ตั้งค่าผู้ให้บริการ OpenID Connect กับ ID Microsoft Entra
Microsoft Entra เป็นหนึ่งในผู้ให้บริการข้อมูลประจำตัว OpenID Connect ที่คุณสามารถใช้ ตรวจสอบสิทธิ์ผู้เยี่ยมชมไซต์ Power Pages ของคุณ พร้อมกับ ID Microsoft Entra, ID Microsoft Entra แบบหลายผู้เช่า และ B2C Azure AD คุณสามารถใช้ผู้ให้บริการรายอื่นที่ตรงตาม ข้อกำหนด OpenID Connect
บทความนี้อธิบายขั้นตอนต่อไปนี้:
- ตั้งค่า Microsoft Entra ใน Power Pages
- สร้างการลงทะเบียนแอปใน Azure
- ป้อนการตั้งค่าไซต์ใน Power Pages
- อนุญาตการรับรองความถูกต้อง Microsoft Entra แบบหลายผู้เช่า
หมายเหตุ
การเปลี่ยนแปลงไปยังการตั้งค่าการรับรองความถูกต้องของไซต์ของคุณ อาจใช้เวลาสักครู่ เพื่อให้มีการแสดงในพอร์ทัล หากต้องการดูการเปลี่ยนแปลงในทันที ให้รีสตาร์ทไซต์ใน ศูนย์การจัดการ
ตั้งค่า Microsoft Entra ใน Power Pages
ตั้งค่า Microsoft Entra เป็นผู้ให้บริการข้อมูลประจำตัวสำหรับไซต์ของคุณ
ในไซต์ Power Pages ของคุณ ให้เลือก ความปลอดภัย>ผู้ให้บริการข้อมูลประจำตัว
หากไม่มีผู้ให้บริการข้อมูลประจำตัวปรากฏขึ้น ตรวจสอบให้แน่ใจว่าได้ตั้งค่า การเข้าสู่ระบบภายนอก เป็น เปิด ใน การตั้งค่าการรับรองความถูกต้องทั่วไป ของไซต์ของคุณ
เลือก + ผู้ให้บริการใหม่
ภายใต้ เลือกผู้ให้บริการเข้าสู่ระบบ เลือก อื่นๆ
ภายใต้ โปรโตคอล เลือก OpenID Connect
ป้อนชื่อสำหรับผู้ให้บริการ เช่น Microsoft Entra ID
ชื่อผู้ให้บริการเป็นข้อความบนปุ่มที่ผู้ใช้เห็นเมื่อพวกเขาเลือกผู้ให้บริการข้อมูลประจำตัวของตนในหน้าลงชื่อเข้าใช้
เลือก ถัดไป
ภายใต้ URL ตอบกลับ เลือก คัดลอก
อย่าปิดแท็บเบราว์เซอร์ Power Pages ของคุณ คุณจะต้องกลับมาในไม่ช้า
สร้างการลงทะเบียนแอปใน Azure
สร้างการลงทะเบียนแอปในพอร์ทัล Azure โดยมี URL ตอบกลับของไซต์ของคุณเป็น URI เปลี่ยนเส้นทาง
ลงชื่อเข้าใช้ พอร์ทัล Azure
ค้นหาและเลือก Azure Active Directory
ภายใต้ จัดการ เลือก การลงทะเบียนแอป
เลือก การลงทะเบียนใหม่
ป้อนชื่อ
เลือกหนึ่งใน ชนิดบัญชีที่รองรับ ที่ตรงกับความต้องการขององค์กรของคุณมากที่สุด
ภายใต้ URI เปลี่ยนเส้นทาง ให้เลือก เว็บ เป็นแพลตฟอร์ม จากนั้นป้อน URL ตอบกลับของไซต์ของคุณ
- หากคุณใช้ URL เริ่มต้นของไซต์ ให้วาง URL ตอบกลับ ที่คุณคัดลอก
- หากคุณใช้ชื่อโดเมนที่กำหนดเอง ให้ป้อน URL ที่กำหนดเอง อย่าลืมใช้ URL ที่กำหนดเองเดียวกันสำหรับ URL เปลี่ยนเส้นทางในการตั้งค่าสำหรับผู้ให้บริการข้อมูลประจำตัวบนไซต์ของคุณ
