ポータルでの OpenID Connect の使用に関する FAQ

[アーティクル]
03/15/2023

注意

2022 年 10 月 12 日より、Power Apps ポータルは Power Pages となります。詳細: Microsoft Power Pages の一般提供が開始されました (ブログ)
Power Apps ポータルのドキュメントは、近日中に Power Pages ドキュメントに移行、統合されます。

この記事では、一般的な Power Apps ポータルのシナリオや、OpenID Connect 仕様に準拠した認証プロバイダーを使用する際のよくある質問などを紹介しています。

ポータルとの統合には、 OpenId Connect Auto-Discovery Document が必要ですか？

はい。ポータルとの統合には、Auto-Discovery Document (または /.well-known/openid-configuration と呼ばれます) が必要となります。このドキュメントに記載されている情報は、ポータルが承認リクエストを作成し、認証トークンを検証する目的で使用されます。

ID プロバイダーがこのドキュメントを提供していない場合は、手動で作成して、任意のパブリックロケーション (ポータルを含む) でホストすることができます。

注意

検出ドキュメントと同様に、ポータルは ID トークンの署名を検証するために公開鍵が利用可能な JWKS URI エンドポイントを提供することを ID プロバイダーに要求します。このエンドポイントは、検出ドキュメント内で jwks_uri キーとして指定する必要があります。

ポータルは、認証リクエストで acr_values のリクエストパラメータに対応していますか？

いいえ。ポータルは、認証リクエストで acr_values のリクエストパラメータには対応していません。しかし、ポータル機能は、OpenID Connect 仕様で定義されている必要なリクエスト—パラメーターと推奨されるリクエスト—パラメーターをすべてサポートしています。

次の任意のパラメーターに対応しています :

Response_mode
ナンス
UI_Locales

ポータルは、認証要求でカスタムスコープパラメーターに対応していますか？

はい。カスタムスコープパラメーターは、設定中にスコープオプションを使用して指定できます。

連絡先のユーザー名や Dataverse の外部 ID レコードのユーザー名が、サインインページでユーザーが入力したものと異なる値が表示されます。

取引先担当者レコードと外部 ID レコードのユーザー名フィールドには、サブクレームまたはオブジェクトID (OID) 要求 (Azure AD– ベースのプロバイダー向け) のいずれかで送信された値が表示されます。これは、サブ要求がエンドユーザーの識別子を表し、ID プロバイダーが一意であることが保証しているためです。 OID 要求 (オブジェクト ID - テナント内の全ユーザーの一意の識別子) は、シングルテナントの Azure AD–ベースのプロバイダーで使用する場合に対応しています。

ポータルは OpenID Connect–ベースのプロバイダーからのサインアウトに対応していますか？

はい。ポータル機能は、アプリケーションと OpenID Connect–ベースのプロバイダの両方からサインアウトするフロントチャネルのサインアウト技術をサポートしています。

ポータルはシングルサインアウトに対応していますか？

いいえ。ポータルは、OpenID Connect–ベースのプロバイダーのシングルサインアウト技術には対応していません。

ポータルでは ID のトークン* で特定の要求が必要になりますか？

ポータル機能では、必要とされるすべての要求に加えて、ID トークン内のユーザーの電子メールアドレスを表す要求が必要となります。この要求には、email、emails、upn の名前を付ける必要があります。

すべての必要な要求とは別に、ポータルでは、id_token にユーザーのメールアドレスを表す要求が必要となります。このクレームには、「email」、「emails」、「upn」のいずれかの名前を付ける必要があります。

これらの要求は、以下の優先順位で処理され、Dataverse の連絡先レコードのプライマリメールアドレスとして設定されます :

メール
電子メール
upn

使用中は、「emailclaimsmapping」を使用して既存の連絡先 (Dataverse のプライマリメールアドレスフィールド) を検索します。

JavaScript を使用してトークン (ID または Access) にアクセスできますか？

いいえ。 ID プロバイダーが提供する ID トークンは、クライアント側の標準的な技術では利用することができず、認証目的のためにのみ使用されます。暗黙的な許可のフローを使用している場合は、ID プロバイダーが提供する方法を使用して ID やアクセストークンへのアクセスを取得することができます。

たとえば、Azure AD は Microsoft 認証ライブラリを提供し、クライアントでこのシナリオを実現します。

Azure AD の代わりにカスタム OpenID Connect プロバイダーを使用できますか？

はい。ポータルでは、標準の OpenID Connect specifications が対応しているあらゆる OpenID Connect プロバイダーに対応しています。

次の方法で共有

ポータルでの OpenID Connect の使用に関する FAQ

ポータルとの統合には、 OpenId Connect Auto-Discovery Document が必要ですか？

ポータルは、認証リクエストで acr_values のリクエストパラメータに対応していますか？

ポータルは、認証要求でカスタムスコープパラメーターに対応していますか？

連絡先のユーザー名や Dataverse の外部 ID レコードのユーザー名が、サインインページでユーザーが入力したものと異なる値が表示されます。

ポータルは OpenID Connect–ベースのプロバイダーからのサインアウトに対応していますか？

ポータルはシングルサインアウトに対応していますか？

ポータルでは ID のトークン* で特定の要求が必要になりますか？

JavaScript を使用してトークン (ID または Access) にアクセスできますか？

Azure AD の代わりにカスタム OpenID Connect プロバイダーを使用できますか？

関連項目

その他のリソース

次の方法で共有

ポータルでの OpenID Connect の使用に関する FAQ

ポータルとの統合には、 OpenId Connect Auto-Discovery Document が必要ですか？

ポータルは、認証リクエストで acr_values のリクエストパラメータに対応していますか？

ポータルは、認証要求でカスタム スコープ パラメーターに対応していますか？

連絡先のユーザー名や Dataverse の外部 ID レコードのユーザー名が、サインイン ページでユーザーが入力したものと異なる値が表示されます。

ポータルは OpenID Connect–ベースのプロバイダーからのサインアウトに対応していますか？

ポータルはシングル サインアウトに対応していますか？

ポータルでは ID のトークン* で特定の要求が必要になりますか？

JavaScript を使用してトークン (ID または Access) にアクセスできますか？

Azure AD の代わりにカスタム OpenID Connect プロバイダーを使用できますか？

関連項目

その他のリソース

ポータルは、認証要求でカスタムスコープパラメーターに対応していますか？

連絡先のユーザー名や Dataverse の外部 ID レコードのユーザー名が、サインインページでユーザーが入力したものと異なる値が表示されます。

ポータルはシングルサインアウトに対応していますか？