Del via

Konfigurer en OpenID Connect-leverandør med Microsoft Entra ID

  • Artikkel

Microsoft Entra er en av OpenID Connect-identitetsleverandørene du kan bruke til å godkjenne besøkende på Power Pages-nettstedet. Sammen med Microsoft Entra ID, Microsoft Entra ID for flere leiere og Azure AD B2C kan du bruke en hvilken som helst annen leverandør som samsvarer med OpenID Connect-spesifikasjon.

Denne artikkelen beskriver følgende trinn:

Merk

Endringer i godkjenningsinnstillingene for nettstedet kan ta noen minutter å gjenspeile i på nettstedet. Hvis du vil se endringene umiddelbart, starter du området på nytt i administrasjonssenteret.

Konfigurer Microsoft Entra i Power Pages

Angi Microsoft Entra som en identitetsleverandør for området.

  1. Velg Sikkerhet>Identitetsleverandører på Power Pages-nettstedet.

    Hvis ingen identitetsleverandører vises, må du kontrollere at ekstern pålogging er satt til i områdets generelle godkjenningsinnstillinger.

  2. Velg + Ny leverandør.

  3. Under Velg påloggingsleverandør velger du Annen.

  4. Under Protokoll velger du OpenID Connect.

  5. Angi et navn for leverandør, for eksempel Microsoft Entra ID.

    Leverandørnavnet er tekst på knappen som brukere ser når de velger identitetsleverandør på påloggingssiden.

  6. Velg Neste.

  7. Velg Kopier under Svar-URL-adresse.

    Ikke lukk Power Pages-webleserkategorien. Du kommer tilbake til det snart.

Opprette en appregistrering i Azure

Opprett en appregistrering i Azure Portal med nettstedets svar-URL som URI for omdirigering.

  1. Logg deg på Azure-portalen.

  2. Søk etter og velg Azure Active Directory.

  3. Under Behandle velger du App-registreringer.

  4. Velg Ny registrering.

  5. Angi et navn.

  6. Velg Støttede forretningsforbindelsestyper som best gjenspeiler organisasjonens behov.

  7. Velg URI for omdirigering, velg Web som plattform, og angi deretter URL-adressen for svar for området.

    • Hvis du bruker områdets standard URL-adresse, limer du inn svar-URL-adressen du kopierte.
    • Hvis du bruker et egendefinert domenenavn, angir du egendefinert URL-adressen. Pass på at du bruker den samme egendefinerte URL-adressen for URL-adressen for omdirigering i innstillingene for identitetsleverandøren på området.

  8. Velg Registrer.

  9. Kopier App-ID-en (klient) .

  10. Velg Legg til et sertifikat eller en hemmelighet til høyre for Klientlegitimasjonen.

  11. Velg + Ny klienthemmelighet.

  12. Angi en valgfri beskrivelse, velg en utløpsdato og velg deretter Legg til.

  13. Merk ikonet Kopier til utklippstavlen under Hemmelig ID.

  14. Velg Endepunkter øverst på siden.

  15. Finn URL-adressen til OpenID Connect-metadatadokumentet , og velg kopieringsikonet.

  16. I venstre panel, under Administrer, velger du Godkjenning.

  17. Velg ID-tokener (brukes for implisitte og hybride flyter) under Implisitt tillatelse.

  18. Velg Lagre.

Angi nettstedsinnstillinger i Power Pages

Gå tilbake til siden Power Pages Konfigurer identitetsleverandør du la igjen tidligere, og angi følgende verdier: Du kan eventuelt endre tilleggsinnstillingene etter behov. Velg Bekreft når du er ferdig.

  • Instans: Angi URL-adressen til instansen i følgende format: https://login.microsoftonline.com/<Directory (tenant) ID>/ der <Directory (tenant) ID> er katalog-ID-en (leier) for programmet du opprettet. Hvis for eksempel ID for katalog (leier) i Azure-portalen er aaaabbbb-0000-cccc-1111-dddd2222eeee, er URL-adressen for instansen https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • Klient-ID​: Lim inn programmet eller klient-ID-en for programmet du opprettet.

  • URL for omdirigering: Hvis nettstedet bruker et egendefinert domenenavn, angir du den egendefinerte URL-adressen. Hvis ikke lar du standardverdien være som den er. Pass på at verdien er nøyaktig den samme som URI-en for omdirigering til programmet du opprettet.

  • Metadataadresse: Lim inn URL-adressen til metadatadokumentet for OpenID Connect du kopierte.

  • Omfang: Angi openid email.

    openid-verdien er obligatorisk. email-verdien er valgfri, og sørger for at brukerens e-postadresse automatisk fylles ut og vises på profilsiden etter at brukeren har logget på. Finn ut mer om andre erklæringer du kan legge til.

  • Svartype: Velg code id_token.

  • Klienthemmelighet: Lim inn klienthemmeligheten fra programmet du opprettet. Denne innstillingen er obligatorisk hvis svartypen er code.

