Udostępnij za pośrednictwem

Konfigurowanie dostawcy OpenID Connect przy użyciu usługi Microsoft Entra ID

  • Artykuł

Microsoft Entra jest jednym z dostawców tożsamości OpenID Connect, których można użyć do uwierzytelniania odwiedzających witrynę Power Pages. Oprócz oprogramowania Microsoft Entra ID, wielodostępnej usługi Microsoft Entra i Azure AD B2C można używać jakiegokolwiek innego dostawcy, który jest zgodny ze specyfikacją OpenID Connect.

W tym artykule opisano następujące kroki:

Uwaga

Zmiany w ustawieniach uwierzytelniania witryny może potrwać kilka minut. Aby natychmiast zobaczyć zmiany, uruchom ponownie witrynę w centrum administracyjnym.

Konfiguracja Microsoft Entra w Power Pages

Ustaw usługę Microsoft Entra jako dostawcę tożsamości dla witryny.

  1. W witrynie Power Pages wybierz pozycję Bezpieczeństwo>Dostawcy tożsamości.

    Jeśli nie pojawią się żadni dostawcy tożsamości, upewnij się, że opcja Logowanie zewnętrzne jest ustawiona na Włączone w ogólnych ustawieniach uwierzytelniania witryny.

  2. Wybierz + Nowy dostawca.

  3. Z listy Wybierz dostawcę logowania wybierz pozycję Inny.

  4. W obszarze Protokół wybierz opcję OpenID Connect.

  5. Wprowadź nazwę dostawcy, na przykład Microsoft Entra ID.

    Nazwa dostawcy to tekst na przycisku, który użytkownicy widzą po wybraniu dostawcy tożsamości na stronie logowania.

  6. Wybierz Dalej.

  7. W Odpowiedz URL wybierz opcję Kopiuj.

    Nie zamykaj karty przeglądarki Power Pages. Wkrótce do niej wrócisz.

Tworzenie rejestracji aplikacji w Azure

Utwórz w portalu Azure rejestrację aplikacji, mając adres URL odpowiedzi witryny jako identyfikator URI przekierowywania.

  1. Zaloguj się do Portal Azure.

  2. Wyszukaj i wybierz pozycję Azure Active Directory.

  3. W obszarze Zarządzaj wybierz pozycję Rejestracje aplikacji.

  4. Wybierz Nowa rejestracja.

  5. Wprowadź nazwę.

  6. Wybierz jeden z Obsługiwanych typów kont, który najlepiej odpowiada potrzebom organizacji.

  7. W obszarze Przekierowywanie URI wybierz Sieć jako platformę, a następnie wprowadź adres URL zwrotu dla witryny.

    • Jeśli korzystasz z domyślnego adresu URL witryny, wklej adres URL odpowiedzi skopiowany przez siebie.
    • Jeśli używasz niestandardowej nazwy domeny, wprowadź niestandardowy adres URL. Pamiętaj, aby użyć tego samego niestandardowego adresu URL przekierowania w ustawieniach dostawcy tożsamości w swojej witrynie.

  8. Wybierz pozycję Zarejestruj.

  9. Skopiuj identyfikator aplikacji (klient).

  10. Po prawej stronie Poświadczenia klienta wybierz Dodaj certyfikat lub klucz tajny.

  11. Wybierz pozycję + Nowe wpisy tajne klienta.

  12. Wprowadź opis opcjonalny, wybierz datę ważności, a następnie wybierz opcję Dodaj.

  13. W sekcji Identyfikator klucza tajnego wybierz ikonę Kopiuj do schowka.

  14. W górnej części strony wybierz pozycję Punkty końcowe.

  15. Znajdź adres URL dokumentu metadanych OpenID Connect i wybierz ikonę kopiowania.

  16. W panelu po lewej stronie, w sekcji Zarządzanie, wybierz Uwierzytelnianie.

  17. W sekcji Udzielenie niejawne wybierz Identyfikator tokenów (używane do niejawnych i hybrydowych przepływów).

  18. Wybierz pozycję Zapisz.

Wprowadź ustawienia witryny w Power Pages

Wróć do strony Dostawcy konfiguracji tożsamości Power Pages, która wcześniej pozostawiła i wprowadź następujące wartości. Opcjonalnie zmień dodatkowe ustawienia, zgodnie z potrzebą. Po zakończeniu wybierz Potwierdź.

