ตั้งค่าผู้ให้บริการ OpenID Connect กับ Azure AD B2C

Azure Active Directory (Azure AD) B2C เป็นหนึ่งในผู้ให้บริการข้อมูลประจำตัว OpenID Connect ที่คุณสามารถใช้ รับรองความถูกต้องผู้เยี่ยมชม ไซต์ Power Pages ของคุณ คุณสามารถใช้ผู้ให้บริการข้อมูลประจำตัวใดๆ ที่เป็นไปตาม ข้อกำหนด Open ID Connect

บทความนี้อธิบายขั้นตอนต่อไปนี้:

• ตั้งค่า Azure AD B2C ใน Power Pages
• สร้างการลงทะเบียนแอป
• สร้างโฟลว์ของผู้ใช้
• ป้อนการตั้งค่าไซต์และรหัสผ่านใน Power Pages

หมายเหตุ

การเปลี่ยนแปลงไปยังการตั้งค่าการรับรองความถูกต้องของไซต์ของคุณ อาจใช้เวลาสักครู่ เพื่อให้มีการแสดงในพอร์ทัล หากต้องการดูการเปลี่ยนแปลงในทันที ให้รีสตาร์ทไซต์ใน ศูนย์การจัดการ

ตั้งค่า Azure AD B2C ใน Power Pages

ตั้งค่า Azure AD B2C เป็นผู้ให้บริการข้อมูลประจำตัวสำหรับไซต์ของคุณ

1. ในไซต์ Power Pages ของคุณ ให้เลือก ความปลอดภัย>ผู้ให้บริการข้อมูลประจำตัว

   หากไม่มีผู้ให้บริการข้อมูลประจำตัวปรากฏขึ้น ตรวจสอบให้แน่ใจว่าได้ตั้งค่า การเข้าสู่ระบบภายนอก เป็น เปิด ใน การตั้งค่าการรับรองความถูกต้องทั่วไป ของไซต์ของคุณ

2. ทางด้านขวาของ Azure Active Directory B2C ให้เลือก คำสั่งเพิ่มเติม (…) >กำหนดค่า หรือเลือกชื่อผู้ให้บริการ

3. ปล่อยชื่อผู้ให้บริการไว้ตามเดิมหรือเปลี่ยนแปลงได้หากต้องการ

   ชื่อผู้ให้บริการเป็นข้อความบนปุ่มที่ผู้ใช้เห็นเมื่อพวกเขาเลือกผู้ให้บริการข้อมูลประจำตัวของตนในหน้าลงชื่อเข้าใช้

4. เลือก ถัดไป

5. ภายใต้ URL ตอบกลับ เลือก คัดลอก

6. เลือก เปิด Azure

   อย่าปิดแท็บเบราว์เซอร์ Power Pages ของคุณ คุณจะต้องกลับมาในไม่ช้า

สร้างการลงทะเบียนแอป

สร้างผู้เช่าสำหรับ Azure AD B2C และ ลงทะเบียนแอปพลิเคชัน ด้วย URL ตอบกลับของไซต์ของคุณเป็น URI เปลี่ยนเส้นทาง

1. การสร้างบทความผู้เช่า Azure AD B2C

2. ค้นหาและเลือก Azure AD B2C

3. ภายใต้ จัดการ เลือก การลงทะเบียนแอป

4. เลือก การลงทะเบียนใหม่

5. ป้อนชื่อ

6. เลือกหนึ่งใน ชนิดบัญชีที่รองรับ ที่ตรงกับความต้องการขององค์กรของคุณมากที่สุด

7. ภายใต้ URI เปลี่ยนเส้นทาง ให้เลือก เว็บ เป็นแพลตฟอร์ม จากนั้นป้อน URL ตอบกลับของไซต์ของคุณ

   • หากคุณใช้ URL เริ่มต้นของไซต์ ให้วาง URL ตอบกลับ ที่คุณคัดลอก
   • หากคุณใช้ชื่อโดเมนที่กำหนดเอง ให้ป้อน URL ที่กำหนดเอง อย่าลืมใช้ URL ที่กำหนดเองเดียวกันสำหรับ URL เปลี่ยนเส้นทางในการตั้งค่าสำหรับผู้ให้บริการข้อมูลประจำตัวบนไซต์ของคุณ