  • Svarmodus: Velg form_post.

  • Ekstern pålogging: Denne innstillingen styrer hvorvidt nettstedet bruker federert avlogging. Når brukere logger seg av et program eller nettsted med federert avlogging, blir de også logget av alle programmer og nettsteder som bruker samme identitetsleverandør. Slå den på for omdirigere brukere til federert avlogging når de logger av nettstedet. Slå den av for å bare logge brukere av webområdet ditt.

  • URL for omdirigering etter avlogging: Angi URL-adressen der identitetsleverandøren skal omdirigere brukere etter at de har logget seg av. Dette stedet må angis riktig i konfigurasjonen for identitetsleverandøren.

  • RP-startet avlogging: Denne innstillingen styrer hvorvidt den beroende parten – OpenID Connect-klientprogrammet – kan logge av brukere. For å kunne bruke denne innstillingen aktiverer du Ekstern avlogging.

Tilleggsinnstillinger i Power Pages

Tilleggsinnstillingene gir deg bedre kontroll over hvordan brukere godkjennes med Microsoft Entra-identitetsleverandøren. Du trenger ikke angi noen av disse verdiene. De er helt valgfrie.

  • Utstederfilter: Angi et jokertegnbasert filter som samsvarer med alle utstedere i alle leiere, for eksempel https://sts.windows.net/*/.

  • Valider målgruppe: Aktiver denne innstillingen for å validere målgruppen under tokenvalidering.

  • Gyldige målgrupper: Angi en kommadelt liste over nettadresser for målgruppe.

  • Valider utstedere: Aktiver denne innstillingen for å validere utstederen under tokenvalideringen.

  • Gyldige utstedere: Angi en kommadelt liste over URL-adresser for utstedere.

  • Tildeling av registreringserklæringer​ og Tildeling av påloggingserklæringer: I brukergodkjenning er erklæring informasjon som beskriver identiteten til en bruker, for eksempel en e-postadresse eller fødselsdato. Når du logger på et program eller webområde, opprettes det et token. Et token inneholder informasjon om identiteten din, inkludert eventuelle påstander som er knyttet til det. Tokener brukes til å godkjenne identiteten din når du går til andre deler av programmet eller området eller andre programmer og områder som er koblet til den samme identitetsleverandøren. Erklæringstildeling er en metode for å endre informasjonen som er tatt med i et token. Den kan brukes til å tilpasse informasjonen som er tilgjengelig for programmet eller området, og til å kontrollere tilgang til funksjoner eller data. Tildeling av registreringserklæring endrer erklæringene som sendes ut når du registrerer deg for et program eller nettsted. Tildeling av påloggingserklæring endrer erklæringene som sendes ut når du logger deg på et program eller nettsted. Finn ut mer om policyer for erklæringstildeling.

  • Nonce-levetid: Angi levetiden for nonce-verdien, i minutter. Standardverdien er 10 minutter.

  • Bruk tokenlevetid: Denne innstillingen styrer hvorvidt levetiden for godkjenningsøkten, for eksempel informasjonskapsler, skal samsvare med godkjenningstokenet. Hvis du aktiverer den, overstyrer den verdien for tidsintervallet for utløp av appinformasjonskapsel i områdeinnstillingen ApplicationCookie/ExpireTimeSpan.

  • Kontakttilordning med e-post: Denne innstillingen angir om kontaktene er tilordnet til en tilhørende e-post.

    • : Tilordner en unik kontaktoppføring med en samsvarende e-postadresse, og tilordner automatisk den eksterne identitetsleverandøren til kontakten etter at brukeren har logget seg på.
    • Deaktivert

Merk

UI_Locales-forespørselsparameter sendes automatisk i godkjenningsforespørselen, og blir satt til språket som er valgt i portalen.

Konfigurere flere krav

  1. Aktiver valgfrie krav i Microsoft Entra ID.

  2. Angi Omfang for å inkludere flere krav, for eksempel openid email profile.

  3. Angi den ekstra områdeinnstillingen Tilordning av registreringskrav, for eksempel firstname=given_name,lastname=family_name.

  4. Angi den ekstra områdeinnstillingen Tilordning av påloggingskrav, for eksempel firstname=given_name,lastname=family_name.

I disse eksemplene blir fornavn, etternavn og e-postadressene som følger med tilleggskravene, til standardverdiene på profilsiden på nettstedet.

Merk

Kravtilordning støttes for datatypefeltene tekst og boolsk.

Tillat multi-instans Microsoft Entra-godkjenning

For å tillate Microsoft Entra-brukere å godkjenne fra en leier i Azure, ikke bare fra en bestemt leier, endrer du Microsoft Entra -programregistreringen til flerleier.

Du må også angi Utstederfilter i leverandørens tilleggsinnstillinger.

Se også

Vanlige spørsmål om OpenID Connect