Поделиться через

Настройка поставщика OpenID Connect

  • Статья

Поставщики удостоверений OpenID Connect — это службы, соответствующие спецификации Open ID Connect. OpenID Connect представляет концепцию токена идентификации. Токен идентификатора представляет собой токен безопасности, который позволяет клиенту проверять личность пользователя. Он также получает основную информацию профиля о пользователях, также известную как утверждения.

Поставщики OpenID Connect Azure AD B2C, Microsoft Entra ID и Microsoft Entra ID с несколькими клиентами встроены в Power Pages. В этой статье объясняется, как добавить других поставщиков удостоверений OpenID Connect на ваш сайт Power Pages.

Поддерживаемые и неподдерживаемые потоки аутентификации в Power Pages

  • Неявное предоставление разрешения
    • Этот поток является методом аутентификации по умолчанию для сайтов Power Pages.
  • Код авторизации
    • Power Pages используют метод client_secret_post для связи с конечной точкой токена сервера идентификации.
    • Метод private_key_jwt для аутентификации с помощью конечной точки токена не поддерживается.
  • Гибридный (ограниченная поддержка)
    • Power Pages требуют, чтобы id_token присутствовал в ответе, поэтому значение response_type = токен кода не поддерживается.
    • Гибридный поток в Power Pages следует тому же потоку, что и неявное предоставление, и использует id_token для прямого входа пользователей.
  • Ключ подтверждения для обмена кодами (PKCE)
    • Методы проверки подлинности пользователей на основе PKCE не поддерживаются.

Заметка

Для отображения на сайте изменений в настройках аутентификации вашего сайта может потребоваться несколько минут. Чтобы немедленно увидеть изменения, перезапустите сайт в центре администрирования.

Настройка поставщика OpenID Connect в Power Pages

  1. На сайте Power Pages выберите Безопасность>Поставщики удостоверений.

    Если никакие поставщики удостоверений не отображаются, убедитесь, что для параметра Внешний вход задано значение Вкл. в общих параметрах проверки подлинности вашего сайта.

  2. Выберите + Создать поставщика.

  3. В разделе Выбор поставщика входа выберите Другой.

  4. В разделе Протокол выберите OpenID Connect.

  5. Введите имя для поставщика.

    Имя поставщика представляет собой текст на кнопке, который пользователи видят, когда они выбирают своего поставщика удостоверений на странице входа.

  6. Выберите Далее.

  7. В разделе URL-адрес ответа выберите Копировать.

    Не закрывайте вкладку браузера Power Pages. Вы скоро вернетесь к ней.

Создание регистрации приложения в поставщике удостоверений

  1. Создайте и зарегистрируйте приложение у своего поставщика удостоверений, используя URL-адрес ответа, который вы скопировали.

  2. Скопируйте идентификатор приложения или клиента и секрет клиента.

  3. Найдите конечные точки приложения и скопируйте URL-адрес документа метаданных OpenID Connect.

  4. При необходимости измените другие параметры вашего поставщика удостоверений.

Ввод настроек сайта в Power Pages

Вернитесь на страницу Power Pages Настройка поставщика удостоверений, которую вы покинули ранее, и введите следующие значения. При необходимости измените дополнительные параметры на требуемые значения. По завершении выберите Подтвердить.

  • Центр: введите URL-адрес центра в следующем формате: https://login.microsoftonline.com/<Directory (tenant) ID>/, где <Идентификатор каталога (клиента)> — это идентификатор каталога (клиента) приложения, созданного вами. Например, если ИД каталога (клиента) на портале Azure равен aaaabbbb-0000-cccc-1111-dddd2222eeee, URL-адрес центра будет https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • Идентификатор клиента​: вставьте идентификатор приложения или клиента приложения, созданного вами.

  • URL перенаправления: если на вашем сайте используется пользовательское доменное имя, введите пользовательский URL-адрес; в противном случае оставьте значение по умолчанию. Убедитесь, что значение точно совпадает с URI перенаправления приложения, созданного вами.

  • Адрес метаданных: вставьте URL-адрес документа метаданных OpenID Connect, который вы скопировали.

  • Область: введите список разделенных пробелами областей, которые запрашиваются с помощью параметра scope OpenID Connect. Значение по умолчанию — openid.

    Значение openid является обязательным. Узнайте о других утверждениях, которые вы можете добавить.

