Бөлісу құралы:

OpenID Connect провайдерін реттеу

  • Мақала

OpenID Connect идентификатор провайдерлері Open ID Connect сипаттамасына сәйкес келетін қызметтер. OpenID Connect ID таңбалауышы тұжырымдамасын ұсынады. ID таңбалауышы клиентке пайдаланушының жеке басын тексеруге мүмкіндік беретін қауіпсіздік таңбалауышы болып табылады. Ол сонымен қатар мәлімдемелер деп аталатын пайдаланушылар туралы негізгі профиль ақпаратын алады.

OpenID Провайдерлерді жалғау Azure AD B2C, Microsoft Entra ID және Microsoft Entra Көп жалға алушылары бар ID > Power Pages ішіне салынған. Бұл мақалада Power Pages сайтыңызға басқа OpenID Connect куәліктер провайдерлерін қосу жолы түсіндіріледі.

Power Pages ішінде қолдау көрсетілетін және қолдау көрсетілмеген аутентификация ағындары

  • Жасырын рұқсат беру
    • Бұл ағын Power Pages сайттары үшін әдепкі аутентификация әдісі болып табылады.
  • Өкілеттік коды
    • Power Pages сәйкестендіру серверінің таңбалауышының соңғы нүктесімен байланысу үшін client_secret_postәдісін пайдаланады.
    • Таңбалауыш соңғы нүктесімен аутентификацияланатын private_key_jwt әдісіне қолдау көрсетілмейді.
  • Гибридті (шектеулі қолдау)
    • Power Pages үшін жауапта id_token болуы қажет, сондықтан response_type = код таңбалауышына қолдау көрсетілмейді.
    • Power Pages ішіндегі гибридті ағын жасырын рұқсаттар беру ағынындағыдай ағынмен орындалады, сондай-ақ тікелей пайдаланушыларды кіргізу үшін id_token таңбалауышын пайдаланады.
  • Код алмасуының дәлелдеу кілті (PKCE)
    • Пайдаланушыларды аутентификациялау үшін PKCE негізіндегі әдістерге қолдау көрсетілмейді.

Ескертпе

Сайтыңыздың түпнұсқалық растама параметрлеріндегі өзгерістер оларды сайтта көрсету үшін бірнеше минутты алуы мүмкін. Өзгерістерді бірден көру үшін сайтты басқару орталығында қайта іске қосыңыз.

Power Pages ішінде OpenID Connect провайдерін реттеу

  1. Power Pages сайтыңызда Қауіпсіздік>Идентификатор провайдерлерін таңдаңыз.

    Ешбір куәлік провайдері болмаса, сайтыңыздың жалпы аутентификация параметрлерінде Сыртқы кіру параметрінің Қосулы күйіне орнатылғанын тексеріңіз.

  2. + Жаңа провайдер жасау опциясын таңдаңыз.

  3. Жүйеге кіру провайдерін таңдау тармағында Басқа опциясын таңдаңыз.

  4. Протокол тармағында OpenID Connect опциясын таңдаңыз.

  5. Провайдер атын енгізіңіз.

    Провайдердің аты – пайдаланушылар кіру бетінде идентификациялық провайдерді таңдаған кезде көретін түймешіктегі мәтін.

  6. Келесі пәрменін таңдаңыз.

  7. Жауаптың URL мекенжайы астында Көшіру опциясын таңдаңыз.

    Power Pages браузер қойындысын жаппаңыз. Жақында сіз оған ораласыз.

Куәліктер провайдерінде бағдарлама тіркелімін жасау

  1. Сіз көшірген жауап URL арқылы идентификация провайдерімен бағдарлама жасаңыз және тіркеңіз.

  2. Бағдарлама немесе клиент идентификаторын және клиент құпиясын көшіріңіз.

  3. Бағдарламаның соңғы нүктелерін тауып, OpenID Connect метадеректері құжатының URL мекенжайын көшіріңіз.

  4. Жеке куәлік провайдеріне қажет басқа параметрлерді өзгертіңіз.

Power Pages жүйесінде сайт параметрлерін енгізу

Бұрын кірген Power Pages Куәліктер провайдерін конфигурациялау бетіне оралып, келесі мәндерді енгізіңіз. Қажет болса, қосымша параметрлерді қажетінше өзгертіңіз. Аяқталған соң, Растау пәрменін таңдаңыз.

  • Өкілет: уәкілетті органның URL мекенжайын келесі пішімде енгізіңіз: https://login.microsoftonline.com/<Directory (tenant) ID>/, мұндағы <Каталог (жалға алушы) идентификаторы> каталог ( жалға алушы) қолданбаның идентификаторы сіз жасаған. Мысалы, егер Azure порталындағы каталог (жалға алушы) идентификаторы aaaabbbb-0000-cccc-1111-dddd2222eeee болса, онда уәкілетті URL мекенжайы https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​ болады.

  • Клиент идентификаторы​: қолданбаны немесе клиент идентификаторын сіз жасаған қойыңыз.

  • URL мекенжайын қайта бағыттау: Егер сіздің сайтыңыз реттелетін домен атауын пайдаланса, реттелетін URL мекенжайын енгізіңіз; әйтпесе, әдепкі мәнді қалдырыңыз. Мәннің сіз жасаған бағдарламаның қайта бағыттау URI-мен бірдей екеніне көз жеткізіңіз.

  • Метадеректер мекенжайы: OpenID Connect метадеректер құжатының URL көшірілген мекенжайын қойыңыз.

