แชร์ผ่าน

ตั้งค่าผู้ให้บริการ OpenID Connect

  • บทความ

ผู้ให้บริการข้อมูลประจำตัว OpenID Connect มีการบริการที่สอดคล้องกับ ข้อกำหนด OpenID Connect OpenID Connect แนะนำแนวคิดของID โทเค็น โทเค็นรหัสเป็นโทเค็นการรักษาความปลอดภัยที่อนุญาตให้ไคลเอ็นต์ตรวจสอบตัวตนของผู้ใช้ นอกจากนี้ โทเค็นรหัสยังได้รับข้อมูลโปรไฟล์พื้นฐานเกี่ยวกับผู้ใช้ หรือเรียกกันว่า การอ้างสิทธิ์

ผู้ให้บริการ OpenID Connect B2C Azure AD, ID Microsoft Entra, และ ID Microsoft Entra ที่มีผู้เช่าหลายราย สร้างขึ้นใน Power Pages บทความนี้อธิบายวิธีเพิ่มผู้ให้บริการข้อมูลประจำตัว OpenID Connect รายอื่นในไซต์ Power Pages ของคุณ

โฟลว์การตรวจสอบสิทธิ์ที่สนับสนุนและไม่สนับสนุนใน Power Pages

  • การให้สิทธิ์โดยนัย
    • โฟลว์นี้เป็นวิธีการรับรองความถูกต้องเริ่มต้นสำหรับไซต์ Power Pages
  • รหัสการอนุญาต
    • Power Pages ใช้วิธีการ client_secret_post ในการสื่อสารกับตำแหน่งข้อมูลโทเค็นของเซิร์ฟเวอร์ข้อมูลประจำตัว
    • ไม่รองรับการใช้วิธีการ private_key_jwt ในการตรวจสอบความถูกต้องกับตำแหน่งข้อมูลโทเค็น
  • ไฮบริด (การสนับสนุนที่จำกัด)
    • Power Pages ต้องการให้ id_token แสดงในการตอบ ดังนั้น response_type = โทเค็นโค้ด จึงไม่มีการรองรับ
    • โฟลว์ไฮบริดใน Power Pages เป็นไปตามโฟลว์เดียวกับโฟลว์การให้สิทธิ์โดยนัย และใช้ id_token เพื่อลงชื่อเข้าให้ผู้ใช้โดยตรง
  • คีย์การพิสูจน์สำหรับการแลกเปลี่ยนโค้ด (PKCE)
    • ไม่รองรับเทคนิคที่ใช้ PKCE เพื่อรับรองความถูกต้องของผู้ใช้

หมายเหตุ

การเปลี่ยนแปลงไปยังการตั้งค่าการรับรองความถูกต้องของไซต์ของคุณ อาจใช้เวลาสักครู่ เพื่อให้มีการแสดงในพอร์ทัล หากต้องการดูการเปลี่ยนแปลงในทันที ให้รีสตาร์ทไซต์ใน ศูนย์การจัดการ

ตั้งค่าผู้ให้บริการ OpenID Connect ใน Power Pages

  1. ในไซต์ Power Pages ของคุณ ให้เลือก ความปลอดภัย>ผู้ให้บริการข้อมูลประจำตัว

    หากไม่มีผู้ให้บริการข้อมูลประจำตัวปรากฏขึ้น ตรวจสอบให้แน่ใจว่าได้ตั้งค่า การเข้าสู่ระบบภายนอก เป็น เปิด ใน การตั้งค่าการรับรองความถูกต้องทั่วไป ของไซต์ของคุณ

  2. เลือก + ผู้ให้บริการใหม่

  3. ภายใต้ เลือกผู้ให้บริการเข้าสู่ระบบ เลือก อื่นๆ

  4. ภายใต้ โปรโตคอล เลือก OpenID Connect

  5. ป้อนชื่อของผู้ให้บริการ

    ชื่อผู้ให้บริการเป็นข้อความบนปุ่มที่ผู้ใช้เห็นเมื่อพวกเขาเลือกผู้ให้บริการข้อมูลประจำตัวของตนในหน้าลงชื่อเข้าใช้

