Udostępnij za pośrednictwem

Konfiguracja dostawcy OpenID Connect

  • Artykuł

Dostawcy tożsamości usługi OpenID Connect są usługami zgodnymi ze specyfikacją Open ID Connect. W przypadku usługi OpenID Connect wprowadzono pojęcie tokenu identyfikatora. Token identyfikatora to token zabezpieczeń umożliwiający klientowi zweryfikowanie tożsamości użytkownika. Pobiera także podstawowe informacje profilowe o użytkownikach nazywane oświadczeniami.

Dostawcy usługi OpenID Connect Azure AD B2C, Microsoft Entra ID i Microsoft Entra ID z wieloma dzierżawcami są wbudowane w Power Pages. W tym artykule wyjaśniono sposób dodawania innych dostawców tożsamości usługi OpenID Connect do witryny Power Pages.

Obsługiwane i nieobsługiwane przepływy uwierzytelniania w Power Pages

  • Niejawne udzielenie
    • To jest domyślny przepływ metody uwierzytelnienia dla witryn Power Pages.
  • Kod autoryzacji
    • Power Pages używa metody client_secret_post do komunikacji z tokenem serwera tożsamości punkt końcowy.
    • Metoda private_key_jwt do uwierzytelniania przy użyciu tokenu punktu końcowego nie jest obsługiwana.
  • Wersja hybrydowa (obsługa ograniczona)
    • Power Pages wymaga id_token obecnego w odpowiedzi, więc response_type = token kodu nie jest obsługiwany.
    • Przepływ hybrydowy w Power Pages ma ten samy przepływ jak niejawne udzielenie i używa id_token, by bezpośrednio logować użytkowników.
  • Klucz weryfikacji dla programu Code Exchange (PKCE)
    • Nie są obsługiwane metody uwierzytelniania użytkowników oparte na technologii PKCE.

Uwaga

Zmiany w ustawieniach uwierzytelniania witryny może potrwać kilka minut. Aby natychmiast zobaczyć zmiany, uruchom ponownie witrynę w centrum administracyjnym.

Konfigurowanie dostawcy usługi OpenID Connect w Power Pages

  1. W witrynie Power Pages wybierz pozycję Bezpieczeństwo>Dostawcy tożsamości.

    Jeśli nie pojawią się żadni dostawcy tożsamości, upewnij się, że opcja Logowanie zewnętrzne jest ustawiona na Włączone w ogólnych ustawieniach uwierzytelniania witryny.

  2. Wybierz + Nowy dostawca.

  3. Z listy Wybierz dostawcę logowania wybierz pozycję Inny.

  4. W obszarze Protokół wybierz opcję OpenID Connect.

  5. Wprowadź nazwę dostawcy.

    Nazwa dostawcy to tekst na przycisku, który użytkownicy widzą po wybraniu dostawcy tożsamości na stronie logowania.

  6. Wybierz Dalej.

  7. W Odpowiedz URL wybierz opcję Kopiuj.

    Nie zamykaj karty przeglądarki Power Pages. Wkrótce do niej wrócisz.

Tworzenie rejestracji aplikacji w dostawcy tożsamości

  1. Utworzenie i zarejestrowanie aplikacji u dostawcy tożsamości przy użyciu skopiowanego adresu URL odpowiedzi.

  2. Skopiuj aplikację lub identyfikator klienta i klienta.

  3. Znajdź punktu końcowe aplikacji i skopiuj adres URL dokumentu metadanych OpenID Connect.

  4. Zmień inne ustawienia wymagane dla dostawcy tożsamości.

Wprowadź ustawienia witryny w Power Pages

Wróć do strony Dostawcy konfiguracji tożsamości Power Pages, która wcześniej pozostawiła i wprowadź następujące wartości. Opcjonalnie zmień dodatkowe ustawienia, zgodnie z potrzebą. Po zakończeniu wybierz Potwierdź.

  • Urząd: wprowadź adres URL urzędu w następującym formacie: https://login.microsoftonline.com/<Directory (tenant) ID>/ gdzie <identyfikator katalogu (dzierżawcy)> jest identyfikatorem katalogu (dzierżawcy) utworzonej aplikacji. Na przykład jeśli identyfikatorem katalogu (dzierżawcy) w portalu Azure jest 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, to adresem URL urzędu jest https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • Identyfikator klienta: wklej identyfikator aplikacji lub klienta dla utworzonej aplikacji.

  • Przekierowanie URL: Jeśli witryna korzysta z niestandardowej nazwy domeny, wprowadź niestandardowy adres URL; w przeciwnym razie pozostaw wartość domyślną. Należy upewnić się, że wartość jest dokładnie taka sama jak URI przekierowywania utworzonej aplikacji.

  • Adres metadanych: wklej skopiowany adres URL dokumentu metadanych OpenID Connect.

  • Zakres: wprowadź listę rozdzielanych spacjami zakresów do zażądania za pośrednictwem parametru zakresu protokołu scope OpenId Connect. Domyślna wartość to openid.

    Wartość openid jest wymagana. Informacje o innych oświadczeniach, które można dodać.

  • Typ odpowiedzi: wprowadź wartość parametru response_type protokołu OpenID Connect. Możliwe wartości to code, code id_token, id_token id_token token i code id_token token. Domyślna wartość to code id_token.

