Dela via


OpenID Connect på Microsofts identitetsplattform

OpenID Connect (OIDC) utökar OAuth 2.0-auktoriseringsprotokollet för användning som ett annat autentiseringsprotokoll. Du kan använda OIDC för att aktivera enkel inloggning (SSO) mellan dina OAuth-aktiverade program med hjälp av en säkerhetstoken som kallas för en ID-token.

Den fullständiga specifikationen för OIDC finns på OpenID Foundations webbplats på OpenID Connect Core 1.0-specifikationen.

Protokollflöde: Logga in

Följande diagram visar det grundläggande OpenID Connect-inloggningsflödet. Stegen i flödet beskrivs mer detaljerat i senare avsnitt i artikeln.

Simfältsdiagram som visar OpenID Connect-protokollets inloggningsflöde.

Aktivera ID-token

ID-token som introducerades av OpenID Connect utfärdas av auktoriseringsservern, Microsofts identitetsplattform, när klientprogrammet begär en under användarautentiseringen. Med ID-token kan ett klientprogram verifiera användarens identitet och hämta annan information (anspråk) om dem.

ID-token utfärdas inte som standard för ett program som registrerats med Microsofts identitetsplattform. ID-token för ett program aktiveras med någon av följande metoder:

  1. Logga in på administrationscentret för Microsoft Entra.
  2. Bläddra till Identitetsprogram>> Appregistreringar>< vår programautentisering.>>
  3. Under Plattformskonfigurationer väljer du Lägg till en plattform.
  4. I fönstret som öppnas väljer du lämplig plattform för ditt program. Välj till exempel Webb för ett webbprogram.
  5. Under Omdirigerings-URI:er lägger du till omdirigerings-URI:n för ditt program. Exempel: https://localhost:8080/
  6. Under Implicit beviljande och hybridflöden markerar du kryssrutan ID-token (används för implicita flöden och hybridflöden).

Eller:

  1. Välj Identitetsprogram>> Appregistreringar>< din programmanifest.>>
  2. Ange oauth2AllowIdTokenImplicitFlow till true i appregistreringens programmanifest.

Om ID-token inte är aktiverade för din app och en begärs returnerar Microsofts identitetsplattform ett unsupported_response fel som liknar:

Det angivna värdet för indataparametern "response_type" tillåts inte för den här klienten. Förväntat värde är "kod".

Att begära en ID-token genom att ange en response_type av id_token förklaras i Skicka inloggningsbegäran senare i artikeln.

Hämta OpenID-konfigurationsdokumentet

OpenID-leverantörer som Microsofts identitetsplattform tillhandahålla ett OpenID-providerkonfigurationsdokument vid en offentligt tillgänglig slutpunkt som innehåller providerns OIDC-slutpunkter, anspråk som stöds och andra metadata. Klientprogram kan använda metadata för att identifiera url:er som ska användas för autentisering och autentiseringstjänstens offentliga signeringsnycklar.

Autentiseringsbibliotek är de vanligaste konsumenterna av OpenID-konfigurationsdokumentet, som de använder för identifiering av autentiserings-URL:er, leverantörens offentliga signeringsnycklar och andra tjänstmetadata. Om ett autentiseringsbibliotek används i din app behöver du förmodligen inte handkoda begäranden till och svar från openID-konfigurationsdokumentets slutpunkt.

Hitta appens OpenID-konfigurationsdokument-URI

Varje appregistrering i Microsoft Entra-ID tillhandahålls en offentligt tillgänglig slutpunkt som hanterar dess OpenID-konfigurationsdokument. För att fastställa URI:n för konfigurationsdokumentets slutpunkt för din app lägger du till den välkända OpenID-konfigurationssökvägen till appregistreringens utfärdar-URL.

  • Välkänd dokumentsökväg för konfiguration: /.well-known/openid-configuration
  • Utfärdar-URL: https://login.microsoftonline.com/{tenant}/v2.0

Värdet för {tenant} varierar beroende på programmets inloggningspublik enligt följande tabell. Utfärdarens URL varierar också beroende på molninstans.

Värde beskrivning
common Användare med både ett personligt Microsoft-konto och ett arbets- eller skolkonto från Microsoft Entra-ID kan logga in på programmet.
organizations Endast användare med arbets- eller skolkonton från Microsoft Entra-ID kan logga in på programmet.
consumers Endast användare med ett personligt Microsoft-konto kan logga in på programmet.
Directory (tenant) ID eller contoso.onmicrosoft.com Endast användare från en specifik Microsoft Entra-klientorganisation (katalogmedlemmar med ett arbets- eller skolkonto eller kataloggäster med ett personligt Microsoft-konto) kan logga in på programmet.