เลือก ลงทะเบียน
คัดลอก รหัส (ไคลเอ็นต์) แอปพลิเคชัน
ทางด้านขวาของ ข้อมูลประจำตัวของไคลเอ็นต์ ให้เลือก เพิ่มข้อมูลประจำตัวหรือข้อมูลลับ
เลือก + ข้อมูลลับไคลเอ็นต์ใหม่
ป้อนข้อความอธิบายที่เป็นตัวเลือก เลือกวันหมดอายุ แล้วเลือก เพิ่ม
ภายใต้ รหัสข้อมูลลับ เลือกไอคอน คัดลอกไปยังคลิปบอร์ด
เลือก ตำแหน่งข้อมูล ที่ด้านบนของเพจ
ค้นหา URL ของ เอกสารเมตาดาต้า OpenID Connect แล้วเลือกไอคอนคัดลอก
ในแผงทางด้านซ้าย ภายใต้ จัดการ เลือก การรับรองความถูกต้อง
ภายใต้ การให้สิทธิ์โดยนัย เลือก โทเค็นรหัส (ใช้สำหรับโฟลว์โดยนัยและแบบไฮบริด)
เลือก บันทึก
ป้อนการตั้งค่าไซต์ใน Power Pages
กลับไปที่เพจ กำหนดค่าผู้ให้บริการข้อมูลประจำตัว ของ Power Pages ที่คุณทิ้งไว้ก่อนหน้านี้ และป้อนค่าต่อไปนี้ หรือเปลี่ยน การตั้งค่าเพิ่มเติม ตามต้องการ เลือก ยืนยัน เมื่อคุณดำเนินการเสร็จสิ้นแล้ว
หน่วยงาน: ป้อน URL หน่วยงานในรูปแบบต่อไปนี้:
https://login.microsoftonline.com/<Directory (tenant) ID>/โดยที่ <ID ไดเรกทอรี (ผู้เช่า) > เป็น ID ไดเรกทอรี (ผู้เช่า) ของแอปพลิเคชันที่คุณสร้างขึ้น ตัวอย่างเช่น ถ้า รหัสไดเรกทอรี (ผู้เช่า) ในพอร์ทัล Azure คือaaaabbbb-0000-cccc-1111-dddd2222eeeeURL ของหน่วยงานคือhttps://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/รหัสไคลเอ็นต์: วางแอปพลิเคชันหรือรหัสไคลเอ็นต์ของแอปพลิเคชัน ที่คุณสร้างขึ้น
URL เปลี่ยนเส้นทาง: หากไซต์ของคุณใช้ชื่อโดเมนที่กำหนดเอง ให้ป้อน URL ที่กำหนดเอง มิฉะนั้น ปล่อยให้เป็นค่าเริ่มต้น ตรวจสอบให้แน่ใจว่าค่าตรงกับ URI เปลี่ยนเส้นทางของแอปพลิเคชัน ที่คุณสร้างขึ้น ทุกประการ
ที่อยู่เมตาดาต้า: วาง URL เอกสารเมตาดาต้า OpenID Connect ที่คุณคัดลอก
ขอบเขต: ป้อน
openid emailค่า
openidเป็นข้อมูลบังคับ ค่าemailไม่บังคับ; ตรวจสอบให้แน่ใจว่าที่อยู่อีเมลของผู้ใช้มีการกรอกโดยอัตโนมัติและแสดงบนเพจโปรไฟล์หลังจากที่ผู้ใช้ลงชื่อเข้าใช้ เรียนรู้เกี่ยวกับการอ้างสิทธิ์อื่นๆ ที่คุณสามารถเพิ่มได้ชนิดการตอบสนอง: เลือก
code id_tokenข้อมูลลับไคลเอ็นต์: วางข้อมูลลับไคลเอ็นต์จากแอปพลิเคชัน ที่คุณสร้าง จำเป็นต้องมีการตั้งค่านี้ หากชนิดการตอบคือ
codeโหมดการตอบสนอง: เลือก