  • Klucz tajny klienta: wklej klucz tajny klienta z aplikacji dostawcy. Może też być określany mianem tajnej aplikacji lub tajnym klientem. To ustawienie jest wymagane, jeśli typem odpowiedzi jest code.

  • Tryb odpowiedzi: wprowadź wartość parametru response_mode protokołu OpenID Connect. Powinno to być query, jeśli typem odpowiedzi jest code. Domyślna wartość to form_post.

  • Wylogowanie zewnętrzne: To ustawienie kontroluje, czy witryna używa federacyjnego wylogowania. W przypadku wylogowania federacyjnego, gdy użytkownicy wylogowują się z aplikacji lub witryny, są również wylogowywani ze wszystkich aplikacji i witryn korzystających z tego samego dostawcy tożsamości. Włącz, by przekierowywać użytkowników do federacyjnego środowiska wylogowania po wylogowaniu się z witryny. Wyłącz, by wylogować użytkowników tylko z Twojej witryny.

  • Po logowaniu adres URL przekierowania: wprowadź adres URL, do którego dostawca tożsamości powinien przekierowywać użytkowników po wylogowaniu. Tę lokalizację należy także odpowiednio ustawić w konfiguracji dostawcy tożsamości.

  • Zainicjowanie logowania punktu przechowywania: to ustawienie określa, czy strona korzystający z usługi, czyli aplikacja kliencka OpenID Connect, może wylogować użytkowników. Aby użyć tego ustawienia, należy włączyć Zewnętrzne wylogowanie.

Dodatkowe ustawienia w Power Pages

Dodatkowe ustawienia zapewniają lepszą kontrolę nad sposobem uwierzytelniania użytkowników za pomocą dostawcy tożsamości OpenID Connect. Nie trzeba ustawiać żadnej z tych wartości. Są one całkowicie opcjonalne.

  • Filtr wydawcy: to ustawienie lokacji jest filtrem wieloznacznym, który pasuje do wszystkich wystawców we wszystkich dzierżawach; na przykład https://sts.windows.net/*/. Jeśli jest używasz dostawcy identyfikatora autoryzacji Microsoft Entra, będzie to filtr adres URL https://login.microsoftonline.com/*/v2.0/.

  • Sprawdź odbiorcy: włącz to ustawienie, aby sprawdzić poprawność odbiorcy tokenu.

  • Prawidłowi odbiorcy: wprowadź adresu URL odbiorców przecinkami adresów e-mail.

  • Sprawdź wydawców: włącz to ustawienie, aby sprawdzić poprawność wystawcy tokenu.

  • Prawidłowi wystawcy: wprowadź adresu URL wystawców przecinkami adresów e-mail.

  • Mapowanie oświadczeń rejestracyjnych i mapowanie oświadczeń logowania: W uwierzytelnianiu użytkownika oświadczenie to informacja opisująca tożsamość użytkownika, taka jak adres e-mail lub data urodzenia. Po zalogowaniu się do aplikacji lub witryny internetowej tworzony jest token. Token zawiera informacje o tożsamości użytkownika, w tym wszelkie roszczenia, które są z nim związane. Tokeny są używane do uwierzytelniania tożsamości użytkownika podczas uzyskiwania dostępu do innych części aplikacji lub witryny lub innych aplikacji i witryn, które są połączone z tym samym dostawcą tożsamości. Mapowanie roszczeń to sposób na zmianę informacji zawartych w tokenie. Może być wykorzystywany do dostosowywania informacji dostępnych w aplikacji lub witrynie oraz do kontrolowania dostępu do funkcji lub danych. Mapowanie oświadczeń rejestracyjnych modyfikuje oświadczenia emitowane podczas rejestracji w aplikacji lub witrynie. Mapowanie oświadczeń logowania modyfikuje oświadczenia emitowane podczas logowania w aplikacji lub witrynie. Dowiedz się więcej o zasadach mapowania roszczeń.

  • Okres istnienia identyfikatora jednorazowego: wprowadź czas życia wartości identyfikatora jednorazowego w minutach. Domyślna wartość wynosi 10 minut.

  • Użyj okresu ważności tokenu: to ustawienie kontroluje, czy okres istnienia sesji uwierzytelniania (np. pliki cookie) musi być zgodny z tokenem uwierzytelniania. Po włączeniu tej wartości zastępuje ona wartość Przedział czasu wygasania plików cookie aplikacji w ustawieniu witryny Uwierzytelnianie/ApplicationCookie/ExpireTimeSpan.

  • Mapowanie kontaktów z adresem e-mail: To ustawienie określa, czy kontakty są mapowane na odpowiedni adres e-mail podczas logowania.

    • Wł.: Włącz ten przełącznik, aby kojarzyć unikatowy rekord kontaktu z pasującym adresem e-mail, a następnie automatycznie przypisywać zewnętrznego dostawcę tożsamości do kontaktu po pomyślnym zalogowaniu użytkownika.
    • Wył.

Uwaga

Parametr UI_Locales żądania uwierzytelnienia jest wysyłany automatycznie w żądaniu uwierzytelnienia i jest ustawiony na język wybrany w portalu.

Zobacz też

Konfiguracja dostawcy OpenID Connect z Azure Active Directory (Azure AD) B2C
Konfigurowanie dostawcy OpenID Connect przy użyciu usługi Microsoft Entra ID
OpenID Connect — często zadawane pytania