Värdet kan vara domännamnet för Microsoft Entra-klientorganisationen eller klientorganisations-ID:t i GUID-format.

Dricks

Observera att när du använder common eller consumers utfärdare för personliga Microsoft-konton måste det förbrukande resursprogrammet konfigureras för att stödja en sådan typ av konton i enlighet med signInAudience.

Om du vill hitta OIDC-konfigurationsdokumentet i administrationscentret för Microsoft Entra loggar du in på administrationscentret för Microsoft Entra och sedan:

  1. Bläddra till Identitetsprogram>> Appregistreringar>< dår programslutpunkter.>>
  2. Leta upp URI:n under openID Connect-metadatadokumentet.

Exempelbegäran

Följande begäran hämtar OpenID-konfigurationsmetadata från utfärdarens common OpenID-konfigurationsdokumentslutpunkt i det offentliga Azure-molnet:

GET /common/v2.0/.well-known/openid-configuration
Host: login.microsoftonline.com

Dricks

Prova! Om du vill se OpenID-konfigurationsdokumentet common för ett programs utfärdare går du till https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration.

Exempelsvar

Konfigurationsmetadata returneras i JSON-format enligt följande exempel (trunkerade för korthet). Metadata som returneras i JSON-svaret beskrivs i detalj i OpenID Connect 1.0-identifieringsspecifikationen.

{
  "authorization_endpoint": "https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize",
  "token_endpoint": "https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token",
  "token_endpoint_auth_methods_supported": [
    "client_secret_post",
    "private_key_jwt"
  ],
  "jwks_uri": "https://login.microsoftonline.com/{tenant}/discovery/v2.0/keys",
  "userinfo_endpoint": "https://graph.microsoft.com/oidc/userinfo",
  "subject_types_supported": [
      "pairwise"
  ],
  ...
}

Skicka inloggningsbegäran

Om du vill autentisera en användare och begära en ID-token för användning i ditt program dirigerar du användarens agent till Microsofts identitetsplattform/auktorisera slutpunkten. Begäran liknar den första delen av OAuth 2.0-auktoriseringskodflödet , men med dessa distinktioner:

  • Inkludera omfånget openid i parametern scope .
  • Ange id_token i parametern response_type .
  • Inkludera parametern nonce .

Exempel på inloggningsbegäran (radbrytningar ingår endast för läsbarhet):