  6. เลือก ถัดไป

  7. ภายใต้ URL ตอบกลับ เลือก คัดลอก

    อย่าปิดแท็บเบราว์เซอร์ Power Pages ของคุณ คุณจะต้องกลับมาในไม่ช้า

สร้างการลงทะเบียนแอปในผู้ให้บริการข้อมูลประจำตัว

  1. สร้างและลงทะเบียนแอปพลิเคชันกับผู้ให้บริการข้อมูลประจำตัวของคุณโดยใช้ URL ตอบกลับ ที่คุณคัดลอก

  2. คัดลอกแอปพลิเคชันหรือรหัสไคลเอ็นต์และข้อมูลลับไคลเอ็นต์

  3. ค้นหาตำแหน่งข้อมูลของแอปพลิเคชันและคัดลอก URL ของ เอกสารเมตาดาต้า OpenID Connect

  4. เปลี่ยนการตั้งค่าอื่นๆ ตามความจำเป็นสำหรับผู้ให้บริการข้อมูลประจำตัวของคุณ

ป้อนการตั้งค่าไซต์ใน Power Pages

กลับไปที่เพจ กำหนดค่าผู้ให้บริการข้อมูลประจำตัว ของ Power Pages ที่คุณทิ้งไว้ก่อนหน้านี้ และป้อนค่าต่อไปนี้ หรือเปลี่ยน การตั้งค่าเพิ่มเติม ตามต้องการ เลือก ยืนยัน เมื่อคุณดำเนินการเสร็จสิ้นแล้ว

  • หน่วยงาน: ป้อน URL หน่วยงานในรูปแบบต่อไปนี้: https://login.microsoftonline.com/<Directory (tenant) ID>/ โดยที่ <ID ไดเรกทอรี (ผู้เช่า) > เป็น ID ไดเรกทอรี (ผู้เช่า) ของแอปพลิเคชันที่คุณสร้างขึ้น ตัวอย่างเช่น ถ้า รหัสไดเรกทอรี (ผู้เช่า) ในพอร์ทัล Azure คือ aaaabbbb-0000-cccc-1111-dddd2222eeee URL ของหน่วยงานคือ https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​

  • รหัสไคลเอ็นต์​: วางแอปพลิเคชันหรือรหัสไคลเอ็นต์ของแอปพลิเคชัน ที่คุณสร้างขึ้น

  • URL เปลี่ยนเส้นทาง: หากไซต์ของคุณใช้ชื่อโดเมนที่กำหนดเอง ให้ป้อน URL ที่กำหนดเอง มิฉะนั้น ปล่อยให้เป็นค่าเริ่มต้น ตรวจสอบให้แน่ใจว่าค่าตรงกับ URI เปลี่ยนเส้นทางของแอปพลิเคชัน ที่คุณสร้างขึ้น ทุกประการ

  • ที่อยู่เมตาดาต้า: วาง URL เอกสารเมตาดาต้า OpenID Connect ที่คุณคัดลอก

  • ขอบเขต: ป้อนรายการที่คั่นด้วยช่องว่างของขอบเขตที่จะร้องขอโดยใช้พารามิเตอร์ scope ของ OpenID Connect ค่าเริ่มต้นคือ openid

    ค่า openid เป็นข้อมูลบังคับ เรียนรู้เกี่ยวกับการอ้างสิทธิ์อื่นๆ ที่คุณสามารถเพิ่มได้

  • ชนิดการตอบสนอง: ป้อนค่าพารามิเตอร์ response_type ของ OpenID Connect ค่าที่เป็นไปได้ ได้แก่ code, code id_token, id_token, id_token token และ code id_token token ค่าเริ่มต้นคือ code id_token

