Споделяне чрез

Настройване на доставчик на OpenID Connect с Microsoft Entra ИД

  • Статия

Microsoft Entra е един от доставчиците на самоличност OpenID Connect, които можете да използвате за удостоверяване на посетителите на вашия Power Pages сайт. Заедно с Microsoft Entra ИД, ИД на множество клиенти Microsoft Entra и Azure AD B2C можете да използвате всеки друг доставчик, който отговаря на спецификацията наOpen ID Connect.

Тази статия описва следните стъпки:

Бележка

Промените в настройките за удостоверяване на вашия сайт могат да отнемат няколко минути, докато бъдат отразени в сайта. За да видите промените веднага, рестартирайте сайта в центъра за администриране.

Настройване Microsoft Entra в Power Pages

Задайте Microsoft Entra като доставчик на самоличност за вашия сайт.

  1. Във вашия Power Pages сайт изберете Доставчици> на самоличност за сигурност.

    Ако не се покажат доставчици на самоличност, се уверете, че Външен вход е зададен на Вкл. в общите настройки за удостоверяване на вашия сайт.

  2. Изберете + Нов доставчик.

  3. Под Избор на доставчик на вход изберете Друг.

  4. Под Протокол изберете OpenID Connect.

  5. Въведете име на доставчика; например, Microsoft Entra ID.

    Името на доставчика е текстът на бутона, който потребителите виждат, когато изберат своя доставчик на самоличност в страницата за вход.

  6. Изберете Напред.

  7. Под URL адрес на отговор изберете Копиране.

    Не затваряйте раздела на браузъра си Power Pages. Скоро ще се върнете към него.

Създаване на регистрация на приложение в Azure

Създайте регистрация на приложение в портала Azure с URL адреса за отговор на вашия сайт като URI адрес за пренасочване.

  1. Влезте в портала на Azure.

  2. Търсете и изберете Azure Active Directory.

  3. Под Управление изберете Регистрации на приложения.

  4. Изберете Нова регистрация.

  5. Въведете име.

  6. Изберете един от Поддържаните типове акаунти, който най-добре отразява изискванията на вашата организация.

  7. Под URI адрес за пренасочване изберете Уеб като платформа и след това въведете URL адреса на отговора на вашия сайт.

    • Ако използвате стандартния URL адрес на сайта си, поставете копирания от вас URL адрес за отговор.
    • Въведете персонализирания URL адрес, ако използвате персонализирано име на домейн. Уверете се, че използвате същия персонализиран URL адрес за URL адреса за пренасочване в настройките за доставчика на самоличност на вашия сайт.

  8. Изберете Регистриране.

  9. Копирайте ИД на приложение (клиент).

  10. Отдясно на Клиентски идентификационни данни изберете Добавяне на сертификат или тайна.

  11. Изберете + Нова тайна на клиента.

  12. Въведете описание по избор, изберете дата на изтичане и след това изберете Добавяне.

  13. Под ИД на тайна изберете иконата Копиране в клипборда.

  14. Изберете Крайни точки в горната част на страницата.

  15. Намерете URL адреса на документа за метаданни на OpenID Connect и изберете иконата за копиране.

  16. В левия панел под Управление изберете Удостоверяване.

  17. Под Неявно предоставяне изберете ИД маркери (използвани за неявни и хибридни потоци).

  18. Изберете Запиши.

Въвеждане на настройки на сайт в Power Pages

Върнете се на страницата Power Pages Конфигуриране на доставчик на самоличност, която напуснахте по-рано, и въведете следните стойности. По желание променете допълнителните настройки, ако е необходимо. Когато сте готови, изберете Потвърждаване.

  • Орган: Въведете URL адреса на органа в следния формат: https://login.microsoftonline.com/<Directory (tenant) ID>/, където <ИД> на директория (клиент) е ИД на директория (клиент) на приложението , което сте създали. Например, ако ИД на директория (клиент) в портала Azure е aaaabbbb-0000-cccc-1111-dddd2222eeee, тогава URL адресът на органа е https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • ИД на клиент: Поставете приложението или ИД на клиента на приложението , което сте създали.

  • URL адрес за пренасочване: Ако сайтът Ви използва персонализирано име на домейн, въведете персонализирания URL адрес; в противен случай оставете стойността по подразбиране. Уверете се, че стойността е точно същата като URI адреса на приложението, което сте създали.

  • Адрес на метаданни: Поставете URL адреса на документа с метаданни OpenID Connect, който сте копирали.

  • Обхват: Enter openid email.

    Стойността openid е задължителна. Стойността email не е задължителна; тя гарантира, че имейл адресът на потребителя се попълва автоматично и се показва в профилната страница, след като потребителят влезе. Научете повече за други твърдения, които можете да добавите.

  • Отговор тип: Изберете code id_token.

  • Тайна на клиента: Поставете тайната на клиента от приложението , което сте създали. Тази настройка се изисква, ако типът отговор е code.

