Споделяне чрез

Настройване на доставчик на OpenID Connect

  • Статия

OpenID Доставчиците на самоличност на Connect са услуги, които отговарят на спецификацията Open ID Connect. OpenID Connect въвежда концепцията за ИД маркер. ИД маркерът е маркер за защита, който позволява на клиент да провери самоличността на потребител. Той също така получава основна информация за потребителите, известна още като искания.

OpenID Вградени са доставчици Azure AD на свързване B2C, Microsoft Entra ID и Microsoft Entra ID с множество клиенти Power Pages. Тази статия обяснява как да добавите други доставчици на идентичност на OpenID Connect към вашия сайт в Power Pages.

Поддържани и неподдържани потоци за удостоверяване в Power Pages

  • Неявно предоставяне
    • Този поток е методът за удостоверяване по подразбиране за сайтове в Power Pages.
  • Код за удостоверяване
    • Power Pages използват метода client_secret_post за комуникация с крайната точка на маркер на сървъра за самоличност.
    • Методът private_key_jwt за удостоверяване с крайната точка на маркер не се поддържа.
  • Хибриден (ограничена поддръжка)
    • Power Pages изискват id_token да присъства в отговора, така че response_type = code token не се поддържа.
    • Хибридният поток в Power Pages следва същия поток като неявно предоставяне и използва id_token за директно влизане на потребителите.
  • Ключ за доказателство за обмен на код (PKCE)
    • Базираните на PKCE техники за удостоверяване на потребителите не се поддържат.

Бележка

Промените в настройките за удостоверяване на вашия сайт могат да отнемат няколко минути, докато бъдат отразени в сайта. За да видите промените веднага, рестартирайте сайта в центъра за администриране.

Настройване на доставчика на OpenID Connect в Power Pages

  1. Във вашия Power Pages сайт изберете Доставчици> на самоличност за сигурност.

    Ако не се покажат доставчици на самоличност, се уверете, че Външен вход е зададен на Вкл. в общите настройки за удостоверяване на вашия сайт.

  2. Изберете + Нов доставчик.

  3. Под Избор на доставчик на вход изберете Друг.

  4. Под Протокол изберете OpenID Connect.

  5. Въвеждане на име за доставчика.

    Името на доставчика е текстът на бутона, който потребителите виждат, когато изберат своя доставчик на самоличност в страницата за вход.

  6. Изберете Напред.

  7. Под URL адрес на отговор изберете Копиране.

    Не затваряйте раздела на браузъра си Power Pages. Скоро ще се върнете към него.

Създаване на регистрация на приложение в доставчика на идентичност

  1. Създайте и регистрирайте приложение с вашия доставчик на самоличност, като използвате URL адреса за отговор, които сте копирали.

  2. Копирайте ИД на приложението или клиента и тайната на клиента.

  3. Намерете крайните точки на приложението и копирайте URL адреса на документа за метаданни на OpenID Connect.

  4. Променете други настройки, ако е необходимо, за вашия доставчик на самоличност.

Въвеждане на настройки на сайт в Power Pages

Върнете се на страницата Power Pages Конфигуриране на доставчик на самоличност, която напуснахте по-рано, и въведете следните стойности. По желание променете допълнителните настройки, ако е необходимо. Когато сте готови, изберете Потвърждаване.

  • Орган: Въведете URL адреса на органа в следния формат: https://login.microsoftonline.com/<Directory (tenant) ID>/, където <ИД> на директория (клиент) е ИД на директория (клиент) на приложението , което сте създали. Например, ако ИД на директория (клиент) в портала Azure е aaaabbbb-0000-cccc-1111-dddd2222eeee, тогава URL адресът на органа е https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • ИД на клиент: Поставете приложението или ИД на клиента на приложението , което сте създали.

  • URL адрес за пренасочване: Ако сайтът Ви използва персонализирано име на домейн, въведете персонализирания URL адрес; в противен случай оставете стойността по подразбиране. Уверете се, че стойността е точно същата като URI адреса на приложението, което сте създали.

  • Адрес на метаданни: Поставете URL адреса на документа с метаданни OpenID Connect, който сте копирали.

  • Обхват: Въведете разделен с интервали списък с обхвати, които да поискате с помощта на параметъра OpenID Connect scope . Стойността по подразбиране е openid.

    Стойността openid е задължителна. Научете повече за други твърдения, които можете да добавите.

  • отговор тип: Въведете стойността на параметъра OpenID Connect response_type . Възможните стойности включват code, code id_token, id_token, id_token token и code id_token token. Стойността по подразбиране е code id_token.

