Добавление OpenID Connect в качестве внешнего поставщика удостоверений (предварительная версия)

применяется к: арендаторы рабочей силы внешние клиенты (подробнее)

Настроив федерацию с настраиваемым поставщиком удостоверений OpenID Connect (OIDC), пользователи могут зарегистрироваться и войти в приложения, используя существующие учетные записи из федеративного внешнего поставщика. Эта федерация OIDC позволяет выполнять проверку подлинности с различными поставщиками, которые соответствуют протоколу OpenID Connect.

При добавлении поставщика удостоверений OIDC в параметры входа в поток пользователя пользователи могут зарегистрироваться и войти в зарегистрированные приложения, определенные в этом потоке пользователя. Это можно сделать с помощью учетных данных поставщика удостоверений OIDC. (Дополнительные сведения о методах проверки подлинности и поставщиках удостоверений для клиентов.)

Необходимые условия

• Внешний арендатор.
• зарегистрированное приложение в клиенте.
• Поток регистрации и входа пользователей.

Настройте вашего поставщика удостоверений OpenID Connect

Чтобы иметь возможность федеративно связывать пользователей с поставщиком удостоверений, сначала необходимо подготовить поставщика удостоверений для принятия запросов федерации от арендатора Microsoft Entra ID. Чтобы это сделать, вам нужно заполнить URI перенаправления и зарегистрироваться у вашего поставщика услуги аутентификации, чтобы вас распознали.

Перед переходом к следующему шагу заполните URI перенаправления следующим образом:

https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2

https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

Включите возможность регистрации и входа с вашим провайдером идентификации

Чтобы включить вход и регистрацию пользователей с учетной записью в поставщике удостоверений, необходимо зарегистрировать идентификатор Microsoft Entra в качестве приложения в поставщике удостоверений. Этот шаг позволяет поставщику идентификационных данных распознавать и выдавать токены идентификатору Microsoft Entra для федерации. Зарегистрируйте приложение, используя заполненные URI перенаправления. Сохраните сведения о настройках поставщика удостоверений, чтобы настроить федерацию в клиенте Microsoft Entra для внешних идентификаторов.

Параметры федерации

Чтобы настроить федерацию OpenID Connect с вашим поставщиком удостоверений в Microsoft Entra External ID, необходимо задать следующие параметры:

• Известная конечная точка
• URI издателя
• идентификатор клиента
• метода проверки подлинности клиента
• секретный ключ клиента
• Объем
• тип ответа
• Сопоставление утверждений
  • Суб
  • Имя
  • Личное имя
  • Фамилия
  • Электронная почта (обязательно)
  • Электронная почта подтверждена
  • Номер телефона
  • Номер_телефона_подтвержден
  • Адрес улицы
  • Местность
  • Область
  • Почтовый индекс
  • Страна

Настройка нового поставщика удостоверений OpenID connect в Центре администрирования

После настройки поставщика удостоверений на следующем этапе вы настроите новую федерацию OpenID Connect в Центре администрирования Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве администратора внешнего поставщика удостоверений.

2. Перейдите к Идентичность>Внешние идентичности>Все поставщики удостоверений.

3. Перейдите на вкладку "Custom", а затем выберите "Добавить новую>Open ID Connect".

   

4. Введите следующие сведения для поставщика удостоверяющей информации:

   • Отображаемое имя: название вашего поставщика удостоверений, которое будет показано пользователям во время процессов входа и регистрации. Например, войти с помощью имени поставщика удостоверяющей информации или зарегистрироваться с помощью имени поставщика удостоверяющей информации.

   • хорошо известная конечная точка (также известная как URI метаданных) — это URI для обнаружения OIDC, используемый для того, чтобы получить конфигурацию вашего поставщика удостоверений. Ответ, который необходимо получить из известного места, является документом JSON и указывает местоположения конечных точек OAuth 2.0. Обратите внимание, что документ метаданных должен содержать как минимум следующие свойства: issuer, authorization_endpoint, token_endpoint, token_endpoint_auth_methods_supported, response_types_supported, subject_types_supported и jwks_uri. Дополнительные сведения см. в спецификациях openID Connect Discovery.

