Dela via

Konfigurera OpenID Connect-provider

  • Artikel

Leverantörer av OpenID Connect-identiteter är tjänster som uppfyller specifikationer för Open ID Connect. OpenID Connect introducerar konceptet med en ID-token. En ID-token är en säkerhetstoken som tillåter en klient att verifiera en användares identitet. Den ger även grundläggande profilinformation om användaren också kallar anspråk.

OpenID Connect-provider Azure AD B2C, Microsoft Entra ID och Microsoft Entra ID med flera innehavare är inbyggda i Power Pages. I den här artikeln finns information om hur du lägger till andra OpenID Connect-identitetsprovider på Power Pages webbplatsen.

Stöd för verifiering som stöds och som inte stöds i Power Pages

  • Implicit beviljande
    • Det här flödet är standardmetoden för autentisering för Power Pages-webbplatser.
  • Auktoriseringskod
    • Power Pages använder metoden client_secret_post för att kommunicera med identitetsserverns token slutpunkt.
    • private_key_jwt-metod för autentisering med token slutpunkt stöds inte.
  • Hybrid (begränsat stöd)
    • Power Pages kräver att id_token finns i svaret så response_type = code token stöds inte.
    • Hybridflödet i Power Pages följer samma flöde för implicit beviljande och använder id_token för att logga in i användarna direkt.
  • Bevisnyckeln för kodutbyte (PKCE)
    • PKCE-baserade tekniker för autentisering av användare stöds inte.

Kommentar

Ändringar i webbplats med autentiseringsinställningarna kan ta några minuter för att visa på webbplatsen. Om du vill se ändringarna omedelbart startar du om webbplatsen i administrationscenter.

Konfigurera OpenID Connect-provider i Power Pages

  1. På din Power Pages-webbplats kan du välja Säkerhet>Identitetsproviders.

    Om inga identitetsleverantörer visas, se till Extern inloggning anges till i webbplatsens allmänna autentiseringsinställningar.

  2. Välj + Ny provider.

  3. Under Välj inloggningsprovider som Annat.

  4. Under protokoll som OpenID Connect.

  5. Ange ett namn på leverantören.

    Leverantörens namn är texten på knappen som användare ser när de väljer sin identitetsleverantör på inloggningssidan.

  6. Välj Nästa.

  7. Under Svars-URL, välj Kopiera.

    Stäng inte webbläsarfliken Power Pages. Du kommer snart tillbaka till det.

Skapa en appregistrering i identitetsprovider

  1. Skapa och registrera ett program med din identitetsprovider med hjälp av svars-URL:en du kopierade.

  2. Kopiera program- eller klient-ID:t och klienthemlighet.

  3. Sök efter appens slutpunkter och kopiera Metadatadokument för OpenID Connect URL.

  4. Ändra andra inställningar efter behov för din identitetsprovider.

Ange webbplatsinställningar i Power Pages

Gå tillbaka till sidan Power Pages Konfigurera identitetsprovider som du lämnade tidigare och ange följande värden. Alternativt kan du ändra övriga inställningarna efter behov. När du är klar väljer du Bekräfta.

  • Utfärdare: Ange utfärdar-URL i följande format: https://login.microsoftonline.com/<Directory (tenant) ID>/, där <katalog-ID (klientorganisation)> är katalog-ID (klientorganisation) för appen du skapat. Om till exempel katalog-ID (klientorganisation) i Azure-portalen är aaaabbbb-0000-cccc-1111-dddd2222eeee, är utfärdar-URL https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • Klient-ID​: Klistra in app- eller klient-ID för appen du skapade.

  • Omdirigerings-URL: Om ett anpassat domännamn används för webbplatsen anger du den anpassade URL-adressen. I annat fall lämnar du standardvärdet. Se till att värdet är exakt detsamma som omdirigerings-URI för appen du skapade.

  • Metadataadress: Klistra in metadatadokument för OpenID Connect URL du kopierade.

  • Omfattning: Ange en blankstegsavgränsad lista över omfattningar att begära med hjälp av OpenID Connect scope parameter. Standardvärdet är openid.

    Värdet openid är obligatoriskt. Läs om andra anspråk som du kan lägga till.

  • Svarstyp: Ange värdet för OpenID Connect response_type-parameter. Möjliga värden omfattar code, code id_token, id_token, id_token token och code id_token token. Standardvärdet är code id_token.