GET https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize?
client_id=00001111-aaaa-2222-bbbb-3333cccc4444
&response_type=id_token
&redirect_uri=http%3A%2F%2Flocalhost%2Fmyapp%2F
&response_mode=form_post
&scope=openid
&state=12345
&nonce=678910
Parameter Villkor beskrivning
tenant Obligatoriskt Du kan använda {tenant} värdet i sökvägen till begäran för att styra vem som kan logga in på programmet. De tillåtna värdena är common, organizations, consumersoch klientidentifierare. Mer information finns i grunderna för protokoll. För gästscenarier där du signerar en användare från en klientorganisation till en annan klientorganisation måste du ange klientidentifieraren för att logga in dem korrekt i resursklientorganisationen.
client_id Obligatoriskt Det program-ID (klient)-ID som administrationscentret för Microsoft Entra – Appregistreringar upplevelse som tilldelats din app.
response_type Obligatoriskt Måste inkluderas id_token för OpenID Connect-inloggning.
redirect_uri Rekommenderat Omdirigerings-URI:n för din app, där autentiseringssvar kan skickas och tas emot av din app. Den måste exakt matcha en av de omdirigerings-URI:er som du registrerade i portalen, förutom att den måste vara URL-kodad. Om den inte finns väljer slutpunkten en som registrerats redirect_uri slumpmässigt för att skicka tillbaka användaren till.
scope Obligatoriskt En blankstegsavgränsad lista med omfång. För OpenID Connect måste den innehålla omfånget openid, som översätts till behörigheten Logga in dig i användargränssnittet för medgivande. Du kan också inkludera andra omfång i den här begäran om att begära medgivande.
nonce Obligatoriskt Ett värde som genereras och skickas av din app i dess begäran om en ID-token. Samma nonce värde ingår i den ID-token som returneras till din app av Microsofts identitetsplattform. För att minimera tokenreprisattacker bör appen kontrollera att nonce värdet i ID-token är samma värde som det som skickades när token begärdes. Värdet är vanligtvis en unik, slumpmässig sträng.
response_mode Rekommenderat Anger vilken metod som ska användas för att skicka tillbaka den resulterande auktoriseringskoden till din app. Det kan vara form_post eller fragment. För webbprogram rekommenderar vi att du använder response_mode=form_post, för att säkerställa den säkraste överföringen av token till ditt program.
state Rekommenderat Ett värde som ingår i begäran som också returneras i tokensvaret. Det kan vara en sträng med valfritt innehåll. Ett slumpmässigt genererat unikt värde används vanligtvis för att förhindra förfalskningsattacker mellan webbplatser. Tillståndet används också för att koda information om användarens tillstånd i appen innan autentiseringsbegäran inträffade, till exempel sidan eller vyn som användaren var på.
prompt Valfritt Anger vilken typ av användarinteraktion som krävs. De enda giltiga värdena just nu är login, none, consentoch select_account. Anspråket prompt=login tvingar användaren att ange sina autentiseringsuppgifter för den begäran, vilket negerar enkel inloggning. Parametern prompt=none är motsatsen och bör paras ihop med en login_hint för att ange vilken användare som måste vara inloggad. Dessa parametrar säkerställer att användaren inte visas med någon interaktiv fråga alls. Om begäran inte kan slutföras tyst via enkel inloggning returnerar Microsofts identitetsplattform ett fel. Orsaker inkluderar ingen inloggad användare, den tipsade användaren är inte inloggad eller flera användare är inloggade men inget tips angavs. Anspråket prompt=consent utlöser dialogrutan OAuth-medgivande när användaren har loggat in. I dialogrutan uppmanas användaren att bevilja behörigheter till appen. select_account Slutligen visar användaren en kontoväljare som negerar enkel utloggning, men låter användaren välja vilket konto de tänker logga in med, utan att kräva autentiseringsuppgifter. Du kan inte använda både login_hint och select_account.
login_hint Valfritt Du kan använda den här parametern för att fylla i fältet användarnamn och e-postadress på inloggningssidan för användaren, om du känner till användarnamnet i förväg. Ofta använder appar den här parametern under omautentiseringen, efter att redan ha extraherat det valfria anspråket login_hint från en tidigare inloggning.
domain_hint Valfritt Sfären för användaren i en federerad katalog. Detta hoppar över den e-postbaserade identifieringsprocessen som användaren går igenom på inloggningssidan för en något mer effektiviserad användarupplevelse. För klienter som federeras via en lokal katalog som AD FS resulterar detta ofta i en sömlös inloggning på grund av den befintliga inloggningssessionen.

Nu uppmanas användaren att ange sina autentiseringsuppgifter och slutföra autentiseringen. Microsofts identitetsplattform verifierar att användaren har samtyckt till de behörigheter som anges i scope frågeparametern. Om användaren inte har samtyckt till någon av dessa behörigheter uppmanar Microsofts identitetsplattform användaren att samtycka till de behörigheter som krävs. Du kan läsa mer om behörigheter, medgivande och appar för flera klientorganisationer.

När användaren har autentiserat och gett sitt medgivande returnerar Microsofts identitetsplattform ett svar till din app vid den angivna omdirigerings-URI:n med hjälp av den metod som anges i parameternresponse_mode.

Lyckat svar

Ett lyckat svar när du använder response_mode=form_post liknar:

POST /myapp/ HTTP/1.1
Host: localhost
Content-Type: application/x-www-form-urlencoded

id_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsIng1dCI6Ik1uQ19WWmNB...&state=12345
Parameter Description
id_token ID-token som appen begärde. Du kan använda parametern id_token för att verifiera användarens identitet och starta en session med användaren. Mer information om ID-token och deras innehåll finns i referensen för ID-token.
state Om en state parameter ingår i begäran bör samma värde visas i svaret. Appen bör kontrollera att tillståndsvärdena i begäran och svaret är identiska.

Felsvar

Felsvar kan också skickas till omdirigerings-URI:n så att appen kan hantera dem, till exempel:

POST /myapp/ HTTP/1.1
Host: localhost
Content-Type: application/x-www-form-urlencoded

error=access_denied&error_description=the+user+canceled+the+authentication
Parameter Description
error En felkodssträng som du kan använda för att klassificera typer av fel som inträffar och för att reagera på fel.
error_description Ett specifikt felmeddelande som kan hjälpa dig att identifiera rotorsaken till ett autentiseringsfel.