   • URI издателя OpenID: сущность поставщика удостоверений, которая выдает токены доступа для вашего приложения. Например, если вы используете OpenID Connect для федерации с Azure AD B2C, вы можете получить URI издателя из URI обнаружения, содержащего тег "issuer", и он будет выглядеть так: https://login.b2clogin.com/{tenant}/v2.0/. URI издателя представляет собой чувствительный к регистру URL-адрес, использующий схему https, и содержит схему, узел, и, при необходимости, номер порта и компоненты пути, без компонентов запроса или фрагмента.

   Заметка

   Настройка других клиентов Microsoft Entra в качестве внешнего поставщика удостоверений в настоящее время не поддерживается. Следовательно, домен microsoftonline.com в URI издателя не принимается.

   • идентификатор клиента и секрет клиента — это идентификаторы, которые поставщик удостоверений использует для идентификации зарегистрированной службы приложений. Если выбрана проверка подлинности client_secret, необходимо указать секрет клиента. Если выбрана private_key_jwt, необходимо предоставить закрытый ключ в метаданных поставщика OpenID (общеизвестная конечная точка), извлекаемый с помощью свойства jwks_uri.
   • Аутентификация клиента — это тип метода, который будет использоваться для выполнения аутентификации с вашим поставщиком удостоверений с помощью токен-эндпоинта. поддерживаются методы проверки подлинности client_secret_post, client_secret_jwt и private_key_jwt.

   Заметка

   Из-за возможных проблем с безопасностью метод проверки подлинности клиента client_secret_basic не поддерживается.

   • Область охвата определяет сведения и разрешения, которые вы хотите получить от вашего поставщика удостоверений, например openid profile. Запросы OpenID Connect должны содержать значение openid в области scope, чтобы получить ID токен от поставщика удостоверений. Другие области можно добавить, разделяя пробелами. Ознакомьтесь с документацией OpenID Connect , чтобы узнать, какие другие области могут быть доступны, например , и т. д.
   • тип ответа описывает, какая информация возвращается при первоначальном вызове authorization_endpoint вашего поставщика удостоверений. В настоящее время поддерживается только тип ответа code. id_token и token в данный момент не поддерживаются.

5. Вы можете выбрать Далее: Сопоставление утверждений для настройки сопоставления утверждений или Проверить и создать для добавления вашего поставщика удостоверений.

Заметка

Корпорация Майкрософт рекомендует не использовать неявный поток предоставления или поток ROPC. Поэтому конфигурация внешнего поставщика удостоверений OpenID Connect не поддерживает эти потоки. Рекомендуемый способ поддержки SPA — поток кода авторизации OAuth 2.0 (с PKCE), который поддерживается конфигурацией федерации OIDC.

Добавьте поставщика удостоверений OIDC в пользовательский поток

На этом этапе поставщик удостоверений OIDC был настроен в вашей учетной записи Microsoft Entra, но он еще недоступен ни на одной из страниц входа. Чтобы добавить поставщика удостоверений OIDC в сценарий действий пользователя:

1. Во внешнем клиенте перейдите к Идентификатору>Внешние идентификаторы>потоку пользователей.

2. Выберите поток пользователя, куда вы хотите добавить поставщика удостоверений OIDC.

3. В разделе "Параметры" выберите поставщики удостоверений.

4. В разделе Другие поставщики удостоверенийвыберите поставщика удостоверений OIDC.

   

5. Выберите Сохранить.

Связанное содержимое

• Добавление клиента Azure AD B2C в качестве поставщика удостоверений OIDC (предварительная версия)
• сопоставление утверждений OIDC (предварительная версия)