Поделиться через

Настройка поставщика OpenID Connect с Microsoft Entra ID

  • Статья

Microsoft Entra — это один из поставщиков удостоверений OpenID Connect, которых вы можете использовать для аутентификации посетителей вашего сайта Power Pages. Наряду с Microsoft Entra, Microsoft Entra ID с поддержкой мультитентантости и Azure AD B2C вы можете использовать любого другого поставщика, который соответствует спецификациям OpenID Connect.

В этой статье рассматриваются следующие шаги:

Заметка

Для отображения на сайте изменений в настройках аутентификации вашего сайта может потребоваться несколько минут. Чтобы немедленно увидеть изменения, перезапустите сайт в центре администрирования.

Настройка Microsoft Entra в Power Pages

Установите Microsoft Entra в качестве поставщика удостоверений для вашего сайта.

  1. На сайте Power Pages выберите Безопасность>Поставщики удостоверений.

    Если никакие поставщики удостоверений не отображаются, убедитесь, что для параметра Внешний вход задано значение Вкл. в общих параметрах проверки подлинности вашего сайта.

  2. Выберите + Создать поставщика.

  3. В разделе Выбор поставщика входа выберите Другой.

  4. В разделе Протокол выберите OpenID Connect.

  5. Введите имя для поставщика; например Microsoft Entra ID.

    Имя поставщика представляет собой текст на кнопке, который пользователи видят, когда они выбирают своего поставщика удостоверений на странице входа.

  6. Выберите Далее.

  7. В разделе URL-адрес ответа выберите Копировать.

    Не закрывайте вкладку браузера Power Pages. Вы скоро вернетесь к ней.

Создание регистрации приложения в Azure

Создайте регистрацию приложения на портале Azure с URL-адресом ответа вашего сайта в качестве URI перенаправления.

  1. Войдите на портал Azure.

  2. Найдите и выберите Azure Active Directory.

  3. В разделе Управление выберите Регистрация приложений.

  4. Выберите Создать регистрацию.

  5. Введите имя.

  6. Выберите один из поддерживаемых типов учетных записей, который лучше всего соответствует требованиям вашей организации.

  7. В разделе URI-адрес перенаправления выберите Интернет в качестве платформы, затем введите URL-адрес ответа своего сайта.

    • Если вы используете URL-адрес своего сайта по умолчанию, вставьте URL-адрес ответа, который вы скопировали.
    • Если вы используете пользовательское доменное имя, введите пользовательский URL-адрес. Обязательно используйте тот же настраиваемый URL-адрес для URL-адреса перенаправления в настройках поставщика удостоверений на вашем сайте.

  8. Выберите Зарегистрировать.

  9. Скопируйте Идентификатор приложения (клиента).

  10. Справа от Учетные данные клиента выберите Добавить сертификат или секрет.

  11. Выберите + Создать секрет клиента.

  12. Введите необязательное описание, укажите срок его действия, затем выберите Добавить.

  13. В разделе Идентификатор секрета выберите значок Копировать в буфер обмена.

  14. Выберите Конечные точки в верхней части страницы.

  15. Найдите URL-адрес документа метаданных OpenID Connect и выберите значок копирования.

  16. На левой боковой панели в разделе Управление выберите Аутентификация.

  17. В пункте Неявное предоставление разрешения выберите Маркеры идентификаторов (используемые для неявных и гибридных потоков).

  18. Выберите Сохранить.

Ввод настроек сайта в Power Pages

Вернитесь на страницу Power Pages Настройка поставщика удостоверений, которую вы покинули ранее, и введите следующие значения. При необходимости измените дополнительные параметры на требуемые значения. По завершении выберите Подтвердить.

  • Центр: введите URL-адрес центра в следующем формате: https://login.microsoftonline.com/<Directory (tenant) ID>/, где <Идентификатор каталога (клиента)> — это идентификатор каталога (клиента) приложения, созданного вами. Например, если ИД каталога (клиента) на портале Azure равен 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, URL-адрес центра будет https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • Идентификатор клиента​: вставьте идентификатор приложения или клиента приложения, созданного вами.

  • URL перенаправления: если на вашем сайте используется пользовательское доменное имя, введите пользовательский URL-адрес; в противном случае оставьте значение по умолчанию. Убедитесь, что значение точно совпадает с URI перенаправления приложения, созданного вами.

  • Адрес метаданных: вставьте URL-адрес документа метаданных OpenID Connect, который вы скопировали.

  • Область: введите openid email.

    Значение openid является обязательным. Значение email необязательно; оно гарантирует, что адрес электронной почты пользователя заполняется автоматически и отображается на странице профиля после входа пользователя в систему. Узнайте о других утверждениях, которые вы можете добавить.

  • Тип ответа: выберите code id_token.