Felkoder för auktoriseringsslutpunktsfel

I följande tabell beskrivs felkoder som kan returneras i parametern error för felsvaret:

Felkod beskrivning Klientåtgärd
invalid_request Protokollfel som en nödvändig parameter saknas. Åtgärda och skicka begäran igen. Det här utvecklingsfelet bör fångas under programtestningen.
unauthorized_client Klientprogrammet kan inte begära en auktoriseringskod. Det här felet kan inträffa när klientprogrammet inte är registrerat i Microsoft Entra-ID eller inte läggs till i användarens Microsoft Entra-klientorganisation. Programmet kan uppmana användaren att installera programmet och lägga till det i Microsoft Entra-ID.
access_denied Resursägaren nekade medgivande. Klientprogrammet kan meddela användaren att det inte kan fortsätta om inte användaren samtycker.
unsupported_response_type Auktoriseringsservern stöder inte svarstypen i begäran. Åtgärda och skicka begäran igen. Det här utvecklingsfelet bör fångas under programtestningen.
server_error Servern påträffade ett oväntat fel. Försök igen med begäran. Dessa fel kan bero på tillfälliga villkor. Klientprogrammet kan förklara för användaren att svaret är försenat på grund av ett tillfälligt fel.
temporarily_unavailable Servern är tillfälligt för upptagen för att hantera begäran. Försök igen med begäran. Klientprogrammet kan förklara för användaren att svaret är försenat på grund av ett tillfälligt villkor.
invalid_resource Målresursen är ogiltig eftersom den inte finns, Microsoft Entra-ID:t kan inte hitta den eller så har den konfigurerats felaktigt. Det här felet anger att resursen, om den finns, inte har konfigurerats i klientorganisationen. Programmet kan uppmana användaren med instruktioner för att installera programmet och lägga till det i Microsoft Entra-ID.

Verifiera ID-token

Att ta emot en ID-token i din app kanske inte alltid räcker för att fullständigt autentisera användaren. Du kan också behöva verifiera ID-tokens signatur och verifiera dess anspråk enligt appens krav. Precis som alla OpenID-providers är Microsofts identitetsplattform ID-token JSON-webbtoken (JWT) signerade med hjälp av kryptering med offentliga nycklar.

Webbappar och webb-API:er som använder ID-token för auktorisering måste verifiera dem eftersom sådana program får åtkomst till data. Andra typer av program kanske inte drar nytta av validering av ID-token. Inbyggda program och ensidesprogram (SPA) drar till exempel sällan nytta av ID-tokenverifiering eftersom en entitet med fysisk åtkomst till enheten eller webbläsaren potentiellt kan kringgå valideringen.

Två exempel på förbikoppling av tokenverifiering är:

  • Tillhandahålla falska token eller nycklar genom att ändra nätverkstrafik till enheten
  • Felsöka programmet och stega över valideringslogik under programkörningen.

Om du validerar ID-token i ditt program rekommenderar vi att du inte gör det manuellt. Använd i stället ett tokenverifieringsbibliotek för att parsa och verifiera token. Tokenvalideringsbibliotek är tillgängliga för de flesta utvecklingsspråk, ramverk och plattformar.

Vad du ska verifiera i en ID-token

Förutom att verifiera ID-tokens signatur bör du verifiera flera av dess anspråk enligt beskrivningen i Validera en ID-token. Se även Viktig information om signering av nyckel-rollover.

Flera andra valideringar är vanliga och varierar beroende på programscenario, inklusive:

  • Se till att användaren/organisationen har registrerat sig för appen.
  • Se till att användaren har rätt auktorisering/behörigheter
  • En viss autentiseringsstyrka har säkerställts, till exempel multifaktorautentisering.

När du har verifierat ID-token kan du starta en session med användaren och använda informationen i tokens anspråk för appanpassning, visning eller lagring av deras data.

Protokolldiagram: Förvärv av åtkomsttoken

Många program behöver inte bara logga in på en användare, utan även komma åt en skyddad resurs som ett webb-API för användarens räkning. Det här scenariot kombinerar OpenID Connect för att hämta en ID-token för autentisering av användaren och OAuth 2.0 för att hämta en åtkomsttoken för en skyddad resurs.

Det fullständiga flödet för OpenID Connect-inloggning och tokenförvärv liknar det här diagrammet:

OpenID Connect-protokoll: Tokenförvärv

Hämta en åtkomsttoken för UserInfo-slutpunkten

Förutom ID-token görs även den autentiserade användarens information tillgänglig på OIDC UserInfo-slutpunkten.

