Поделиться через

Настройка поставщика OpenID Connect с Azure AD B2C

  • Статья

Azure Active Directory (Azure AD) B2C — это один из поставщиков удостоверений OpenID Connect, который вы можете использовать для аутентификации посетителей вашего сайта Power Pages. Вы можете использовать любого поставщика идентификации, который соответствует спецификации OpenID Connect.

В этой статье рассматриваются следующие шаги:

Заметка

Для отображения на сайте изменений в настройках аутентификации вашего сайта может потребоваться несколько минут. Чтобы немедленно увидеть изменения, перезапустите сайт в центре администрирования.

Настройка Azure AD B2C в Power Pages

Установите Azure AD B2C в качестве поставщика удостоверений для вашего сайта.

  1. На сайте Power Pages выберите Безопасность>Поставщики удостоверений.

    Если никакие поставщики удостоверений не отображаются, убедитесь, что для параметра Внешний вход задано значение Вкл. в общих параметрах проверки подлинности вашего сайта.

  2. Справа от Azure Active Directory B2C выберите Дополнительные команды () >Настройка или выберите название поставщика.

  3. Оставьте имя поставщика как есть или измените его, если хотите.

    Имя поставщика представляет собой текст на кнопке, который пользователи видят, когда они выбирают своего поставщика удостоверений на странице входа.

  4. Выберите Далее.

  5. В разделе URL-адрес ответа выберите Копировать.

  6. Выберите Открыть Azure.

    Не закрывайте вкладку браузера Power Pages. Вы скоро вернетесь к ней.

Создание регистрации приложения

Создайте клиент для Azure AD B2C и зарегистрируйте приложение с URL-адресом ответа вашего сайта в качестве URI перенаправления.

  1. Создание клиента Azure AD B2C.

  2. Найдите и выберите Azure AD B2C.

  3. В разделе Управление выберите Регистрация приложений.

  4. Выберите Создать регистрацию.

  5. Введите имя.

  6. Выберите один из поддерживаемых типов учетных записей, который лучше всего соответствует требованиям вашей организации.

  7. В разделе URI-адрес перенаправления выберите Интернет в качестве платформы, затем введите URL-адрес ответа своего сайта.

    • Если вы используете URL-адрес своего сайта по умолчанию, вставьте URL-адрес ответа, который вы скопировали.
    • Если вы используете пользовательское доменное имя, введите пользовательский URL-адрес. Обязательно используйте тот же настраиваемый URL-адрес для URL-адреса перенаправления в настройках поставщика удостоверений на вашем сайте.

  8. Выберите Зарегистрировать.

  9. Скопируйте Идентификатор приложения (клиента).

  10. На левой боковой панели в разделе Управление выберите Аутентификация.

  11. В пункте Неявное предоставление разрешения выберите Маркеры доступа (используются для неявных потоков).

  12. Выберите Сохранить.

  13. Настройте совместимость токена, используя URL-адрес Утверждение эмитента (iss), который включает tfp. Подробнее о совместимости токенов.

Создание потоков пользователей

  1. Создание потока пользователей для регистрации и входа.

  2. (Необязательно) Создайте поток пользователя для сброса пароля.

Получение URL-адреса издателя из пользовательских потоков

  1. Откройте поток пользователей для входа или регистрации, созданный вами.

  2. Перейдите в клиент Azure AD B2C на портале Azure.

  3. Выберите Выполнить поток пользователя.

  4. Откройте URL-адрес конфигурации OpenID Connect в новой вкладке браузера.

    URL-адрес относится к документу конфигурации поставщика удостоверений OpenID Connect, также известному как Известная конечная точка конфигурации OpenID.

  5. Скопируйте URL-адрес Издатель в адресной строке. Не включайте кавычки. Обязательно убедитесь, что URL-адрес Утверждение эмитента (iss) включает tfp.

  6. Откройте пользовательский поток для сброса пароля, если вы его создали, и повторите шаги 2–5.

Ввод параметров сайта и параметров сброса пароля в Power Pages

  1. Вернитесь на страницу Power Pages Настройка поставщика удостоверений, которую вы оставили ранее.

  2. В разделе Настроить параметры сайта введите следующие значения:

    • Центр: вставьте URL-адрес издателя, который вы скопировали.​

    • Идентификатор клиента​: вставьте Идентификатор приложения (клиента) приложения Azure AD B2C, созданного вами.