  • Urząd: wprowadź adres URL urzędu w następującym formacie: https://login.microsoftonline.com/<Directory (tenant) ID>/ gdzie <identyfikator katalogu (dzierżawcy)> jest identyfikatorem katalogu (dzierżawcy) utworzonej aplikacji. Na przykład jeśli identyfikatorem katalogu (dzierżawcy) w portalu Azure jest 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, to adresem URL urzędu jest https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • Identyfikator klienta: wklej identyfikator aplikacji lub klienta dla utworzonej aplikacji.

  • Przekierowanie URL: Jeśli witryna korzysta z niestandardowej nazwy domeny, wprowadź niestandardowy adres URL; w przeciwnym razie pozostaw wartość domyślną. Należy upewnić się, że wartość jest dokładnie taka sama jak URI przekierowywania utworzonej aplikacji.

  • Adres metadanych: wklej skopiowany adres URL dokumentu metadanych OpenID Connect.

  • Zakres: wprowadź openid email.

    Wartość openid jest wymagana. Ta wartość email jest opcjonalna, co gwarantuje, że adres e-mail użytkownika zostanie automatycznie wypełniony i wyświetlany na stronie profilu po logowaniach użytkownika. Informacje o innych oświadczeniach, które można dodać.

  • Typ odpowiedzi: wybierz code id_token.

  • Klucz tajny klienta: wklej klucz tajny klienta z utworzonej aplikacji. To ustawienie jest wymagane, jeśli typem odpowiedzi jest code.

  • Tryb odpowiedzi: wybierz form_post.

  • Wylogowanie zewnętrzne: To ustawienie kontroluje, czy witryna używa federacyjnego wylogowania. W przypadku wylogowania federacyjnego, gdy użytkownicy wylogowują się z aplikacji lub witryny, są również wylogowywani ze wszystkich aplikacji i witryn korzystających z tego samego dostawcy tożsamości. Włącz, by przekierowywać użytkowników do federacyjnego środowiska wylogowania po wylogowaniu się z witryny. Wyłącz, by wylogować użytkowników tylko z Twojej witryny.

  • Po logowaniu adres URL przekierowania: wprowadź adres URL, do którego dostawca tożsamości powinien przekierowywać użytkowników po wylogowaniu. Tę lokalizację należy także odpowiednio ustawić w konfiguracji dostawcy tożsamości.

  • Zainicjowanie logowania punktu przechowywania: to ustawienie określa, czy strona korzystający z usługi, czyli aplikacja kliencka OpenID Connect, może wylogować użytkowników. Aby użyć tego ustawienia, należy włączyć Zewnętrzne wylogowanie.

Dodatkowe ustawienia w Power Pages

Dodatkowe ustawienia zapewniają lepszą kontrolę nad sposobem uwierzytelniania użytkowników za pomocą dostawcy tożsamości Microsoft Entra. Nie trzeba ustawiać żadnej z tych wartości. Są one całkowicie opcjonalne.

  • Filtr wydawcy: to ustawienie lokacji jest filtrem wieloznacznym, który pasuje do wszystkich wystawców we wszystkich dzierżawach; na przykład https://sts.windows.net/*/.

  • Sprawdź odbiorcy: włącz to ustawienie, aby sprawdzić poprawność odbiorcy tokenu.

  • Prawidłowi odbiorcy: wprowadź adresu URL odbiorców przecinkami adresów e-mail.

  • Sprawdź wydawców: włącz to ustawienie, aby sprawdzić poprawność wystawcy tokenu.

