Comparteix a través de

Configurar un proveïdor OpenID Connect amb Microsoft Entra ID

  • Article

Microsoft Entra és un dels proveïdors d'identitat OpenID Connect que podeu utilitzar per autenticar els visitants del vostre Power Pages lloc. Juntament amb Microsoft Entra l'ID, l'ID multiinquilí Microsoft Entra i Azure AD B2C, podeu utilitzar qualsevol altre proveïdor que s'ajusti a l'especificació Open ID Connect.

Aquest article descriu els següent passos:

Nota

Els canvis en la configuració de l'autenticació del vostre lloc poden tardar uns minuts a reflectir-se al lloc. Per veure els canvis immediatament, reinicieu el lloc al centre d'administració.

Configuració Microsoft Entra a Power Pages

Definiu-lo Microsoft Entra com a proveïdor d'identitat per al vostre lloc web.

  1. Al lloc Power Pages web, seleccioneu Proveïdors> d'identitat de seguretat.

    Si no apareixen proveïdors d'identitats, assegureu-vos que Inici de sessió extern estigui definit com a Activat la configuració d'autenticació general del lloc.

  2. Seleccioneu + Nou proveïdor.

  3. A Seleccionar proveïdor d'inici de sessió, seleccioneu Altres.

  4. A Protocol, seleccioneu OpenID Connect.

  5. Introduïu un nom per al proveïdor; per exemple, ID Microsoft Entra .

    El nom del proveïdor és el text del botó que veuen els usuaris quan seleccionen el proveïdor d'identitat a la pàgina d'inici de sessió.

  6. Seleccioneu Següent.

  7. A Adreça URL de resposta, seleccioneu Copia.

    No tanqueu la pestanya del navegador de Power Pages. Ben aviat hi tornareu.

Crear un registre d'aplicació a Azure

Creeu un registre d'aplicació al portal Azure amb l'URL de resposta del lloc web com a URI de redirecció.

  1. Inicieu la sessió al portal d'Azure.

  2. Cerqueu i seleccioneu Azure Active Directory.

  3. A Administra, seleccioneu Registres d'aplicació.

  4. Seleccioneu Nou registre.

  5. Introduïu un nom.

  6. Seleccioneu un dels Tipus de comptes admesos que millor descrigui els requisits de la vostra organització.

  7. A URI de redirecció, seleccioneu Web com a plataforma i, a continuació, introduïu l'adreça URL de resposta del lloc.

    • Si utilitzeu l'URL predeterminat del lloc web, enganxeu l'URL de resposta que heu copiat.
    • Si esteu utilitzant un nom de domini personalitzat, introduïu l'URL personalitzada. Assegureu-vos d'utilitzar la mateixa adreça URL personalitzada per a l'adreça URL de redirecció a la configuració del proveïdor d'identitats del vostre lloc.

  8. Seleccioneu Registra.

  9. Copieu l'id. de l'aplicació (client).

  10. A la dreta de Credencials del client, seleccioneu Afegeix un certificat o un secret.

  11. Seleccioneu + Secret del client nou.

  12. Introduïu una descripció (opcional) i, a continuació, seleccioneu el venciment i Afegeix.

  13. A ID de secret, seleccioneu la icona Copia al porta-retalls.

  14. Seleccioneu Extrems a la part superior de la pàgina.

  15. Cerqueu l'adreça URL del document de metadades d'OpenID Connect i seleccioneu la icona de còpia.

  16. A la subfinestra de l'esquerra, a Administra, seleccioneu Autenticació.

  17. A Concessió implícita, seleccioneu Testimonis d'identificació (utilitzats per als fluxos implícits i híbrids).

  18. Seleccioneu Desa.

Introduir les opcions del lloc a Power Pages

Torneu a la pàgina Configura el proveïdor d'identitats de Power Pages que heu deixat abans i introduïu els valors següents. O bé, canvieu la configuració addicional que calgui. Quan hàgiu acabat, seleccioneu Confirma.

  • Autoritat: introduïu l'adreça URL de l'autoritat en el format següent: https://login.microsoftonline.com/<Directory (tenant) ID>/, on <l'identificador> de directori (inquilí) és l'identificador de directori (inquilí) de l'aplicació que heu creat. Per exemple, si l'identificador de directori (inquilí) del portal Azure ho és aaaabbbb-0000-cccc-1111-dddd2222eeee, l'adreça URL de l'autoritat sí https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • ID de client: enganxa l'aplicació o l'ID de client de l'aplicació que has creat.

  • URL de redirecció: si el vostre lloc web utilitza un nom de domini personalitzat, introduïu-lo; en cas contrari, deixeu el valor predeterminat. Assegureu-vos que el valor sigui exactament el mateix que l'URI de redirecció de l'aplicació que heu creat.

  • Adreça de metadades: enganxa l'URL del document de metadades OpenID Connect que has copiat.

  • Abast: Introduïu openid email.

    El valor openid és obligatori. El valor email és opcional i assegura que l'adreça electrònica de l'usuari s'emplena automàticament i es mostra a la pàgina Perfil després que l'usuari iniciï la sessió. Obteniu informació sobre altres reclamacions que podeu afegir.

  • Resposta tipus: Selecciona code id_token.

  • Secret de client: enganxa el secret de client de l'aplicació que has creat. Aquest paràmetre és obligatori si el tipus de resposta és code.