  • Тип ответа: введите значение параметра response_type OpenID Connect. Возможные значения включают code, code id_token, id_token, id_token token и code id_token token. Значение по умолчанию — code id_token.

  • Секрет клиента: вставьте секрет клиента из приложения поставщика. Он может также называться секретом приложения или секретом потребителя. Эта настройка требуется, если выбран тип ответа code.

  • Режим ответа: введите значение параметра response_mode OpenID Connect. Это должно быть query, если выбран тип ответа code. Значение по умолчанию — form_post.

  • Внешний выход: этот параметр определяет, использует ли ваш сайт федеративный выход. При федеративном выходе, когда пользователи выходят из приложения или сайта, они также выходят из всех приложений и сайтов, использующих того же поставщика удостоверений. Включите, чтобы перенаправлять пользователей на интерфейс федеративного выхода, когда они выходят с веб-сайта. Выключите его, чтобы пользователи выходили только с вашего веб-сайта.

  • URL-адрес перенаправления после выхода: введите URL-адрес, на который поставщик удостоверений должен перенаправлять пользователей после выхода. Это расположение должно быть правильно настроено в конфигурации поставщика удостоверений.

  • Выход, инициируемый проверяющей стороной: этот параметр определяет, может ли проверяющая сторона — клиентское приложение OpenID Connect — производить выход пользователей из системы. Чтобы использовать этот параметр, включите Внешний выход.

Дополнительные параметры в Power Pages

Дополнительные настройки дают вам более точный контроль над тем, как пользователи аутентифицируются с помощью поставщика удостоверений OpenID Connect. Вам не нужно устанавливать какие-либо из этих значений. Они совершенно необязательны.

  • Фильтр по издателю: введите фильтр на основе подстановочных знаков, который соответствует всем эмитентам по всем клиентам, например, https://sts.windows.net/*/. Если вы используете поставщика аутентификации Microsoft Entra ID, фильтром URL-адреса издателя будет https://login.microsoftonline.com/*/v2.0/.

  • Проверить аудиторию: включите этот параметр, чтобы проверять аудиторию во время проверки токена.

  • Допустимые аудитории​: введите разделенный запятыми список URL-адресов аудиторий.

  • Проверить издателей: включите этот параметр, чтобы проверять издателя во время проверки токена.

  • Допустимые издатели: введите разделенный запятыми список URL-адресов издателей.

  • Сопоставление заявок на регистрацию​ и Сопоставление заявок на вход: при аутентификации пользователя заявка — это информация, описывающая личность пользователя, например, адрес электронной почты или дата рождения. Когда вы входите в приложение или на веб-сайт, создается маркер. Маркер содержит информацию о вашей личности, включая любые утверждения, связанные с ним. Маркеры используются для аутентификации вашей личности при доступе к другим частям приложения или сайта или к другим приложениям и сайтам, которые подключены к тому же поставщику удостоверений. Сопоставление утверждений — это способ изменить информацию, включенную в маркер. Его можно использовать для настройки информации, доступной приложению или сайту, а также для управления доступом к функциям или данным. Сопоставление утверждений о регистрации изменяет утверждения, которые создаются при регистрации в приложении или на сайте. Сопоставление утверждений о входе изменяет утверждения, которые создаются при входе в приложение или на сайт. Подробнее о политиках сопоставления утверждений.

  • Время существования nonce: введите время существования значения nonce в минутах. Значение по умолчанию равно 10 минутам.

  • Использовать срок действия токена: этот параметр определяет, должен ли срок действия сеанса, например cookie, должен совпадать со сроком действия токена проверки подлинности. Если он включен, это значение переопределяет значение Время истечения срока действия cookie приложения в настройке сайта Authentication/ApplicationCookie/ExpireTimeSpan.

  • Сопоставление контакта с электронной почтой: этот параметр определяет, сопоставляются ли контакты с соответствующим адресом электронной почты, когда они выполняют вход.

    • Вкл.: связывает уникальную запись контакта с соответствующим адресом электронной почты и автоматически назначает внешнего поставщика удостоверений контакту после успешного входа пользователя в систему.
    • Отключить

Заметка

Параметр запроса UI_Locales автоматически отправляется в запросе аутентификации и устанавливается на язык, выбранный на портале.

См. также

Настройка поставщика OpenID Connect с Azure Active Directory (Azure AD) B2C
Настройка поставщика OpenID Connect с Microsoft Entra ID
Вопросы и ответы об OpenID Connect