คำถามที่พบบ่อยเกี่ยวกับการใช้ OpenID Connect ในพอร์ทัล
หมายเหตุ
พอร์ทัล Power Apps คือ Power Pages โดยมีผลในวันที่ 12 ตุลาคม 2022 ข้อมูลเพิ่มเติม: Microsoft Power Pages มีให้ใช้งานทั่วไป (บล็อก)
ในไม่ช้าเราจะย้ายและรวมคู่มือพอร์ทัล Power Apps เข้ากับ คู่มือ Power Pages
บทความนี้มีข้อมูลเกี่ยวกับสถานการณ์ของพอร์ทัล Power Apps ทั่วไป และคำถามที่ถามบ่อยสำหรับการใช้ผู้ให้บริการรับรองความถูกต้องที่เป็นไปตาม ข้อมูลจำเพาะของ OpenID Connect
ฉันต้องการเอกสารประกอบการค้นพบอัตโนมัติ OpenId Connect เพื่อรวมเข้ากับพอร์ทัลหรือไม่
ได้ จำเป็นต้องมีเอกสารประกอบการค้นพบอัตโนมัติ (หรือเรียกกันทั่วไปว่า /.well-known/openid-configuration) เพื่อรวมเข้ากับพอร์ทัล ข้อมูลที่มีอยู่ในเอกสารนี้ถูกใช้โดยพอร์ทัลเพื่อสร้างคำร้องขอการอนุญาต และตรวจสอบโทเค็นการรับรองความถูกต้อง
หากผู้ให้บริการข้อมูลประจำตัวของคุณไม่ได้จัดเตรียมเอกสารนี้ไว้ คุณสามารถสร้างเอกสารนี้ได้ด้วยตนเอง และโฮสต์ไว้ที่ตำแหน่งสาธารณะใดก็ได้ (ซึ่งรวมถึงพอร์ทัลของคุณ)
หมายเหตุ
เช่นเดียวกับเอกสารการค้นพบ พอร์ทัลยังต้องการผู้ให้บริการข้อมูลประจำตัวเพื่อให้จุดสิ้นสุด JWKS URI แบบสาธารณะ ที่ซึ่งมีคีย์สาธารณะเพื่อตรวจสอบลายเซ็นของโทเค็นรหัส จุดสิ้นสุดนี้จะต้องระบุไว้ในเอกสารการค้นพบเป็นคีย์ jwks_uri
พอร์ทัลรองรับพารามิเตอร์คำขอ acr_values ในคำขอการรับรองความถูกต้องหรือไม่
ไม่ พอร์ทัลไม่รองรับพารามิเตอร์คำขอ acr_values ในคำขอการอนุญาต อย่างไรก็ตาม คุณลักษณะพอร์ทัลสนับสนุนพารามิเตอร์คำขอ—ที่จำเป็นและแนะนำ—ทั้งหมดที่กำหนดไว้ใน ข้อมูลจำเพาะ OpenId Connect
พารามิเตอร์ทางเลือกต่อไปนี้นั้นได้รับการสนับสนุน:
- โหมดคำตอบ
- nonce
- UI_Locales
พอร์ทัลรองรับพารามิเตอร์ขอบเขตที่กำหนดเองในคำขอการรับรองความถูกต้องหรือไม่
ได้ พารามิเตอร์ขอบเขตที่กำหนดเองสามารถระบุได้โดยใช้ตัวเลือกขอบเขตในระหว่างการตั้งค่าคอนฟิก
เหตุใดค่าชื่อผู้ใช้ในผู้ติดต่อหรือเรกคอร์ดข้อมูลประจำตัวภายนอกใน Dataverse แสดงค่าที่แตกต่างกัน เมื่อเทียบกับสิ่งที่ผู้ใช้ป้อนในหน้าลงชื่อเข้าใช้
ฟิลด์ชื่อผู้ใช้ในเรกคอร์ดผู้ติดต่อและเรกคอร์ดข้อมูลประจำตัวภายนอก จะแสดงค่าที่ส่งในการอ้างสิทธิ์ย่อยหรือการอ้างสิทธิ์รหัสออบเจ็กต์ (OID) (สำหรับผู้ให้บริการที่ใช้ Azure AD–) เนื่องจากการอ้างสิทธิ์ย่อยแสดงถึงตัวระบุสำหรับผู้ใช้ปลายทาง และได้รับการรับรองจากผู้ให้บริการข้อมูลประจำตัวว่าไม่ซ้ำกัน การอ้างสิทธิ์ OID (ที่ซึ่งรหัสออบเจ็กต์เป็นตัวระบุเฉพาะสำหรับผู้ใช้ทั้งหมดในผู้เช่า) ได้รับการสนับสนุน เมื่อใช้กับผู้ให้บริการที่ใช้ Azure AD–แบบผู้เช่ารายเดียว