8. เลือก ลงทะเบียน

9. คัดลอก รหัส (ไคลเอ็นต์) แอปพลิเคชัน

10. ในแผงทางด้านซ้าย ภายใต้ จัดการ เลือก การรับรองความถูกต้อง

11. ภายใต้ การให้สิทธิ์โดยนัย เลือก โทเค็นการเข้าใช้ (ใช้สำหรับโฟลว์โดยนัย)

12. เลือก บันทึก

13. กำหนดค่าความเข้ากันได้ของโทเค็น โดยใช้ URL การอ้างสิทธิ์ของผู้ออก (iss) ที่มี tfp เรียนรู้เพิ่มเติมเกี่ยวกับความเข้ากันได้ของโทเค็น

สร้างโฟลว์ของผู้ใช้

1. สร้างขั้นตอนการสมัครและลงชื่อเข้าใช้ของผู้ใช้

2. (ไม่บังคับ) สร้างโฟลว์ของผู้ใช้รีเซ็ตรหัสผ่าน

รับ URL ของผู้ออกจากโฟลว์ของผู้ใช้

1. เปิดโฟลว์ของผู้ใช้สำหรับสมัครลงทะเบียนและลงชื่อเข้าใช้ ที่คุณสร้าง

2. ไปที่ผู้เช่า Azure AD B2C ใน พอร์ทัล Azure

3. เลือก รันโฟลว์ผู้ใช้

4. เปิด URL การกำหนดค่า OpenID Connect ในแท็บบราว์เซอร์ใหม่

   URL อ้างอิงถึงเอกสารการตั้งค่าคอนฟิกผู้ให้บริการข้อมูลเฉพาะ OpenID Connect ซึ่งยังเป็นที่รู้จักในนาม จุดสิ้นสุดการตั้งค่าคอนฟิกที่รู้จักกันดีของ OpenID

5. คัดลอก URL ของ ผู้ออก ในแถบที่อยู่ ไม่ต้องใส่เครื่องหมายอัญประกาศ ตรวจสอบว่า URL การอ้างสิทธิ์ของผู้ออก (iss) ประกอบด้วย tfp

6. เปิดโฟลว์ของผู้ใช้สำหรับรีเซ็ตรหัสผ่าน หากคุณสร้างขึ้น และทำซ้ำขั้นตอนที่ 2-5

ป้อนการตั้งค่าไซต์และการตั้งค่ารีเซ็ตรหัสผ่านใน Power Pages

1. กลับไปที่หน้า กำหนดค่าผู้ให้บริการข้อมูลประจำตัว Power Pages ที่คุณออกมาก่อนหน้านี้

2. ภายใต้ กำหนดค่าการตั้งค่าไซต์ ให้ป้อนค่าต่อไปนี้:

   • หน่วยงาน: วาง URL ของผู้ออก ที่คุณคัดลอก​

   • รหัสไคลเอ็นต์​: วาง รหัสแอปพลิเคชัน (ไคลเอ็นต์) ของแอปพลิเคชัน Azure AD B2C ที่คุณสร้าง

   • URI เปลี่ยนเส้นทาง: หากไซต์ของคุณใช้ชื่อโดเมนที่กำหนดเอง ให้ป้อน URL ที่กำหนดเอง มิฉะนั้น ให้ใช้ค่าเริ่มต้น ซึ่งควรเป็น URL ตอบกลับของไซต์ของคุณ

3. ภายใต้ การตั้งค่าการรีเซ็ตรหัสผ่าน ให้ป้อนค่าต่อไปนี้:

   • รหัสนโยบายเริ่มต้น: ป้อนชื่อของโฟลว์ของผู้ใช้ในการสมัครรลงทะเบียนและการลงชื่อเข้าใช้ ที่คุณสร้าง ชื่อนำหน้าด้วย B2C_1