    • URI перенаправления: если на вашем сайте используется пользовательское доменное имя, введите настраиваемый URL-адрес; в противном случае оставьте значение по умолчанию, которое должно быть URL-адресом ответа вашего сайта.

  3. В разделе Параметры сброса пароля введите следующие значения:

    • Идентификатор политики по умолчанию: введите имя потока пользователей для регистрации и входа, созданного вами. Префикс имени — B2C_1.

    • Идентификатор политики сброса пароля: если вы создали потока пользователя для сброса пароля, введите его имя. Префикс имени — B2C_1.

    • Действительные издатели: введите разделенный запятыми список URL-адресов издателей потоков пользователей для регистрации, входа и сброса пароля, созданных вами.

  4. (Необязательно) Разверните Дополнительные параметры и при необходимости измените настройки.

  5. Выберите Подтвердить.

Дополнительные параметры в Power Pages

Дополнительные настройки дают вам более точный контроль над тем, как пользователи аутентифицируются с помощью поставщика удостоверений Azure AD B2C. Вам не нужно устанавливать какие-либо из этих значений. Они совершенно необязательны.

  • Сопоставление заявок на регистрацию​ и Сопоставление заявок на вход: при аутентификации пользователя заявка — это информация, описывающая личность пользователя, например, адрес электронной почты или дата рождения. Когда вы входите в приложение или на веб-сайт, создается маркер. Маркер содержит информацию о вашей личности, включая любые утверждения, связанные с ним. Маркеры используются для аутентификации вашей личности при доступе к другим частям приложения или сайта или к другим приложениям и сайтам, которые подключены к тому же поставщику удостоверений. Сопоставление утверждений — это способ изменить информацию, включенную в маркер. Его можно использовать для настройки информации, доступной приложению или сайту, а также для управления доступом к функциям или данным. Сопоставление утверждений о регистрации изменяет утверждения, которые создаются при регистрации в приложении или на сайте. Сопоставление утверждений о входе изменяет утверждения, которые создаются при входе в приложение или на сайт. Подробнее о политиках сопоставления утверждений.

    • Вам не нужно вводить значения для этих параметров, если вы используете атрибуты электронная почта, имя или фамилия. Для других атрибутов введите список пар "логическое имя/значение". Введите их в формате field_logical_name=jwt_attribute_name, где field_logical_name — логическое имя поля в Power Pages, и jwt_attribute_name — атрибут со значением, возвращаемым поставщиком удостоверений. Эти пары используются для сопоставления значений утверждений (созданных во время регистрации или входа в систему и возвращенных из Azure AD B2C) с атрибутами в записи контакта.

      Например, вы используете Название должности (jobTitle) и Почтовый индекс (postalCode) как Атрибуты пользователя в вашем потоке пользователя. Вы хотите обновить соответствующие поля таблицы Contact Должность (jobtitle) и Адрес 1: Почтовый индекс (address1_postalcode). В этом случае введите сопоставление утверждений как jobtitle=jobTitle,address1_postalcode=postalCode.

  • Внешний выход: этот параметр определяет, использует ли ваш сайт федеративный выход. При федеративном выходе, когда пользователи выходят из приложения или сайта, они также выходят из всех приложений и сайтов, использующих того же поставщика удостоверений. Например, если вы входите на сайт с помощью своей учетной записи Microsoft, а затем выходите из свой учетной записи Microsoft, федеративный выход гарантирует, что вы также вышли с сайта.

    • Вкл.: перенаправляет пользователей на интерфейс федеративного выхода, когда они выходят с веб-сайта.
    • Выкл.: пользователи выходят только с вашего веб-сайта.

  • Сопоставление контакта с электронной почтой: этот параметр определяет, сопоставляются ли контакты с соответствующим адресом электронной почты, когда они выполняют вход.

    • Вкл.: связывает уникальную запись контакта с соответствующим адресом электронной почты и автоматически назначает внешнего поставщика удостоверений контакту после успешного входа пользователя в систему.
    • Выкл.: запись контакта не сопоставляется с поставщиком удостоверений. Это вариант по умолчанию для этой настройки.

  • Регистрация включена: этот параметр определяет, могут ли пользователи регистрироваться на вашем сайте.

    • Вкл.: отображает страницу регистрации, где пользователи могут создать учетную запись на вашем сайте.
    • Выкл.: отключает и скрывает страницу внешней регистрации учетной записи.

См. также

Настройка проверки подлинности сайта
Перенос поставщиков удостоверений в B2C Azure AD