  • Режим на отговор: Изберете form_post.

  • Външно излизане: Тази настройка контролира дали вашият сайт използва федерирано излизане. При федерираното излизане, когато потребителите излизат от приложение или сайт, те излизат и от всички приложения и сайтове, които използват един и същ доставчик на самоличност. Включете го, за да пренасочите потребителите към федеративно излизане, когато излизат от уеб сайта ви. Изключете го, за да могат потребителите да излизат само от уеб сайта ви.

  • URL адрес за пренасочване след излизане: Въведете URL адреса, където доставчикът на самоличност трябва да пренасочи потребителите, след като излязат. Това местоположение трябва да бъде зададено по подходящ начин в конфигурацията на доставчика на самоличност.

  • Инициирано от RP излизане: Тази настройка контролира дали проверяващата страна – клиентското приложение OpenID Connect – може да излезе от потребителите. За да използвате тази настройка, включете Външно излизане.

Допълнителни настройки в Power Pages

Допълнителните настройки ви дават по-фин контрол върху начина, по който потребителите се удостоверяват с вашия Microsoft Entra доставчик на самоличност. Не е необходимо да задавате нито една от тези стойности. Те са изцяло по избор.

  • Филтър на издателя: Въведете базиран на заместващ символ филтър, който съвпада с всички издатели във всички клиенти; например, https://sts.windows.net/*/.

  • Проверка на аудиторията: Включете тази настройка, за да потвърдите аудиторията по време на потвърждаването на маркера.

  • Валидни аудитории: Въведете списък с URL адреси на аудитории, разделен със запетая.

  • Проверка на издатели: Включете тази настройка, за да потвърдите издателя по време на проверката на маркера.

  • Валидни издатели: Въведете списък с URL адреси на издатели, разделен със запетая.

  • Съпоставяне на заявления за регистрация и съпоставяне на заявления за влизане: При удостоверяването на потребителя заявлението е информация, която описва самоличността на потребителя, като имейл адрес или дата на раждане. Когато влезете в приложение или уеб сайт, той създава маркер. Маркерът съдържа информация за вашата самоличност, включително всички искания, които са свързани с него. Маркерите се използват за удостоверяване на самоличността ви, когато осъществявате достъп до други части на приложението или сайта или други приложения и сайтове, които са свързани със същия доставчик на самоличност. Съпоставянето на претенции е начин за промяна на информацията, която е включена в токена. Може да се използва за персонализиране на информацията, която е достъпна за приложението или сайта, и за контролиране на достъпа до функции или данни. Съпоставянето на заявките за регистрация променя заявките, които се излъчват, когато се регистрирате за приложение или сайт. Съпоставянето на заявленията за влизане променя заявките, които се излъчват, когато влезете в приложение или сайт. Научете повече за правилата за съпоставяне на заявленията.

  • Време за живот на Nonce: Въведете продължителността на стойността на nonce в минути. Стойността по подразбиране е 10 минути.

  • Използване на живота на маркера: Тази настройка контролира дали продължителността на сесията за удостоверяване, като например бисквитките, трябва да съвпада с тази на маркера за удостоверяване. Ако я включите, тази стойност заменя стойността Време за изтичане на бисквитката за приложение в настройката на сайта Authentication/ApplicationCookie/ExpireTimeSpan.

  • Съпоставяне на контакти с имейл: Тази настройка определя дали контактите се съпоставят със съответния имейл адрес, когато влязат.

    • Вкл.: Свързва уникален запис на контакт със съвпадащ имейл адрес и автоматично присвоява външния доставчик на самоличност на контакта, след като потребителят влезе успешно.
    • Разстояние

Бележка

Параметърът за заявка UI_Locales се изпраща автоматично в заявката за удостоверяване и се задава на езика, избран в портала.

Настройване на допълнителни искания

  1. Разрешаване на незадължителни твърдения в Microsoft Entra ID.

  2. Задайте Обхват да включва допълнителните искания; например openid email profile.

  3. Задайте допълнителната настройка на сайта Съпоставяне на искания за регистрация, например firstname=given_name,lastname=family_name.

  4. Задайте допълнителната настройка на сайта Съпоставяне на искания за влизане, например firstname=given_name,lastname=family_name.

В тези примери собствено име, фамилно име и имейл адресите, предоставени с допълнителните искания, стават стойностите по подразбиране в страницата на профила в уеб сайта.

Бележка

Съпоставянето на искания се поддържа за текстови и булеви типове данни.

Разрешаване на удостоверяване с множество клиенти Microsoft Entra

За да позволите Microsoft Entra на потребителите да се удостоверяват от всеки клиент в Azure, а не само от конкретен клиент, променете регистрацията Microsoft Entra на приложението на множество клиенти.

Трябва също така да зададете Филтър за издател в допълнителните настройки на вашия доставчик.

Вижте също

OpenID Често задавани въпроси за свързване