  • Mode de resposta: Selecciona form_post.

  • Tancament de sessió extern: aquesta opció de configuració controla si el lloc web utilitza la tanca de sessió federada. Amb la tanca de sessió federada, quan els usuaris tanquen la sessió d'una aplicació o d'un lloc, també tanquen la sessió de totes les aplicacions i llocs que utilitzen el mateix proveïdor d'identitat. Activeu-lo per redirigir als usuaris a l'experiència de tancament de sessió federat quan tanquin la sessió del vostre lloc web. Desactiveu-lo per tancar la sessió dels usuaris només del lloc web.

  • URL de redirecció posterior a la tancament de sessió: introduïu l'URL on el proveïdor d'identitats ha de redirigir els usuaris després de tancar la sessió. Aquesta ubicació s'ha de definir correctament a la configuració del proveïdor d'identitat.

  • Tancament de sessió iniciat per RP: aquesta configuració controla si la part de confiança, l'aplicació client OpenID Connect, pot tancar la sessió dels usuaris. Per utilitzar aquest paràmetre, activeu Tancament de la sessió extern.

Configuració addicional a Power Pages

La configuració addicional us permet controlar millor com s'autenticen els usuaris amb el vostre Microsoft Entra proveïdor d'identitat. No cal que definiu cap d'aquests valors. Són totalment opcionals.

  • Filtre d'emissor: introduïu un filtre basat en comodins que coincideixi amb tots els emissors de tots els inquilins; per exemple, https://sts.windows.net/*/.

  • Valida el públic: activeu aquesta opció de configuració per validar el públic durant la validació del testimoni.

  • Públics vàlids: introduïu una llista d'URL de públic separats per comes.

  • Valida els emissors: activeu aquesta opció per validar l'emissor durant la validació del testimoni.

  • Emissors vàlids: introduïu una llista d'URL d'emissors separats per comes.

  • Assignació de reclamacions de registre i assignació de reclamacions d'inici de sessió: a l'autenticació d'usuari, una reclamació és informació que descriu la identitat d'un usuari, com ara una adreça electrònica o una data de naixement. Quan inicieu sessió en una aplicació o un lloc web, crea un testimoni. Un testimoni conté informació sobre la vostra identitat, incloent-hi les declaracions que hi estan associades. Els testimonis s'utilitzen per autenticar la vostra identitat quan accediu a altres parts de l'aplicació o del lloc o d'altres aplicacions i llocs connectats al mateix proveïdor d'identitat. L'assignació de reclamacions és una manera de canviar la informació que s'inclou en un testimoni. Es pot utilitzar per personalitzar la informació que està disponible per a l'aplicació o el lloc i per controlar l'accés a les característiques o les dades. L'assignació de reclamacions de registre modifica les reclamacions que s'emeten quan us registreu per a una aplicació o un lloc. L'assignació de reclamacions d'inici de sessió modifica les reclamacions que s'emeten quan inicieu la sessió en una aplicació o un lloc. Obteniu més informació sobre les polítiques d'assignació de reclamacions.

  • Durada del nonce: introduïu la durada del valor del nonce, en minuts. El valor per defecte és 10 minuts.

  • Utilitza la durada del testimoni: aquesta configuració controla si la durada de la sessió d'autenticació, com ara les galetes, ha de coincidir amb la del testimoni d'autenticació. Si l'activeu, aquest valor substituirà el valor Temps de venciment de les galetes de l'aplicació al paràmetre del lloc Authentication/ApplicationCookie/ExpireTimeSpan.

  • Assignació de contactes amb correu electrònic: aquesta configuració determina si els contactes s'assignen a una adreça electrònica corresponent quan inicien la sessió.

    • Activat: associa un registre de contacte únic amb una adreça electrònica coincident i assigna automàticament el proveïdor d'identitat extern al contacte després que l'usuari iniciï la sessió correctament.
    • Apagat

Nota

El paràmetre de sol·licitud UI_Locales s'enviarà automàticament a la sol·licitud d'autenticació i es definirà en la llengua seleccionada al portal.

Configuració de declaracions addicionals

  1. Habiliteu les reclamacions opcionals a Microsoft Entra l'ID.

  2. Definiu Àmbit per incloure les declaracions addicionals, per exemple, openid email profile.

  3. Definiu l'opció del lloc addicional Assignació de declaracions de registre, per exemple, firstname=given_name,lastname=family_name.

  4. Definiu l'opció del lloc addicional Assignació de declaracions d'inici de sessió, per exemple, firstname=given_name,lastname=family_name.

En aquests exemples, el nom, cognoms i adreces de correu electrònic proporcionades amb les declaracions addicionals es convertiran en els valors per defecte de la pàgina de perfil del lloc web.

Nota

L'assignació de declaracions està admesa per als tipus de dades booleans i de text.

Permetre l'autenticació multiinquilí Microsoft Entra

Per permetre als Microsoft Entra usuaris autenticar-se des de qualsevol inquilí de Azure, no només des d'un inquilí específic, canvieu el registre Microsoft Entra de l'aplicació a multi-inquilí.

També heu de definir el filtre Emissor a la configuració addicional del vostre proveïdor.

Consulteu també

OpenID Preguntes freqüents sobre Connect