  • Секрет клиента: вставьте секрет клиента из приложения, которое вы создали. Эта настройка требуется, если выбран тип ответа code.

  • Режим ответа: выберите form_post.

  • Внешний выход: этот параметр определяет, использует ли ваш сайт федеративный выход. При федеративном выходе, когда пользователи выходят из приложения или сайта, они также выходят из всех приложений и сайтов, использующих того же поставщика удостоверений. Включите, чтобы перенаправлять пользователей на интерфейс федеративного выхода, когда они выходят с веб-сайта. Выключите его, чтобы пользователи выходили только с вашего веб-сайта.

  • URL-адрес перенаправления после выхода: введите URL-адрес, на который поставщик удостоверений должен перенаправлять пользователей после выхода. Это расположение должно быть правильно настроено в конфигурации поставщика удостоверений.

  • Выход, инициируемый проверяющей стороной: этот параметр определяет, может ли проверяющая сторона — клиентское приложение OpenID Connect — производить выход пользователей из системы. Чтобы использовать этот параметр, включите Внешний выход.

Дополнительные параметры в Power Pages

Дополнительные настройки дают вам более точный контроль над тем, как пользователи аутентифицируются с помощью поставщика удостоверений Microsoft Entra. Вам не нужно устанавливать какие-либо из этих значений. Они совершенно необязательны.

  • Фильтр по издателю: введите фильтр на основе подстановочных знаков, который соответствует всем эмитентам по всем клиентам, например, https://sts.windows.net/*/.

  • Проверить аудиторию: включите этот параметр, чтобы проверять аудиторию во время проверки токена.

  • Допустимые аудитории​: введите разделенный запятыми список URL-адресов аудиторий.

  • Проверить издателей: включите этот параметр, чтобы проверять издателя во время проверки токена.

  • Допустимые издатели: введите разделенный запятыми список URL-адресов издателей.

  • Сопоставление заявок на регистрацию​ и Сопоставление заявок на вход: при аутентификации пользователя заявка — это информация, описывающая личность пользователя, например, адрес электронной почты или дата рождения. Когда вы входите в приложение или на веб-сайт, создается маркер. Маркер содержит информацию о вашей личности, включая любые утверждения, связанные с ним. Маркеры используются для аутентификации вашей личности при доступе к другим частям приложения или сайта или к другим приложениям и сайтам, которые подключены к тому же поставщику удостоверений. Сопоставление утверждений — это способ изменить информацию, включенную в маркер. Его можно использовать для настройки информации, доступной приложению или сайту, а также для управления доступом к функциям или данным. Сопоставление утверждений о регистрации изменяет утверждения, которые создаются при регистрации в приложении или на сайте. Сопоставление утверждений о входе изменяет утверждения, которые создаются при входе в приложение или на сайт. Подробнее о политиках сопоставления утверждений.

  • Время существования nonce: введите время существования значения nonce в минутах. Значение по умолчанию равно 10 минутам.

  • Использовать срок действия токена: этот параметр определяет, должен ли срок действия сеанса, например cookie, должен совпадать со сроком действия токена проверки подлинности. Если он включен, это значение переопределяет значение Время истечения срока действия cookie приложения в настройке сайта Authentication/ApplicationCookie/ExpireTimeSpan.

  • Сопоставление контакта с электронной почтой: этот параметр определяет, сопоставляются ли контакты с соответствующим адресом электронной почты, когда они выполняют вход.

    • Вкл.: связывает уникальную запись контакта с соответствующим адресом электронной почты и автоматически назначает внешнего поставщика удостоверений контакту после успешного входа пользователя в систему.
    • Отключить

Заметка

Параметр запроса UI_Locales автоматически отправляется в запросе аутентификации и устанавливается на язык, выбранный на портале.

Настройка дополнительных утверждений

  1. Включите необязательные утверждения в Microsoft Entra ID.

  2. Задайте Область, чтобы включить дополнительные утверждения; например, openid email profile.

  3. Установите дополнительный параметр сайта Сопоставление регистрационных утверждений; например, firstname=given_name,lastname=family_name.

  4. Установите дополнительный параметр сайта Сопоставление утверждений входа; например, firstname=given_name,lastname=family_name.

В этих примерах имя, фамилия и адреса электронной почты, предоставленные с дополнительными утверждениями, станут значениями по умолчанию на странице профиля на веб-сайте.

Заметка

Сопоставление утверждений поддерживается для текстовых и логических типов данных.

Разрешение многоклиентской проверки подлинности Microsoft Entra

Чтобы разрешить пользователям Microsoft Entra проходить аутентификацию из любого клиента в Azure, а не только из определенного клиента, измените регистрацию приложения Microsoft Entra на многоклиентское.

Вам также необходимо установить фильтр издателя в дополнительных параметрах вашего поставщика.

См. также

Вопросы и ответы об OpenID Connect