พอร์ทัลรองรับการออกจากระบบจากผู้ให้บริการที่ใช้ OpenID Connect–หรือไม่
ได้ คุณลักษณะพอร์ทัลสนับสนุนเทคนิคการออกจากระบบช่องทางด้านหน้า เพื่อออกจากระบบจากทั้งสองแอปพลิเคชันและผู้ให้บริการที่ใช้ OpenID Connect–
พอร์ทัลรองรับการลงชื่อออกจากระบบครั้งเดียวหรือไม่
ไม่ พอร์ทัลไม่สนับสนุนเทคนิคการลงชื่อออกจากระบบครั้งเดียวสำหรับผู้ให้บริการที่ใช้ OpenID Connect–
พอร์ทัลต้องการการอ้างสิทธิ์เฉพาะใดๆ ในโทเค็นรหัส* หรือไม่
นอกเหนือจากการอ้างสิทธิ์ที่จำเป็นทั้งหมด คุณลักษณะพอร์ทัลจำเป็นต้องมีการอ้างสิทธิ์ที่แสดงที่อยู่อีเมลของผู้ใช้ในโทเค็นรหัส การอ้างสิทธิ์นี้ต้องตั้งชื่อว่า email, emails หรือ upn
นอกเหนือจากการอ้างสิทธิ์ที่จำเป็นทั้งหมด พอร์ทัลจำเป็นต้องมีการอ้างสิทธิ์ที่แสดงที่อยู่อีเมลของผู้ใช้ใน id_token การอ้างสิทธิ์นี้ต้องตั้งชื่อเป็น "อีเมล" "อีเมล" หรือ "upn"
การอ้างสิทธิ์เหล่านี้ได้รับการดำเนินการตามลำดับความสำคัญต่อไปนี้เพื่อตั้งค่าเป็น ที่อยู่อีเมลหลัก ของเรกคอร์ดการติดต่อใน Dataverse:
- อีเมล
- อีเมล
- upn
เมื่อใช้งาน "emailclaimsmapping" ยังใช้เพื่อค้นหาผู้ติดต่อที่มีอยู่ (ฟิลด์ที่อยู่อีเมลหลักใน Dataverse)
ฉันสามารถเข้าถึงโทเค็น (รหัสหรือการเข้าถึง) โดยใช้ JavaScript ได้หรือไม่
ไม่ โทเค็นรหัสที่จัดหาโดยผู้ให้บริการข้อมูลประจำตัวไม่สามารถทำให้พร้อมใช้งานผ่านเทคนิคมาตรฐานใดๆ ในฝั่งไคลเอ็นต์ และใช้เพื่อวัตถุประสงค์ในการตรวจสอบสิทธิ์เท่านั้น อย่างไรก็ตาม หากคุณใช้โฟลว์การให้สิทธิ์โดยนัย คุณสามารถใช้วิธีการที่ผู้ให้บริการระบุตัวตนของคุณให้มาเพื่อเข้าถึงรหัสหรือโทเค็นการเข้าถึง
ตัวอย่างเช่น Azure AD ให้ Microsoft Authentication Library เพื่อให้บรรลุสถานการณ์นี้ในไคลเอนต์
ฉันสามารถใช้ผู้ให้บริการ OpenId Connect แบบกำหนดเองแทน Azure AD ได้หรือไม่
ได้ พอร์ทัลรองรับผู้ให้บริการ OpenID Connect ใดๆ ที่รองรับ ข้อมูลจำเพาะของ OpenID Connect มาตรฐาน
ดูเพิ่มเติม
กำหนดค่าเปิดผู้ให้บริการ OpenID Connect สำหรับพอร์ทัล
หมายเหตุ
บอกให้เราทราบเกี่ยวกับภาษาที่คุณต้องการในคู่มือ ทำแบบสำรวจสั้นๆ (โปรดทราบว่าแบบสำรวจนี้เป็นภาษาอังกฤษ)
แบบสำรวจนี้ใช้เวลาทำประมาณเจ็ดนาที ไม่มีการเก็บข้อมูลส่วนบุคคล (คำชี้แจงสิทธิ์ส่วนบุคคล)