Om du vill hämta en åtkomsttoken för OIDC UserInfo-slutpunkten ändrar du inloggningsbegäran enligt beskrivningen här:

// Line breaks are for legibility only.

GET https://login.microsoftonline.com/{tenant}/oauth2/v2.0/authorize?
client_id=00001111-aaaa-2222-bbbb-3333cccc4444        // Your app registration's Application (client) ID
&response_type=id_token%20token                       // Requests both an ID token and access token
&redirect_uri=http%3A%2F%2Flocalhost%2Fmyapp%2F       // Your application's redirect URI (URL-encoded)
&response_mode=form_post                              // 'form_post' or 'fragment'
&scope=openid+profile+email                           // 'openid' is required; 'profile' and 'email' provide information in the UserInfo endpoint as they do in an ID token. 
&state=12345                                          // Any value - provided by your app
&nonce=678910                                         // Any value - provided by your app

Du kan använda auktoriseringskodflödet, enhetskodflödet eller en uppdateringstoken response_type=token i stället för för att hämta en åtkomsttoken för din app.

Lyckat tokensvar

Ett lyckat svar från att använda response_mode=form_post:

POST /myapp/ HTTP/1.1
Host: localhost
Content-Type: application/x-www-form-urlencoded
 access_token=eyJ0eXAiOiJKV1QiLCJub25jZSI6I....
 &token_type=Bearer
 &expires_in=3598
 &scope=email+openid+profile
 &id_token=eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI....
 &state=12345

Svarsparametrar betyder samma sak oavsett vilket flöde som används för att hämta dem.

Parameter Description
access_token Den token som används för att anropa UserInfo-slutpunkten.
token_type Alltid "Bearer"
expires_in Hur lång tid tills åtkomsttoken upphör att gälla, i sekunder.
scope Behörigheterna som beviljats för åtkomsttoken. Eftersom UserInfo-slutpunkten finns på Microsoft Graph är det möjligt scope att innehålla andra som tidigare beviljats programmet (till exempel User.Read).
id_token ID-token som appen begärde. Du kan använda ID-token för att verifiera användarens identitet och starta en session med användaren. Du hittar mer information om ID-token och deras innehåll i ID-tokenreferensen.
state Om en tillståndsparameter ingår i begäran bör samma värde visas i svaret. Appen bör kontrollera att tillståndsvärdena i begäran och svaret är identiska.

Varning

Försök inte verifiera eller läsa token för något API som du inte äger, inklusive token i det här exemplet, i koden. Token för Microsoft-tjänster kan använda ett särskilt format som inte verifieras som en JWT och som även kan krypteras för konsumentanvändare (Microsoft-konto). Läs token är ett användbart felsöknings- och inlärningsverktyg, men använd inte beroenden för detta i koden eller anta detaljer om token som inte är för ett API som du kontrollerar.

Felsvar

Felsvar kan också skickas till omdirigerings-URI:n så att appen kan hantera dem på rätt sätt:

POST /myapp/ HTTP/1.1
Host: localhost
Content-Type: application/x-www-form-urlencoded

error=access_denied&error_description=the+user+canceled+the+authentication
Parameter Description
error En felkodssträng som du kan använda för att klassificera typer av fel som inträffar och för att reagera på fel.
error_description Ett specifikt felmeddelande som kan hjälpa dig att identifiera rotorsaken till ett autentiseringsfel.

En beskrivning av möjliga felkoder och rekommenderade klientsvar finns i Felkoder för auktoriseringsslutpunktsfel.

När du har en auktoriseringskod och en ID-token kan du logga in användaren och få åtkomsttoken för deras räkning. Om du vill logga in användaren måste du verifiera ID-token enligt beskrivningen i verifieringstoken. Om du vill hämta åtkomsttoken följer du stegen som beskrivs i dokumentationen för OAuth-kodflöde.

Anropa UserInfo-slutpunkten

Granska UserInfo-dokumentationen för att se hur du anropar UserInfo-slutpunkten med den här token.

Skicka en utloggningsbegäran

Om du vill logga ut en användare utför du båda följande åtgärder:

  1. Omdirigera användarens användaragent till Microsofts identitetsplattform utloggnings-URI.
  2. Rensa appens cookies eller avsluta användarens session i ditt program.

Om du inte utför någon av dessa åtgärder kan användaren förbli autentiserad och uppmanas inte att logga in nästa gång de använder din app.

