- ja sähköpostiosoite-tiedoista tulee sivuston profiilisivun oletusarvoja.

Muistiinpano

Vaatimusten yhdistämismääritystä tuetaan Teksti ja Totuusarvo-tietotyypeille.

Salli monivuokraaja-Microsoft Entra-todennus

Jotta Microsoft Entra -käyttäjät voivat todentaa tietoja mistä tahansa Azuren vuokraajasta (ei vain tietystä vuokraajasta), vaihda Microsoft Entra -sovellusrekisteröinti usean vuokraajan rekisteröinniksi.

Myös Myöntäjän suodatin on määritettävä myös palveluntarjoajan lisäasetuksissa.

Katso myös

OpenID Connectin usein kysytyt kysymykset