Часто задаваемые вопросы по использованию OpenID Connect на порталах

Примечание

Действует с 12 октября 2022 г, в качестве порталов для Power Apps используется Power Pages. Дополнительная информация: Microsoft Power Pages теперь доступен для всех (блог)
Скоро мы мигрируем и объединим документацию порталов Power Apps с документацией Power Pages.

Эта статья содержит информацию об общих сценариях порталов Power Apps и часто задаваемые вопросы по использованию поставщика аутентификации, который соответствует спецификации OpenID Connect.

Требуется ли мне документ автоматического обнаружения OpenID Connect для интеграции с порталами?

Да. Документ автоматического обнаружения (также называемый /.well-known/openid-configuration) необходим для интеграции с порталами. Информация, представленная в этом документе, используется порталами для создания запросов на авторизацию и проверки токенов аутентификации.

Если ваш поставщик удостоверений не предоставляет этот документ, вы можете создать его вручную и разместить в любом общедоступном месте (включая ваш портал).

Примечание

Подобно документу обнаружения, порталы также требуют, чтобы поставщик удостоверений предоставил общедоступную конечную точку URI JWKS, где доступны открытые ключи для проверки подписи токена идентификатора. Эту конечную точку необходимо указать в документе обнаружения как ключ jwks_uri.

Поддерживают ли порталы параметры запросов acr_values в запросах аутентификации?

Нет. Порталы не поддерживают параметры запросов acr_values в запросах авторизации. Однако функция порталов поддерживают все необходимые — и рекомендуемые — параметры запросов, определенные в спецификации OpenID Connect.

Поддерживаются следующие дополнительные параметры:

  • Response_mode
  • Nonce
  • UI_Locales

Поддерживают ли порталы параметры настраиваемой области в запросах аутентификации?

Да. Пользовательские параметры области могут быть указаны с помощью параметра области во время конфигурации.

Почему значение имени пользователя в контакте или внешняя идентификационная запись в Dataverse показывают другое значение по сравнению с тем, что пользователь ввел на странице входа?

Поле имени пользователя в записи контакта и внешняя идентификационная запись будут отображать значение, отправленное либо в дополнительном утверждении, либо в утверждении идентификатора объекта (OID) (только для провайдеров на основе Azure AD–). Это связано с тем, что дополнительное утверждение представляет собой идентификатор для конечного пользователя, и поставщик удостоверений гарантирует его уникальность. Утверждение OID (где идентификатор объекта — это уникальный идентификатор для всех пользователей в клиенте) поддерживается при использовании с поставщиками на основе Azure AD– с одним клиентом.

Поддерживают ли порталы выход из системы от провайдеров на основе OpenID Connect?

Да. Функция порталов поддерживает метод выхода по переднему каналу для выхода как из приложения, так и из провайдеров на основе OpenID Connect.

Поддерживают ли порталы единый выход из системы?

Нет. Порталы не поддерживают технику единого выхода для провайдеров на основе OpenID Connect.

Имеют ли порталы какие-либо особые требования в токене идентификатора*?

В дополнение ко всем необходимым утверждениям, функция порталов требуют утверждения, представляющего адрес электронной почты пользователей в токене идентификатора. Это утверждение должно быть названо email, emails или upn.

Помимо всех необходимых утверждений, порталы требуют утверждения, представляющего адрес электронной почты пользователей в id_token. Это утверждение должно называться “email”, “emails” или “upn”.

Эти утверждения обрабатываются в следующем порядке приоритета, чтобы задать в качестве основного адреса электронной почты записи контакта в Dataverse:

  1. эл. почта
  2. сообщений электронной почты
  3. upn

При использовании "emailclaimsmapping" также используется для поиска существующего контакта (поле "Основной адрес электронной почты" в Dataverse).

Могу ли я получить доступ к токенам (идентификации или доступа) с помощью JavaScript?

Нет. Токен идентификации, предоставляемый поставщиком удостоверений, недоступен с помощью каких-либо стандартных методов на стороне клиента; и используется только для аутентификации. Однако, если вы используете поток неявного предоставления, вы можете использовать методы, предоставленные вашим поставщиком удостоверений, для получения доступа к токенам идентификации или доступа.

Например, Azure AD предоставляет библиотеку проверки подлинности Microsoft для достижения этого сценария в клиентах.

Могу ли я использовать настраиваемого поставщика OpenID Connect вместо Azure AD?

Да. Порталы поддерживают любого провайдера OpenID Connect, который поддерживает стандартные спецификации OpenID Connect.

См. также

Настройка поставщика OpenID Connect для порталов

Примечание

Каковы ваши предпочтения в отношении языка документации? Пройдите краткий опрос (обратите внимание, что этот опрос представлен на английском языке).

Опрос займет около семи минут. Личные данные не собираются (заявление о конфиденциальности).