Omdirigera användaragenten till det end_session_endpoint som visas i konfigurationsdokumentet för OpenID Connect. Stöder end_session_endpoint både HTTP GET- och POST-begäranden.

GET https://login.microsoftonline.com/common/oauth2/v2.0/logout?
post_logout_redirect_uri=http%3A%2F%2Flocalhost%2Fmyapp%2F
Parameter Villkor beskrivning
post_logout_redirect_uri Rekommenderat Url:en som användaren omdirigeras till efter att ha loggat ut. Om parametern inte ingår visas ett allmänt meddelande som genereras av Microsofts identitetsplattform. Den här URL:en måste matcha en av de omdirigerings-URI:er som registrerats för ditt program i appregistreringsportalen.
logout_hint Valfritt Aktiverar utloggning utan att användaren uppmanas att välja ett konto. Om du vill använda logout_hintaktiverar du det valfria anspråket login_hint i klientprogrammet och använder värdet för det login_hint valfria anspråket logout_hint som parameter. Använd inte UPN eller telefonnummer som värde för parametern logout_hint .

Kommentar

Efter lyckad utloggning anges de aktiva sessionerna till inaktiva. Om det finns en giltig primär uppdateringstoken (PRT) för den utloggade användaren och en ny inloggning körs avbryts enkel utloggning och användaren ser en uppmaning med en kontoväljare. Om det valda alternativet är det anslutna kontot som refererar till PRT fortsätter inloggningen automatiskt utan att behöva infoga nya autentiseringsuppgifter.

Enkel utloggning

När du omdirigerar användaren till end_session_endpoint i ett program avslutar Microsofts identitetsplattform användarsessionen för det här programmet. Användaren kan dock fortfarande vara inloggad på andra program som använder samma Microsoft-konton för autentisering.

När en användare har loggat in på flera webb- eller SPA-program som registrerats i den här katalogen (kallas även klientorganisation) kan användaren logga ut från alla program direkt genom att logga ut i något av programmen.

Om du vill aktivera enkel utloggning för ditt Entra-program bör du använda utloggningsfunktionen för OpenID Connect-frontkanalen. Med den här funktionen kan ett program meddela andra program att användaren har loggat ut. När användaren loggar ut från ett program skickar Microsofts identitetsplattform en HTTP GET-begäran till utloggnings-URL:en för frontkanalen för varje program som användaren för närvarande är inloggad på.

Dessa program måste svara på den här begäran genom att utföra följande två åtgärder för att enkel utloggning ska lyckas:

  1. Rensa alla sessioner som identifierar användaren.
  2. Program måste svara på den här begäran genom att rensa alla sessioner som identifierar användaren och returnera ett 200 svar.

Vad är en URL för utloggning av frontkanalen?

En URL för utloggning för frontkanalen är den där ditt webb- eller SPA-program tar emot utloggningsbegäran från Entra-autentiseringsservern och utför funktioner för enkel utloggning. Varje program har en url för utloggning av frontkanalen.

När ska du ange en URL för utloggning av frontkanalen?

Om du eller utvecklaren har fastställt att enkel utloggning krävs för ett program måste du ange url:en för utloggning i frontkanalen för programmets appregistrering. När url:en för utloggning av frontkanalen har angetts för programmets appregistrering skickar Microsofts identitetsplattform en HTTP GET-begäran till programmets url för utloggning på frontkanalen när den inloggade användaren har loggat ut från ett annat program.

Så här konfigurerar du enkel inloggning med funktionen för utloggning i frontkanalen

Om du vill använda funktionen för utloggning av frontkanalen för en uppsättning program måste du utföra följande två uppgifter:

  • Ange url:en för utloggning av frontkanalen i administrationscentret för Microsoft Entra för alla program som ska loggas ut samtidigt. Varje program har vanligtvis sin egen dedikerade url för utloggning av frontkanalen.
  • Redigera programkoden så att de lyssnar efter en HTTP GET-begäran som skickas av Microsofts identitetsplattform till utloggnings-URL:en för frontkanalen och svara på den här begäran genom att rensa alla sessioner som identifierar användaren och returnera ett 200-svar.

Så här väljer du utloggnings-URL för en frontkanal

Utloggnings-URL:en för frontkanalen ska vara en URL som kan ta emot och svara på HTTP GET-begäranden och bör kunna rensa alla sessioner som identifierar användaren. Exempel på utloggnings-URL för en frontkanal kan vara, men är inte begränsade till, följande:

Nästa steg