   • รหัสนโนบายการรีเซ็ตรหัสผ่าน: หาก ที่คุณสร้าง โฟลว์ของผู้ใช้สำหรับรีเซ็ตรหัสผ่าน ให้ป้อนชื่อ ชื่อนำหน้าด้วย B2C_1

   • ผู้ออกที่ถูกต้อง: ป้อนรายการที่คั่นด้วยเครื่องหมายจุลภาคของ URL ของผู้ออก สำหรับโฟลว์ของผู้ใช้ในการสมัครลงทะเบียน ลงชื่อเข้าใช้ และรีเซ็ตรหัสผ่าน ที่คุณสร้าง

4. (ไม่บังคับ) ขยาย การตั้งค่าเพิ่มเติม และเปลี่ยนการตั้งค่าตามต้องการ

5. เลือก ยืนยัน

การตั้งค่าเพิ่มเติมใน Power Pages

การตั้งค่าเพิ่มเติมช่วยให้คุณควบคุมวิธีการรับรองความถูกต้องผู้ใช้กับผู้ให้บริการข้อมูลประจำตัว Azure AD B2C ได้ดียิ่งขึ้น คุณไม่จำเป็นต้องตั้งค่าใด ๆ เหล่านี้ เพราะเป็นตัวเลือกทั้งหมด

• การแมปการอ้างสิทธิ์การลงทะเบียน​ และ การแมปการอ้างสิทธิ์การเข้าสู่ระบบ: ในการรับรองความถูกต้องผู้ใช้ การอ้างสิทธิ์ เป็นข้อมูลที่อธิบายข้อมูลประจำตัวนของผู้ใช้ เช่น ที่อยู่อีเมลหรือวันเกิด เมื่อคุณลงชื่อเข้าใช้แอปพลิเคชันหรือเว็บไซต์ แอปพลิเคชันจะสร้าง โทเค็น โทเค็นประกอบด้วยข้อมูลเกี่ยวกับข้อมูลประจำตัวของคุณ รวมถึงการอ้างสิทธิ์ใดๆ ที่เกี่ยวข้องกับโทเค็น โทเค็นใช้เพื่อรับรองความถูกต้องของข้อมูลประจำตัวของคุณเมื่อคุณเข้าถึงส่วนอื่นๆ ของแอปพลิเคชันหรือไซต์ หรือแอปพลิเคชันและไซต์อื่นๆ ที่เชื่อมต่อกับผู้ให้บริการข้อมูลประจำตัวเดียวกัน การแมปการอ้างสิทธิ์ เป็นวิธีการเปลี่ยนแปลงข้อมูลที่รวมอยู่ในโทเค็น สามารถใช้เพื่อปรับแต่งข้อมูลที่พร้อมใช้งานสำหรับแอปพลิเคชันหรือไซต์ และควบคุมการเข้าถึงคุณลักษณะหรือข้อมูล การแมปการอ้างสิทธิ์การลงทะเบียน แก้ไขการอ้างสิทธิ์ที่ปล่อยออกมาเมื่อคุณลงทะเบียนแอปพลิเคชันหรือเว็บไซต์ การแมปการอ้างสิทธิ์การเข้าสู่ระบบ แก้ไขการอ้างสิทธิ์ที่ปล่อยออกมาเมื่อคุณลงชื่อเข้าใช้แอปพลิเคชันหรือเว็บไซต์ เรียนรู้เพิ่มเติมเกี่ยวกับนโยบายการแมป

  • คุณไม่จำเป็นต้องป้อนค่าสำหรับการตั้งค่าเหล่านี้ หากคุณใช้แอตทริบิวต์ อีเมล, ชื่อ หรือ นามสกุล สำหรับแอตทริบิวต์อื่นๆ ให้ป้อนรายการของคู่ชื่อตรรกะ/ค่า ป้อนในรูปแบบ field_logical_name=jwt_attribute_name โดยที่ field_logical_name เป็นชื่อตรรกะของฟิลด์ใน Power Pages และ jwt_attribute_name เป็นแอตทริบิวต์ที่มีค่าที่ส่งคืนจากผู้ให้บริการข้อมูลประจำตัว คู่เหล่านี้ใช้เพื่อแมปค่าการอ้างสิทธิ์ (สร้างขึ้นระหว่างการสมัครลงทะเบียนหรือลงชื่อเข้าใช้ และส่งคืนจาก Azure AD B2C) กับแอตทริบิวต์ในเรกคอร์ดผู้ติดต่อ

