Udostępnij za pośrednictwem

Konfiguracja dostawcy OpenID Connect z Azure AD B2C

  • Artykuł

Azure Active Directory (Azure AD) B2C jest jednym z dostawców tożsamości OpenID Connect, których można użyć do uwierzytelniania odwiedzających witrynę Power Pages. Możesz używać wszystkich dostawców tożsamości zgodnych ze standardem specyfikacji OpenID Connect.

W tym artykule opisano następujące kroki:

Uwaga

Zmiany w ustawieniach uwierzytelniania witryny może potrwać kilka minut. Aby natychmiast zobaczyć zmiany, uruchom ponownie witrynę w centrum administracyjnym.

Konfiguracja Azure AD B2C w Power Pages

Ustaw usługę Azure AD B2C jako dostawcę tożsamości dla witryny.

  1. W witrynie Power Pages wybierz pozycję Bezpieczeństwo>Dostawcy tożsamości.

    Jeśli nie pojawią się żadni dostawcy tożsamości, upewnij się, że opcja Logowanie zewnętrzne jest ustawiona na Włączone w ogólnych ustawieniach uwierzytelniania witryny.

  2. Po prawej stronie Azure Active Directory B2C wybierz Więcej poleceń (...) >Konfiguruj lub wybierz nazwę dostawcy.

  3. Pozostaw nazwę dostawcy bez zmian lub zmień ją, jeśli chcesz.

    Nazwa dostawcy to tekst na przycisku, który użytkownicy widzą po wybraniu dostawcy tożsamości na stronie logowania.

  4. Wybierz Dalej.

  5. W Odpowiedz URL wybierz opcję Kopiuj.

  6. Wybierz Otwórz platformę Azure.

    Nie zamykaj karty przeglądarki Power Pages. Wkrótce do niej wrócisz.

Tworzenie rejestracji aplikacji

Utwórz dzierżawę dla usługi Azure AD B2C i zarejestruj aplikację z adresem URL odpowiedzi witryny jako identyfikatorem URI przekierowania.

  1. Utwórz dzierżawcę Azure AD B2C.

  2. Wyszukaj i wybierz Azure AD B2C.

  3. W obszarze Zarządzaj wybierz pozycję Rejestracje aplikacji.

  4. Wybierz Nowa rejestracja.

  5. Wprowadź nazwę.

  6. Wybierz jeden z Obsługiwanych typów kont, który najlepiej odpowiada potrzebom organizacji.

  7. W obszarze Przekierowywanie URI wybierz Sieć jako platformę, a następnie wprowadź adres URL zwrotu dla witryny.

    • Jeśli korzystasz z domyślnego adresu URL witryny, wklej adres URL odpowiedzi skopiowany przez siebie.
    • Jeśli używasz niestandardowej nazwy domeny, wprowadź niestandardowy adres URL. Pamiętaj, aby użyć tego samego niestandardowego adresu URL przekierowania w ustawieniach dostawcy tożsamości w swojej witrynie.

  8. Wybierz pozycję Zarejestruj.

  9. Skopiuj identyfikator aplikacji (klient).

  10. W panelu po lewej stronie, w sekcji Zarządzanie, wybierz Uwierzytelnianie.

  11. W sekcji Udzielenie niejawne wybierz Tokeny dostępu (używane do niejawnych przepływów).

  12. Wybierz pozycję Zapisz.

  13. Skonfiguruj zgodność tokena przy użyciu adresu URL żądania tokena (iss) zawierającego tfp. Dowiedz się więcej o zgodności tokenów.

Tworzenie przepływów użytkownika

  1. Utwórz przepływ użytkownika rejestracji i logowania.

  2. (Opcjonalnie) Tworzenie przepływu użytkownika resetowania hasła.

Uzyskaj adres URL emitenta z przepływów użytkownika

  1. Otwórz przepływ rejestracji i logowania użytkownika, który utworzyłeś.

  2. Przejdź do dzierżawy Azure AD B2C w Azure Portal.

  3. Wybierz Uruchom przepływ użytkownika.

  4. Otwórz adres URL konfiguracji OpenID Connect w nowej karcie przeglądarki.

    Adres URL odwołuje się do dokumentu konfiguracyjnego dostawcy tożsamości OpenID Connect, zwanego również dobrze znanym punktem końcowym konfiguracji OpenID.

  5. Skopiuj adres URL Wydawca w pasku adresu. Nie umieszczaj cudzysłowu. Upewnij się, że adres URL Wydawcy oświadczenia (iss) tfp.

  6. Otwórz przepływ użytkownika resetowania hasła, jeśli został utworzony, i powtórz kroki 2–5.

Wprowadź ustawienia witryny i resetowania hasła w Power Pages

  1. Wróć do strony Power Pages Konfiguracja dostawcy tożsamości, którą opuściłeś wcześniej.

  2. W sekcji Konfiguruj ustawienia witryny wprowadź następujące wartości:

    • Urząd: Wklej adres URL emitenta skopiowany wcześniej.

    • Identyfikator klienta: wklej identyfikator aplikacji (klienta) dla utworzonej aplikacji Azure AD B2C.

    • Przekieruj identyfikator URI: jeśli w witrynie jest używana niestandardowa nazwa domeny, wprowadź niestandardowy adres URL, w przeciwnym razie pozostaw wartość domyślną, czyli adres URL odpowiedzi witryny.