  • ข้อมูลลับไคลเอ็นต์: วางข้อมูลลับไคลเอ็นต์จากแอปพลิเคชันผู้ให้บริการ ซึ่งอาจยังถูกอ้างอิงเป็น ข้อมูลลับของแอป หรือ ข้อมูลลับของผู้ใช้งาน จำเป็นต้องมีการตั้งค่านี้ หากชนิดการตอบคือ code

  • ชนิดการตอบสนอง: ป้อนค่าพารามิเตอร์ response_mode ของ OpenID Connect ซึ่งควรเป็น query หากชนิดการตอบสนองคือ code ค่าเริ่มต้นคือ form_post

  • ออกจากระบบภายนอก: การตั้งค่านี้ควบคุมว่าไซต์ของคุณใช้การออกจากระบบแบบรวมศูนย์หรือไม่ ด้วยการออกจากระบบแบบรวมศูนย์ เมื่อผู้ใช้ออกจากระบบแอปพลิเคชันหรือไซต์ พวกเขาจะถูกลงชื่อออกจากแอปพลิเคชันและไซต์ทั้งหมดที่ใช้ผู้ให้บริการข้อมูลประจำตัวเดียวกัน เปิดเพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังประสบการณ์ใช้งานลงชื่อออกแบบรวมศูนย์ เมื่อพวกเขาลงชื่อออกจากเว็บไซต์ ปิดเพื่อลงชื่อผู้ใช้ออกจากเว็บไซต์ของคุณเท่านั้น

  • URL เปลี่ยนเส้นทางหลังออกจากระบบ: ป้อน URL ที่ผู้ให้บริการข้อมูลประจำตัวควรเปลี่ยนเส้นทางผู้ใช้หลังจากลงชื่อออกจากระบบ ตำแหน่งนี้ควรถูกตั้งค่าอย่างเหมาะสมในการกำหนดค่าผู้ให้บริการข้อมูลประจำตัว

  • RP ที่เริ่มต้นการออกจากระบบ: การตั้งค่านี้ควบคุมว่าผู้ให้บริการที่ต้องการข้อมูลยืนยันตัวตน—แอปพลิเคชันไคลเอ็นต์ OpenID Connect—สามารถลงชื่อผู้ใช้ออกจากระบบได้หรือไม่ ในการใช้การตั้งค่านี้ ให้เปิด การออกจากระบบภายนอก

การตั้งค่าเพิ่มเติมใน Power Pages

การตั้งค่าเพิ่มเติมช่วยให้คุณควบคุมวิธีการรับรองความถูกต้องผู้ใช้กับผู้ให้บริการข้อมูลประจำตัว OpenID Connect ของคุณได้ดียิ่งขึ้น คุณไม่จำเป็นต้องตั้งค่าใด ๆ เหล่านี้ เพราะเป็นตัวเลือกทั้งหมด

  • ตัวกรองผู้ออก: ป้อนตัวกรองที่ใช้อักขระตัวแทนที่ตรงกับผู้ออกทั้งหมดในผู้เช่าทั้งหมด เช่น https://sts.windows.net/*/ หากคุณกำลังใช้ Microsoft Entra ผู้ให้บริการรับรองความถูกต้อง ID ตัวกรอง URL ของผู้ออกจะเป็น https://login.microsoftonline.com/*/v2.0/

  • ตรวจสอบความถูกต้องผู้ชม: เปิดการตั้งค่านี้เพื่อตรวจสอบความถูกต้องของผู้ชมระหว่างการตรวจสอบโทเค็น

  • ผู้ชมที่ถูกต้อง: รายการของ URL ของผู้ชมที่คั่นด้วยจุลภาค

  • ตรวจสอบความถูกต้องผู้ออก: เปิดการตั้งค่านี้เพื่อตรวจสอบความถูกต้องของผู้ออกระหว่างการตรวจสอบโทเค็น