  • Klienthemlighet: Klistra in klienthemligheten från providerprogrammet. Det kan också kallas ett Apphemlighet eller Konsumenthemlighet. Den här inställningen är obligatorisk om svarstypen är code.

  • Svarsläge: Ange värdet för OpenID Connect response_mode-parameter. Det ska vara query om svarstypen är code. Standardvärdet är form_post.

  • Extern inloggning: Den här inställningen styr om en extern utloggning används för webbplatsen. När användare loggar ut från ett program eller en webbplats med extern inloggning är de också inloggade på alla program och webbplatser som använder samma identitetsprovider. Aktivera den för att omdirigera användarna till den externa miljön för utloggning när de loggar ut från webbplatsen. Stäng av den för att endast registrera användare på webbplatsen.

  • Omdirigerings-URL efter utloggning: Ange webbadressen dit identitetsprovider ska omdirigera användare efter att de loggat ut. Denna plats bör ställas in på lämpligt sätt i konfiguration av identitetsprovidern.

  • RP-initierad utloggning: Den här inställningen styr om den förlitande parten – OpenID Connect klientapp kan logga ut användare. Om du vill använda den här inställningen ska den externa utloggningen aktiveras.

Ytterligare inställningar i Power Pages

De ytterligare inställningarna ger bättre kontroll över hur användare autentiserar med OpenID Connect-identitetsprovider. Du behöver inte ange något av dessa värden. De är helt valfria.

  • Utfärdarfilter: Ange ett jokerbaserat filter som passar för alla utfärdare över alla innehavare, t.ex. https://sts.windows.net/*/. Om du använder en Microsoft Entra ID-autentiseringsleverantör, skulle utfärdarens URL-filter vara https://login.microsoftonline.com/*/v2.0/.

  • Verifiera målgrupp: Aktivera den här inställningen om du vill verifiera målgrupp vid tokenvalidering.

  • Validera målgrupper: Ange en kommaavgränsad lista med URL:er för målgrupper.

  • Verifiera utfärdare: Aktivera den här inställningen om du vill verifiera utfärdare vid tokenvalidering.

  • Verifiera utfärdare: Ange en kommaavgränsad lista med URL:er för utfärdare.

  • Mappning av registreringsanspråk och Mappning av inloggningsanspråk: I användarautentisering är ett anspråk information som beskriver en användares identitet, som en e-postadress eller datum för registrering. När du loggar in på ett program eller en webbplats skapas en token. En token innehåller information om din identitet, inklusive eventuella anspråk som är associerade med den. Token används för att autentisera din identitet när du öppnar andra delar av programmet eller webbplatsen eller andra program och webbplatser som är anslutna till samma identitetsleverantör. Anspråksmappning är ett sätt att ändra informationen som ingår i en token. Den kan användas för att anpassa den information som är tillgänglig för programmet eller webbplatsen och för att styra åtkomsten till funktioner eller data. Mappning av registreringsanspråk ändrar de krav som genereras när du registrerar dig för ett program eller en webbplats. Mappning av inloggningsanspråk ändrar de krav som genereras när du loggar in för ett program eller en webbplats. Läs mer om policyer för anspråksmappning.

  • Nonce-livstid: Ange nonce-värdets livstid i minuter. Standardvärdet är 10 minuter.

  • Använd livslängden för token: Denna inställning kontrollerar om livslängden för autentiseringssessionen (till exempel cookies) ska matcha autentiseringstokens livslängd. Om du slår på den, åsidosätter detta värdet tidsintervallet för programcookien i webbplatsinställningen Authentication/ApplicationCookie/ExpireTimeSpan.

  • Kontaktmappning med e-post: Den här inställningen avgör om kontakter mappas till en motsvarande e-postadress när de loggar in.

    • : Associerar en unik kontaktpost till en matchande e-postadress och tilldelar automatiskt den externa identitetsprovidern till kontakten när användaren har loggat in.
    • Av

Kommentar

UI_Locales skickas nu automatiskt i autentiseringsbegäran och anges till det språk som väljs på portalen.

Se även

Konfigurera OpenID Connect-provider med Azure Active Directory (Azure AD) B2C
Konfigurera OpenID Connect-provider med Microsoft Entra ID
Vanliga frågor och svar om OpenID Connect