  3. W sekcji Ustawienia resetowania hasła wprowadź następujące wartości:

    • Domyślny identyfikator polityki: Wprowadź nazwę przepływu rejestracji i logowania użytkownika, który utworzyłeś.. Nazwa jest poprzedzona elementem B2C_1.

    • Identyfikator polityki resetowania hasła: Jeśli stworzyłeś przepływ użytkownika resetowania hasła, wprowadź jego nazwę. Nazwa jest poprzedzona elementem B2C_1.

    • Weryfikacja emitentów: Wprowadź rozdzielaną przecinkami listę adresów URL emitentów dla przepływów rejestracji, logowania i resetowania hasła użytkowników, które utworzyłeś.

  4. (Opcjonalnie) Rozwiń Dodatkowe ustawienia i zmień ustawienia według potrzeb.

  5. Wybierz pozycję Potwierdź.

Dodatkowe ustawienia w Power Pages

Dodatkowe ustawienia zapewniają lepszą kontrolę nad sposobem uwierzytelniania użytkowników za pomocą dostawcy tożsamości Azure AD B2C. Nie trzeba ustawiać żadnej z tych wartości. Są one całkowicie opcjonalne.

  • Mapowanie oświadczeń rejestracyjnych i mapowanie oświadczeń logowania: W uwierzytelnianiu użytkownika oświadczenie to informacja opisująca tożsamość użytkownika, taka jak adres e-mail lub data urodzenia. Po zalogowaniu się do aplikacji lub witryny internetowej tworzony jest token. Token zawiera informacje o tożsamości użytkownika, w tym wszelkie roszczenia, które są z nim związane. Tokeny są używane do uwierzytelniania tożsamości użytkownika podczas uzyskiwania dostępu do innych części aplikacji lub witryny lub innych aplikacji i witryn, które są połączone z tym samym dostawcą tożsamości. Mapowanie roszczeń to sposób na zmianę informacji zawartych w tokenie. Może być wykorzystywany do dostosowywania informacji dostępnych w aplikacji lub witrynie oraz do kontrolowania dostępu do funkcji lub danych. Mapowanie oświadczeń rejestracyjnych modyfikuje oświadczenia emitowane podczas rejestracji w aplikacji lub witrynie. Mapowanie oświadczeń logowania modyfikuje oświadczenia emitowane podczas logowania w aplikacji lub witrynie. Dowiedz się więcej o zasadach mapowania roszczeń.

    • Nie trzeba wprowadzać wartości dla tych ustawień, jeśli używane są atrybuty e-mail, imię lub nazwisko. W przypadku innych atrybutów należy wprowadzić listę logicznych par nazwa/wartość. Wprowadź je w formacie field_logical_name=jwt_attribute_name, gdzie field_logical_name to logiczna nazwa pola w Power Pages, a jwt_attribute_name to atrybut z wartością zwróconą przez dostawcę tożsamości. Pary te są używane do mapowania wartości oświadczeń (utworzonych podczas rejestracji lub logowania i zwróconych z usługi Azure AD B2C) na atrybuty w rekordzie kontaktu.

      Na przykład, używasz tytułu pracy (jobTitle) i kodu pocztowego (postalCode) jako atrybutów użytkownika w swoim przepływie użytkownika. Chcesz zaktualizować odpowiednie pola tabeli Contact Tytuł pracy (jobtitle) i Address 1: ZIP / Postal Code (address1_postalcode). W takim przypadku należy wprowadzić mapowanie oświadczeń jako jobtitle=jobTitle,address1_postalcode=postalCode.

  • Wylogowanie zewnętrzne: To ustawienie kontroluje, czy witryna używa federacyjnego wylogowania. W przypadku wylogowania federacyjnego, gdy użytkownicy wylogowują się z aplikacji lub witryny, są również wylogowywani ze wszystkich aplikacji i witryn korzystających z tego samego dostawcy tożsamości. Na przykład, jeśli zalogujesz się do witryny przy użyciu konta Microsoft, a następnie wylogujesz się z konta Microsoft, wylogowanie federacyjne upewni się, że jesteś również wylogowany z witryny.

    • Wł.: Przekierowuje użytkowników do federacyjnego środowiska wylogowania po wylogowaniu się z witryny.
    • Wył.: Wylogowuje użytkowników tylko z Twojej witryny.

  • Mapowanie kontaktów z adresem e-mail: To ustawienie określa, czy kontakty są mapowane na odpowiedni adres e-mail podczas logowania.

    • Wł.: Włącz ten przełącznik, aby kojarzyć unikatowy rekord kontaktu z pasującym adresem e-mail, a następnie automatycznie przypisywać zewnętrznego dostawcę tożsamości do kontaktu po pomyślnym zalogowaniu użytkownika.
    • Wył.: Rekord kontaktu nie jest dopasowany do dostawcy tożsamości. Jest to domyślna opcja dla tego ustawienia.

  • Rejestracja włączona: To ustawienie kontroluje, czy użytkownicy mogą rejestrować się w witrynie.

    • Wł.: Wyświetla stronę rejestracji, na której użytkownicy mogą utworzyć konto w witrynie.
    • Wyłączone: Wyłącza i ukrywa zewnętrzną stronę rejestracji konta.

Zobacz też

Konfiguracja uwierzytelniania witryny
Migruj dostawców tożsamości do Azure AD B2C