通过

使用 Azure AD 为门户配置 OpenID Connect 提供者

  • 项目

备注

从 2022 年 10 月 12 日起,Power Apps 门户更名为 Power Pages。 详细信息请参阅:Microsoft Power Pages 现已正式发布(博客)
不久后我们将迁移 Power Apps 门户文档并将其与 Power Pages 文档合并在一起。

在本文中,您将了解如何使用 Azure Active Directory (Azure AD) 和多租户 Azure AD 为门户配置 OpenID Connect 提供者。

备注

  • 门户不仅限于将 Azure AD、多租户 Azure AD 或 Azure AD B2C 作为 OpenID Connect 提供者。 您可以使用符合 OpenID Connect 规范的任何其他提供者。 对身份验证设置的更改可能需要几分钟反映在门户上。 如果您希望立即反映更改,请使用门户操作重启门户。

使用隐式授权流将 Azure AD 配置为 OpenID Connect 提供者

  1. 为您的门户选择添加提供者

  2. 对于登录提供程序,选择其他

  3. 对于协议,选择 OpenID Connect

  4. 输入提供者名称。

    提供程序名称。

  5. 选择下一步

  6. 在此步骤中,您使用您的标识提供者创建应用程序并配置设置。

    创建应用程序。

    备注

    • 身份验证成功后,应用将使用回复 URL 将用户重定向到门户。 如果您的门户使用自定义域名,则您可能拥有与此处提供的 URL 不同的 URL。
    • 快速入门:通过 Microsoft 标识平台注册应用程序中提供了有关在 Azure 门户上创建应用注册的更多详细信息。

    1. 登录到 Azure 门户

    2. 搜索并选择 Azure Active Directory

    3. 管理下,选择应用注册

    4. 选择新建注册

      新应用注册。

    5. 输入名称。

    6. 如果需要,选择其他支持的帐户类型。 详细信息:支持的帐户类型

    7. 重定向 URI 下,选择 Web(如果尚未选择)。

    8. 重定向 URI 文本框中输入您的门户的回复 URL
      示例: https://contoso-portal.powerappsportals.com/signin-openid_1

      备注

      如果您使用的是默认门户 URL,请复制并粘贴回复 URL,如配置标识提供者屏幕上的创建并配置 OpenID Connect 提供者设置部分所示(上面的步骤 6)。 如果您为门户使用的是自定义域名,请输入自定义 URL。 请确保在配置 OpenID Connect 提供者的同时在门户设置中配置重定向 URL 时使用此值。
      例如,如果您在 Azure 门户中输入回复 URLhttps://contoso-portal.powerappsportals.com/signin-openid_1,则必须在门户中将其原样用于 OpenID Connect 配置。

      注册应用程序。

    9. 选择注册

    10. 在左侧窗格上的管理下,选择身份验证

      使用 ID 令牌启用隐式授予流。

    11. 隐式授权下,选择 ID 令牌复选框。

    12. 选择保存

  7. 在此步骤中,您为门户配置输入站点设置。

    配置 OpenID Connect 站点设置。

    提示

    如果您在前面的步骤中配置应用注册后关闭了浏览器窗口,请再次登录 Azure 门户,然后转到注册的应用。

    1. 授权:若要配置授权 URL,请使用以下格式:

      https://login.microsoftonline.com/<Directory (tenant) ID>/

      例如,如果 Azure 门户中的目录(租户) ID7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb,授权 URL 将为 https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/

    2. 客户端 ID:复制 Azure 门户中的应用程序(客户端) ID 作为客户端 ID。

      授权和客户端 ID。

    3. 重定向 URL:确认重定向 URL 站点设置值与您先前在 Azure 门户中设置的重定向 URI 相同。

      确认重定向 URL。

      备注

      如果您使用的是默认门户 URL,可以复制并粘贴回复 URL,如创建和配置 OpenID Connect 提供者设置步骤中所示。 如果您使用的是自定义域名,请手动输入 URL。 请确保您在此处输入的值与您之前在 Azure 门户中输入的作为重定向 URI 的值完全相同。

    4. 元数据地址:要配置元数据地址,请执行以下操作:

      1. 在 Azure 门户中选择概览

      2. 选择终结点

        Azure 门户中的终结点。

      3. 复制 OpenID Connect 元数据文档中的 URL。

        OpenID Connect 元数据文档。

      4. 将复制的文档 URL 粘贴为门户的元数据地址

    5. 范围:将范围站点设置值设置为:

      openid email

      备注

      范围中的 openid 值是必需的。 email 值是可选的;在范围中指定 email 值可确保自动填充门户用户(联系人记录)的电子邮件地址,并在用户登录后显示在个人资料页上。 有关其他声明的信息,请参阅本文后面的配置其他声明

    6. 对于响应类型,选择代码 id_token

    7. 对于响应模式,选择 form_post

  8. 选择确认

    确认配置。

  9. 选择关闭

配置其他声明

  1. 在 Azure AD 中启用可选声明

  2. 设置范围以包括其他声明。
    示例: openid email profile

  3. 设置注册声明映射其他站点设置。
    示例: firstname=given_name,lastname=family_name

  4. 设置登录声明映射其他站点设置。
    示例: firstname=given_name,lastname=family_name

例如,其他声明随附的名、姓和电子邮件地址将成为门户中个人资料页中的默认值。

个人资料页示例。

使用多租户 Azure AD 应用程序启用身份验证

您可以使用在 Azure AD 中注册的多租户应用程序将门户配置为接受来自 Azure 中任何租户而不只是特定租户的 Azure AD 用户。 若要启用多组织,请在 Azure AD 应用程序中更新应用程序注册

要使用多租户应用程序支持对 Azure AD 的身份验证,您必须创建或配置其他颁发者筛选器站点设置。

多组织颁发者筛选器。

此站点设置是跨所有租户的所有颁发者中匹配的基于通配符的筛选器。 示例: https://sts.windows.net/*/

另请参阅

在门户中使用 OpenID Connect 的常见问题

备注

您能告诉我们您的文档语言首选项吗? 进行简短调查。(请注意,此调查是英文版调查)

此调查大约需要七分钟。 不会收集个人数据(隐私声明)。