form_postออกจากระบบภายนอก: การตั้งค่านี้ควบคุมว่าไซต์ของคุณใช้การออกจากระบบแบบรวมศูนย์หรือไม่ ด้วยการออกจากระบบแบบรวมศูนย์ เมื่อผู้ใช้ออกจากระบบแอปพลิเคชันหรือไซต์ พวกเขาจะถูกลงชื่อออกจากแอปพลิเคชันและไซต์ทั้งหมดที่ใช้ผู้ให้บริการข้อมูลประจำตัวเดียวกัน เปิดเพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังประสบการณ์ใช้งานลงชื่อออกแบบรวมศูนย์ เมื่อพวกเขาลงชื่อออกจากเว็บไซต์ ปิดเพื่อลงชื่อผู้ใช้ออกจากเว็บไซต์ของคุณเท่านั้น
URL เปลี่ยนเส้นทางหลังออกจากระบบ: ป้อน URL ที่ผู้ให้บริการข้อมูลประจำตัวควรเปลี่ยนเส้นทางผู้ใช้หลังจากลงชื่อออกจากระบบ ตำแหน่งนี้ควรถูกตั้งค่าอย่างเหมาะสมในการกำหนดค่าผู้ให้บริการข้อมูลประจำตัว
RP ที่เริ่มต้นการออกจากระบบ: การตั้งค่านี้ควบคุมว่าผู้ให้บริการที่ต้องการข้อมูลยืนยันตัวตน—แอปพลิเคชันไคลเอ็นต์ OpenID Connect—สามารถลงชื่อผู้ใช้ออกจากระบบได้หรือไม่ ในการใช้การตั้งค่านี้ ให้เปิด การออกจากระบบภายนอก
การตั้งค่าเพิ่มเติมใน Power Pages
การตั้งค่าเพิ่มเติมช่วยให้คุณควบคุมวิธีการรับรองความถูกต้องผู้ใช้กับผู้ให้บริการข้อมูลประจำตัว Microsoft Entra ของคุณได้ดียิ่งขึ้น คุณไม่จำเป็นต้องตั้งค่าใด ๆ เหล่านี้ เพราะเป็นตัวเลือกทั้งหมด
ตัวกรองผู้ออก: ป้อนตัวกรองที่ใช้อักขระตัวแทนที่ตรงกับผู้ออกทั้งหมดในผู้เช่าทั้งหมด เช่น
https://sts.windows.net/*/ตรวจสอบความถูกต้องผู้ชม: เปิดการตั้งค่านี้เพื่อตรวจสอบความถูกต้องของผู้ชมระหว่างการตรวจสอบโทเค็น
ผู้ชมที่ถูกต้อง: รายการของ URL ของผู้ชมที่คั่นด้วยจุลภาค
ตรวจสอบความถูกต้องผู้ออก: เปิดการตั้งค่านี้เพื่อตรวจสอบความถูกต้องของผู้ออกระหว่างการตรวจสอบโทเค็น
ผู้ออกที่ถูกต้อง: รายการของ URL ของผู้ออกที่คั่นด้วยจุลภาค
การแมปการอ้างสิทธิ์การลงทะเบียน และ การแมปการอ้างสิทธิ์การเข้าสู่ระบบ: ในการรับรองความถูกต้องผู้ใช้ การอ้างสิทธิ์ เป็นข้อมูลที่อธิบายข้อมูลประจำตัวนของผู้ใช้ เช่น ที่อยู่อีเมลหรือวันเกิด เมื่อคุณลงชื่อเข้าใช้แอปพลิเคชันหรือเว็บไซต์ แอปพลิเคชันจะสร้าง โทเค็น โทเค็นประกอบด้วยข้อมูลเกี่ยวกับข้อมูลประจำตัวของคุณ รวมถึงการอ้างสิทธิ์ใดๆ ที่เกี่ยวข้องกับโทเค็น โทเค็นใช้เพื่อรับรองความถูกต้องของข้อมูลประจำตัวของคุณเมื่อคุณเข้าถึงส่วนอื่นๆ ของแอปพลิเคชันหรือไซต์ หรือแอปพลิเคชันและไซต์อื่นๆ ที่เชื่อมต่อกับผู้ให้บริการข้อมูลประจำตัวเดียวกัน การแมปการอ้างสิทธิ์ เป็นวิธีการเปลี่ยนแปลงข้อมูลที่รวมอยู่ในโทเค็น