  • Тайна на клиента: Поставете тайната на клиента от приложението на доставчика. Тя също може да се нарича тайна на приложението или тайна на потребителя. Тази настройка се изисква, ако типът отговор е code.

  • отговор режим: Въведете стойността на параметъра OpenID Connect response_mode . Тя трябва да бъде query, ако типът отговор е code. Стойността по подразбиране е form_post.

  • Външно излизане: Тази настройка контролира дали вашият сайт използва федерирано излизане. При федерираното излизане, когато потребителите излизат от приложение или сайт, те излизат и от всички приложения и сайтове, които използват един и същ доставчик на самоличност. Включете го, за да пренасочите потребителите към федеративно излизане, когато излизат от уеб сайта ви. Изключете го, за да могат потребителите да излизат само от уеб сайта ви.

  • URL адрес за пренасочване след излизане: Въведете URL адреса, където доставчикът на самоличност трябва да пренасочи потребителите, след като излязат. Това местоположение трябва да бъде зададено по подходящ начин в конфигурацията на доставчика на самоличност.

  • Инициирано от RP излизане: Тази настройка контролира дали проверяващата страна – клиентското приложение OpenID Connect – може да излезе от потребителите. За да използвате тази настройка, включете Външно излизане.

Допълнителни настройки в Power Pages

Допълнителните настройки ви дават по-прецизен контрол върху начина, по който потребителите се удостоверяват с вашия доставчик на самоличност на OpenID Connect. Не е необходимо да задавате нито една от тези стойности. Те са изцяло по избор.

  • Филтър на издателя: Въведете базиран на заместващ символ филтър, който съвпада с всички издатели във всички клиенти; например, https://sts.windows.net/*/. Ако използвате Microsoft Entra доставчик на удостоверяване за удостоверяване на ИД, URL филтърът на издателя ще бъде https://login.microsoftonline.com/*/v2.0/.

  • Проверка на аудиторията: Включете тази настройка, за да потвърдите аудиторията по време на потвърждаването на маркера.

  • Валидни аудитории: Въведете списък с URL адреси на аудитории, разделен със запетая.

  • Проверка на издатели: Включете тази настройка, за да потвърдите издателя по време на проверката на маркера.

  • Валидни издатели: Въведете списък с URL адреси на издатели, разделен със запетая.

  • Съпоставяне на заявления за регистрация и съпоставяне на заявления за влизане: При удостоверяването на потребителя заявлението е информация, която описва самоличността на потребителя, като имейл адрес или дата на раждане. Когато влезете в приложение или уеб сайт, той създава маркер. Маркерът съдържа информация за вашата самоличност, включително всички искания, които са свързани с него. Маркерите се използват за удостоверяване на самоличността ви, когато осъществявате достъп до други части на приложението или сайта или други приложения и сайтове, които са свързани със същия доставчик на самоличност. Съпоставянето на претенции е начин за промяна на информацията, която е включена в токена. Може да се използва за персонализиране на информацията, която е достъпна за приложението или сайта, и за контролиране на достъпа до функции или данни. Съпоставянето на заявките за регистрация променя заявките, които се излъчват, когато се регистрирате за приложение или сайт. Съпоставянето на заявленията за влизане променя заявките, които се излъчват, когато влезете в приложение или сайт. Научете повече за правилата за съпоставяне на заявленията.

  • Време за живот на Nonce: Въведете продължителността на стойността на nonce в минути. Стойността по подразбиране е 10 минути.

  • Използване на живота на маркера: Тази настройка контролира дали продължителността на сесията за удостоверяване, като например бисквитките, трябва да съвпада с тази на маркера за удостоверяване. Ако я включите, тази стойност заменя стойността Време за изтичане на бисквитката за приложение в настройката на сайта Authentication/ApplicationCookie/ExpireTimeSpan.

  • Съпоставяне на контакти с имейл: Тази настройка определя дали контактите се съпоставят със съответния имейл адрес, когато влязат.

    • Вкл.: Свързва уникален запис на контакт със съвпадащ имейл адрес и автоматично присвоява външния доставчик на самоличност на контакта, след като потребителят влезе успешно.
    • Разстояние

Бележка

Параметърът за заявка UI_Locales се изпраща автоматично в заявката за удостоверяване и се задава на езика, избран в портала.

Вижте също

Настройване на доставчик на OpenID Connect с Azure Active Directory (Azure AD) B2C
Настройване на доставчик на OpenID Connect с Microsoft Entra ИД
OpenID Често задавани въпроси за свързване