  • ผู้ออกที่ถูกต้อง: รายการของ URL ของผู้ออกที่คั่นด้วยจุลภาค

  • การแมปการอ้างสิทธิ์การลงทะเบียน​ และ การแมปการอ้างสิทธิ์การเข้าสู่ระบบ: ในการรับรองความถูกต้องผู้ใช้ การอ้างสิทธิ์ เป็นข้อมูลที่อธิบายข้อมูลประจำตัวนของผู้ใช้ เช่น ที่อยู่อีเมลหรือวันเกิด เมื่อคุณลงชื่อเข้าใช้แอปพลิเคชันหรือเว็บไซต์ แอปพลิเคชันจะสร้าง โทเค็น โทเค็นประกอบด้วยข้อมูลเกี่ยวกับข้อมูลประจำตัวของคุณ รวมถึงการอ้างสิทธิ์ใดๆ ที่เกี่ยวข้องกับโทเค็น โทเค็นใช้เพื่อรับรองความถูกต้องของข้อมูลประจำตัวของคุณเมื่อคุณเข้าถึงส่วนอื่นๆ ของแอปพลิเคชันหรือไซต์ หรือแอปพลิเคชันและไซต์อื่นๆ ที่เชื่อมต่อกับผู้ให้บริการข้อมูลประจำตัวเดียวกัน การแมปการอ้างสิทธิ์ เป็นวิธีการเปลี่ยนแปลงข้อมูลที่รวมอยู่ในโทเค็น สามารถใช้เพื่อปรับแต่งข้อมูลที่พร้อมใช้งานสำหรับแอปพลิเคชันหรือไซต์ และควบคุมการเข้าถึงคุณลักษณะหรือข้อมูล การแมปการอ้างสิทธิ์การลงทะเบียน แก้ไขการอ้างสิทธิ์ที่ปล่อยออกมาเมื่อคุณลงทะเบียนแอปพลิเคชันหรือเว็บไซต์ การแมปการอ้างสิทธิ์การเข้าสู่ระบบ แก้ไขการอ้างสิทธิ์ที่ปล่อยออกมาเมื่อคุณลงชื่อเข้าใช้แอปพลิเคชันหรือเว็บไซต์ เรียนรู้เพิ่มเติมเกี่ยวกับนโยบายการแมป

  • อายุการใช้งานปัจจุบัน: ป้อนอายุการใช้งานของค่าปัจจุบันในหน่วยนาที ค่าเริ่มต้นคือ 10 นาที

  • ใช้อายุการใช้งานโทเค็น: การตั้งค่านี้ควบคุมว่าอายุการใช้งานเซสชันการรับรองความถูกต้อง เช่น คุกกี้ ควรตรงกับโทเค็นการรับรองความถูกต้องหรือไม่ หากคุณเปิด ค่านี้จะแทนที่ค่า Application Cookie Expire Timespan ในการตั้งค่าไซต์ Authentication/ApplicationCookie/ExpireTimeSpan

  • การแมปผู้ติดต่อกับอีเมล: การตั้งค่านี้กำหนดว่าผู้ติดต่อได้รับการแมปกับที่อยู่อีเมลที่สอดคล้องกันเมื่อลงชื่อเข้าใช้หรือไม่

    • เปิด: เชื่อมโยงกับเรกคอร์ดผู้ติดต่อที่ไม่ซ้ำกันที่มีที่อยู่อีเมลที่ตรงกัน และระบบจะกำหนดผู้ให้บริการข้อมูลประจำตัวภายนอกโดยอัตโนมัติไปยังผู้ติดต่อหลังจากที่ผู้ใช้ได้ลงชื่อเข้าใช้สำเร็จแล้ว
    • ไม่ได้ใช้งาน

หมายเหตุ

พารามิเตอร์คำขอ UI_Locales ถูกส่งโดยอัตโนมัติในคำขอการรับรองความถูกต้องและถูกตั้งค่าเป็นภาษาที่เลือกในพอร์ทัล

ดูเพิ่มเติม

ตั้งค่าผู้ให้บริการ OpenID Connect กับ Azure Active Directory (Azure AD) B2C
ตั้งค่าผู้ให้บริการ OpenID Connect กับ Microsoft Entra ID
คำถามที่ถามบ่อยเกี่ยวกับ OpenID Connect