    ตัวอย่างเช่น คุณใช้ ตำแหน่งงาน (jobTitle) และ รหัสไปรษณีย์ (postalCode) เป็น แอตทริบิวต์ผู้ใช้ ใน โฟลว์ของผู้ใช้ ของคุณ คุณต้องการอัปเดต Contact ฟิลด์ของตาราง ตำแหน่งงาน (jobtitle) และ ที่อยู่ 1: รหัสไปรษณีย์ (address1_postalcode) ในกรณีนี้ ให้ป้อนการแมปการอ้างสิทธิ์เป็น jobtitle=jobTitle,address1_postalcode=postalCode

• ออกจากระบบภายนอก: การตั้งค่านี้ควบคุมว่าไซต์ของคุณใช้การออกจากระบบแบบรวมศูนย์หรือไม่ ด้วยการออกจากระบบแบบรวมศูนย์ เมื่อผู้ใช้ออกจากระบบแอปพลิเคชันหรือไซต์ พวกเขาจะถูกลงชื่อออกจากแอปพลิเคชันและไซต์ทั้งหมดที่ใช้ผู้ให้บริการข้อมูลประจำตัวเดียวกัน ตัวอย่างเช่น หากคุณลงชื่อเข้าใช้ไซต์โดยใช้บัญชี Microsoft ของคุณ จากนั้นออกจากระบบบัญชี Microsoft ของคุณ การออกจากระบบแบบรวมศูนย์จะทำให้แน่ใจว่าคุณได้ออกจากระบบไซต์ด้วย

  • เปิด: เปลี่ยนเส้นทางผู้ใช้ไปยังประสบการณ์ใช้งานลงชื่อออกแบบรวมศูนย์ เมื่อพวกเขาลงชื่อออกจากเว็บไซต์
  • ปิด: ผู้ใช้ลงชื่อออกจากเว็บไซต์ของคุณเท่านั้น

• การแมปผู้ติดต่อกับอีเมล: การตั้งค่านี้กำหนดว่าผู้ติดต่อได้รับการแมปกับที่อยู่อีเมลที่สอดคล้องกันเมื่อลงชื่อเข้าใช้หรือไม่ การตั้งค่านี้ใช้ไม่ได้กับตำแหน่งข้อมูลแบบหลายผู้เช่า ใช้ คำเชิญ หรือเปิดการลงทะเบียนเพื่ออนุญาตให้ผู้ใช้รับรองความถูกต้องกับเว็บไซต์ของคุณ

  • เปิด: เชื่อมโยงกับเรกคอร์ดผู้ติดต่อที่ไม่ซ้ำกันที่มีที่อยู่อีเมลที่ตรงกัน และระบบจะกำหนดผู้ให้บริการข้อมูลประจำตัวภายนอกโดยอัตโนมัติไปยังผู้ติดต่อหลังจากที่ผู้ใช้ได้ลงชื่อเข้าใช้สำเร็จแล้ว
  • ปิด: เรกคอร์ดผู้ติดต่อไม่ตรงกับผู้ให้บริการข้อมูลประจำตัว นี่คือตัวเลือกเริ่มต้นสําหรับการตั้งค่านี้

• เปิดใช้งานการลงทะเบียน: การตั้งค่านี้ควบคุมว่าผู้ใช้สามารถลงทะเบียนบนเว็บไซต์ของคุณได้หรือไม่

  • เปิด: แสดงหน้าสมัครลงทะเบียนที่ผู้ใช้สามารถสร้างบัญชีบนไซต์ของคุณ
  • ปิด: ปิดใช้งานและซ่อนหน้าการลงทะเบียนบัญชีภายนอก

ดูเพิ่มเติม

ตั้งค่าการรับรองความถูกต้องของไซต์
ย้ายผู้ให้บริการข้อมูลเฉพาะไปยัง Azure AD B2C