สามารถใช้เพื่อปรับแต่งข้อมูลที่พร้อมใช้งานสำหรับแอปพลิเคชันหรือไซต์ และควบคุมการเข้าถึงคุณลักษณะหรือข้อมูล การแมปการอ้างสิทธิ์การลงทะเบียน แก้ไขการอ้างสิทธิ์ที่ปล่อยออกมาเมื่อคุณลงทะเบียนแอปพลิเคชันหรือเว็บไซต์ การแมปการอ้างสิทธิ์การเข้าสู่ระบบ แก้ไขการอ้างสิทธิ์ที่ปล่อยออกมาเมื่อคุณลงชื่อเข้าใช้แอปพลิเคชันหรือเว็บไซต์ เรียนรู้เพิ่มเติมเกี่ยวกับนโยบายการแมป
อายุการใช้งานปัจจุบัน: ป้อนอายุการใช้งานของค่าปัจจุบันในหน่วยนาที ค่าเริ่มต้นคือ 10 นาที
ใช้อายุการใช้งานโทเค็น: การตั้งค่านี้ควบคุมว่าอายุการใช้งานเซสชันการรับรองความถูกต้อง เช่น คุกกี้ ควรตรงกับโทเค็นการรับรองความถูกต้องหรือไม่ หากคุณเปิด ค่านี้จะแทนที่ค่า Application Cookie Expire Timespan ในการตั้งค่าไซต์ Authentication/ApplicationCookie/ExpireTimeSpan
การแมปผู้ติดต่อกับอีเมล: การตั้งค่านี้กำหนดว่าผู้ติดต่อได้รับการแมปกับที่อยู่อีเมลที่สอดคล้องกันเมื่อลงชื่อเข้าใช้หรือไม่
- เปิด: เชื่อมโยงกับเรกคอร์ดผู้ติดต่อที่ไม่ซ้ำกันที่มีที่อยู่อีเมลที่ตรงกัน และระบบจะกำหนดผู้ให้บริการข้อมูลประจำตัวภายนอกโดยอัตโนมัติไปยังผู้ติดต่อหลังจากที่ผู้ใช้ได้ลงชื่อเข้าใช้สำเร็จแล้ว
- ไม่ได้ใช้งาน
หมายเหตุ
พารามิเตอร์คำขอ UI_Locales ถูกส่งโดยอัตโนมัติในคำขอการรับรองความถูกต้องและถูกตั้งค่าเป็นภาษาที่เลือกในพอร์ทัล
ตั้งค่าการอ้างสิทธิ์เพิ่มเติม
เปิดใช้งาน การอ้างสิทธิ์เพิ่มเติมใน ID Microsoft Entra
ตั้งค่า ขอบเขต เพื่อรวมการอ้างสิทธิ์เพิ่มเติม เช่น
openid email profileตั้งค่าการตั้งค่าไซต์เพิ่มเติม การแมปการอ้างสิทธิ์การลงทะเบียน เช่น
firstname=given_name,lastname=family_nameตั้งค่าการตั้งค่าไซต์เพิ่มเติม การแมปการอ้างสิทธิ์การเข้าสู่ระบบ เช่น
firstname=given_name,lastname=family_name
ตัวอย่างเหล่านี้ ชื่อ นามสกุล และที่อยู่อีเมลที่ให้มาพร้อมกับการอ้างสิทธิ์เพิ่มเติม จะกลายเป็นค่าเริ่มต้นในหน้าโปรไฟล์ในเว็บไซต์
หมายเหตุ
การแมปการอ้างสิทธิ์รองรับฟิลด์ชนิดข้อมูลข้อความและแบบบูลีน
อนุญาตการรับรองความถูกต้อง Microsoft Entra แบบหลายผู้เช่า
หากต้องการอนุญาตให้ผู้ใช้ Microsoft Entra รับรองความถูกต้องจากผู้เช่าใดๆ ใน Azure ไม่ใช่แค่จากผู้เช่ารายใดรายหนึ่ง ให้ เปลี่ยนการลงทะเบียนแอปพลิเคชัน Microsoft Entra ให้กับผู้เช่าหลายราย
คุณต้องตั้งค่า ตัวกรองผู้ออก ใน การตั้งค่าเพิ่มเติม ของผู้ให้บริการของคุณ