  • Prawidłowi wystawcy: wprowadź adresu URL wystawców przecinkami adresów e-mail.

  • Mapowanie oświadczeń rejestracyjnych i mapowanie oświadczeń logowania: W uwierzytelnianiu użytkownika oświadczenie to informacja opisująca tożsamość użytkownika, taka jak adres e-mail lub data urodzenia. Po zalogowaniu się do aplikacji lub witryny internetowej tworzony jest token. Token zawiera informacje o tożsamości użytkownika, w tym wszelkie roszczenia, które są z nim związane. Tokeny są używane do uwierzytelniania tożsamości użytkownika podczas uzyskiwania dostępu do innych części aplikacji lub witryny lub innych aplikacji i witryn, które są połączone z tym samym dostawcą tożsamości. Mapowanie roszczeń to sposób na zmianę informacji zawartych w tokenie. Może być wykorzystywany do dostosowywania informacji dostępnych w aplikacji lub witrynie oraz do kontrolowania dostępu do funkcji lub danych. Mapowanie oświadczeń rejestracyjnych modyfikuje oświadczenia emitowane podczas rejestracji w aplikacji lub witrynie. Mapowanie oświadczeń logowania modyfikuje oświadczenia emitowane podczas logowania w aplikacji lub witrynie. Dowiedz się więcej o zasadach mapowania roszczeń.

  • Okres istnienia identyfikatora jednorazowego: wprowadź czas życia wartości identyfikatora jednorazowego w minutach. Domyślna wartość wynosi 10 minut.

  • Użyj okresu ważności tokenu: to ustawienie kontroluje, czy okres istnienia sesji uwierzytelniania (np. pliki cookie) musi być zgodny z tokenem uwierzytelniania. Po włączeniu tej wartości zastępuje ona wartość Przedział czasu wygasania plików cookie aplikacji w ustawieniu witryny Uwierzytelnianie/ApplicationCookie/ExpireTimeSpan.

  • Mapowanie kontaktów z adresem e-mail: To ustawienie określa, czy kontakty są mapowane na odpowiedni adres e-mail podczas logowania.

    • Wł.: Włącz ten przełącznik, aby kojarzyć unikatowy rekord kontaktu z pasującym adresem e-mail, a następnie automatycznie przypisywać zewnętrznego dostawcę tożsamości do kontaktu po pomyślnym zalogowaniu użytkownika.
    • Wył.

Uwaga

Parametr UI_Locales żądania uwierzytelnienia jest wysyłany automatycznie w żądaniu uwierzytelnienia i jest ustawiony na język wybrany w portalu.

Skonfiguruj dodatkowe oświadczenia

  1. Włącz opcjonalne oświadczenia w Microsoft Entra ID.

  2. Ustaw Zakres tak, aby zawierał dodatkowe oświadczenia, na przykład openid email profile.

  3. Ustaw w Mapowaniu oświadczenia o rejestracji dodatkowe ustawienie witryny, na przykład firstname=given_name,lastname=family_name.

  4. Ustaw w Mapowaniu oświadczenia o logowaniu dodatkowe ustawienie witryny, na przykład firstname=given_name,lastname=family_name.

W tych przykładach wartości imię, nazwisko i adresy e-mail dostarczone z dodatkowymi oświadczeniami stają się wartościami domyślnymi na stronie profilu w witrynie sieci Web.

Uwaga

Mapowanie oświadczeń jest obsługiwane w przypadku pól z typem danych Tekst i Wartość logiczna.

Zezwalanie na uwierzytelnianie wielodostępne Microsoft Entra

Aby umożliwić użytkownikom Microsoft Entra uwierzytelnianie w dowolnej dzierżawie na platformie Azure, a nie tylko z określonej dzierżawy, zmień rejestrację aplikacji Microsoft Entra na wielu dzierżawców.

W dodatkowych ustawieniach dostawcy należy też ustawić Filtr wydawcy.

Zobacz też

OpenID Connect — często zadawane pytania