次の方法で共有


ポータルでの OpenID Connect の使用に関する FAQ

注意

2022 年 10 月 12 日より、Power Apps ポータルは Power Pages となります。 詳細: Microsoft Power Pages の一般提供が開始されました (ブログ)
Power Apps ポータルのドキュメントは、近日中に Power Pages ドキュメントに移行、統合されます。

この記事では、一般的な Power Apps ポータルのシナリオや、OpenID Connect 仕様 に準拠した認証プロバイダーを使用する際のよくある質問などを紹介しています。

ポータルとの統合には、 OpenId Connect Auto-Discovery Document が必要ですか?

はい。 ポータルとの統合には、Auto-Discovery Document (または /.well-known/openid-configuration と呼ばれます) が必要となります。 このドキュメントに記載されている情報は、ポータルが承認リクエストを作成し、認証トークンを検証する目的で使用されます。

ID プロバイダー がこのドキュメントを提供していない場合は、手動で作成して、任意のパブリックロケーション (ポータルを含む) でホストすることができます。

注意

検出ドキュメントと同様に、ポータルは ID トークンの署名を検証するために公開鍵が利用可能な JWKS URI エンドポイントを提供することを ID プロバイダーに要求します。 このエンドポイントは、検出ドキュメント内で jwks_uri キーとして指定する必要があります。

ポータルは、認証リクエストで acr_values のリクエストパラメータに対応していますか?

いいえ。 ポータルは、認証リクエストで acr_values のリクエストパラメータには対応していません。 しかし、ポータル機能は、OpenID Connect 仕様で定義されている必要なリクエスト—パラメーターと推奨されるリクエスト—パラメーターをすべてサポートしています。

次の任意のパラメーターに対応しています :

  • Response_mode
  • ナンス
  • UI_Locales

ポータルは、認証要求でカスタム スコープ パラメーターに対応していますか?

はい。 カスタム スコープ パラメーターは、設定中にスコープ オプションを使用して指定できます。

連絡先のユーザー名や Dataverse の外部 ID レコードのユーザー名が、サインイン ページでユーザーが入力したものと異なる値が表示されます。

取引先担当者レコードと外部 ID レコードのユーザー名フィールドには、サブクレームまたはオブジェクトID (OID) 要求 (Azure AD– ベースのプロバイダー向け) のいずれかで送信された値が表示されます。 これは、サブ要求がエンド ユーザーの識別子を表し、ID プロバイダーが一意であることが保証しているためです。 OID 要求 (オブジェクト ID - テナント内の全ユーザーの一意の識別子) は、シングル テナントの Azure AD–ベースのプロバイダーで使用する場合に対応しています。

ポータルは OpenID Connect–ベースのプロバイダーからのサインアウトに対応していますか?

はい。 ポータル機能は、アプリケーションと OpenID Connect–ベースのプロバイダの両方からサインアウトするフロント チャネルのサインアウト技術をサポートしています。

ポータルはシングル サインアウトに対応していますか?

いいえ。 ポータルは、OpenID Connect–ベースのプロバイダーのシングル サインアウト技術には対応していません。

ポータルでは ID のトークン* で特定の要求が必要になりますか?

ポータル機能では、必要とされるすべての要求に加えて、ID トークン内のユーザーの電子メール アドレスを表す要求が必要となります。 この要求には、emailemailsupn の名前を付ける必要があります。

すべての必要な要求とは別に、ポータルでは、id_token にユーザーのメールアドレスを表す要求が必要となります。 このクレームには、「email」、「emails」、「upn」 のいずれかの名前を付ける必要があります。

これらの要求は、以下の優先順位で処理され、Dataverse の連絡先レコードのプライマリ メールアドレスとして設定されます :

  1. メール
  2. 電子メール
  3. upn

使用中は、「emailclaimsmapping」を使用して既存の連絡先 (Dataverse のプライマリ メールアドレス フィールド) を検索します。

JavaScript を使用してトークン (ID または Access) にアクセスできますか?

いいえ。 ID プロバイダーが提供する ID トークンは、クライアント側の標準的な技術では利用することができず、認証目的のためにのみ使用されます。 暗黙的な許可のフローを使用している場合は、ID プロバイダーが提供する方法を使用して ID やアクセス トークンへのアクセスを取得することができます。

たとえば、Azure AD は Microsoft 認証ライブラリを提供し、クライアントでこのシナリオを実現します。

Azure AD の代わりにカスタム OpenID Connect プロバイダーを使用できますか?

はい。 ポータルでは、標準の OpenID Connect specifications が対応しているあらゆる OpenID Connect プロバイダーに対応しています。

関連項目

ポータルの OpenID Connect プロバイダーを構成する

注意

ドキュメントの言語設定についてお聞かせください。 簡単な調査を行います。 (この調査は英語です)

この調査には約 7 分かかります。 個人データは収集されません (プライバシー ステートメント)。