  • Ауқым: OpenID Connect scope параметрі арқылы сұрау үшін аумақтардың бос орынмен бөлінген тізімін енгізіңіз. Әдепкі мән — openid.

    openid мәні міндетті. Сіз қосуға болатын басқа шағымдар туралы толығырақ ақпарат алыңыз.

  • жауап type: OpenID Connect response_type параметрінің мәнін енгізіңіз. Ықтимал мәндер келесілерді қамтиды: code, code id_token, id_token, id_token token және code id_token token. Әдепкі мән — code id_token.

  • Клиент құпиясы: провайдер қолданбасынан клиент құпиясын қойыңыз. Сонымен қатар бұл бағдарлама құпиясы немесе тұтынушы құпиясы болады. Бұл параметр жауап түрі code болған жағдайда қажет.

  • жауап mode: OpenID Connect response_rode параметрінің мәнін енгізіңіз. Егер таңдалған жауап түрі code болса, мән query болуы керек. Әдепкі мән — form_post.

  • Сыртқы жүйеден шығу: Бұл параметр тораптың федеративті шығуды пайдаланатынын бақылайды. Біріктірілген жүйеден шығу арқылы пайдаланушылар қолданбадан немесе сайттан шыққан кезде, олар бірдей сәйкестендіру провайдерін пайдаланатын барлық қолданбалар мен сайттардан да шығады. Пайдаланушылар веб-сайттан шыққан кезде федеративті шығу интерфейсіне қайта бағыттауды қосыңыз. Пайдаланушылар тек сіздің веб-сайтыңыздан шығуын қамтамасыз ету үшін оны өшіріңіз.

  • Шығу постының қайта бағыттау URL мекенжайы: Идентификатор провайдері пайдаланушылар шыққаннан кейін қайта бағыттауы керек URL мекенжайын енгізіңіз. Бұл орын сәйкестендіру провайдерінің конфигурациясында сәйкес орнатылуы керек.

  • RP шығуды бастады: Бұл параметр сенімді тараптың — OpenID Connect клиенттік қолданбасының — пайдаланушылардың жүйеден шыға алатындығын бақылайды. Бұл параметрді пайдалану үшін Жүйеден сырттай шығу опциясын қосу керек.

Power Pages ішіндегі қосымша параметрлер

Қосымша параметрлер пайдаланушылардың OpenID Connect идентификация провайдерімен аутентификациялау жолын жақсырақ басқаруға мүмкіндік береді. Бұл мәндердің ешқайсысын орнатудың қажеті жоқ. Олар толығымен міндетті емес.

  • Эмитент сүзгісі: барлық жалға берушілер бойынша барлық эмитенттерге сәйкес келетін қойылмалы таңбаға негізделген сүзгіні енгізіңіз; мысалы, https://sts.windows.net/*/. Microsoft Entra ID аутентификация провайдерін пайдалансаңыз, эмитенттің URL сүзгісі https://login.microsoftonline.com/*/v2.0/ болады.

  • Аудиторияны тексеру: таңбалауышты тексеру кезінде аудиторияны тексеру үшін осы параметрді қосыңыз.

  • Жарамды аудиториялар: аудитория URL мекенжайларының үтірмен бөлінген тізімін енгізіңіз.

  • Эмитенттерді тексеру: таңбалауышты тексеру кезінде эмитентті тексеру үшін осы параметрді қосыңыз.

  • Жарамды эмитенттер: эмитенттің URL мекенжайларының үтірмен бөлінген тізімін енгізіңіз.

  • Тіркеу шағымдарын салыстыру және Кіру шағымдарын салыстыру: пайдаланушы аутентификациясында a шағым электрондық пошта мекенжайы немесе туған күні сияқты пайдаланушының жеке басын сипаттайтын ақпарат. Бағдарламаға немесе веб-сайтқа кіргенде, ол таңбалауыш жасайды. Таңбалауыш жеке басыңыз туралы ақпаратты, соның ішінде онымен байланысты кез келген тұжырымды қамтиды. Таңбалауыштар бағдарламаның немесе сайттың басқа бөліктеріне немесе бірдей сәйкестендіру куәліктерінің провайдеріне қосылған басқа бағдарламалар мен сайттарға қатынасу кезінде куәлігіңіздің түпнұсқалығын растау үшін пайдаланылады. Шағымдарды салыстыру токенге енгізілген ақпаратты өзгерту әдісі болып табылады. Оны бағдарламаға немесе сайтқа қолжетімді ақпаратты теңшеу және мүмкіндіктерге немесе деректерге қол жеткізуді басқару үшін пайдалануға болады. Тіркеу шағымдарын салыстыру қолданбаға немесе сайтқа тіркелген кезде шығарылатын шағымдарды өзгертеді. Кіру шағымдарын салыстыру қолданбаға немесе сайтқа кірген кезде шығарылатын шағымдарды өзгертеді. Шағымдарды салыстыру саясаттары туралы толығырақ ақпарат.

  • Nonce lifetime: Уақытсыз мәннің қызмет ету мерзімін минутпен енгізіңіз. Әдепкі мән — 10 минут.

  • Токеннің қызмет ету мерзімін пайдалану: Бұл параметр cookie файлдары сияқты аутентификация сеансының қызмет ету мерзімі аутентификация таңбалауышымен сәйкес келуін басқарады. Параметр қосылған болса, бұл мән Authentication/ApplicationCookie/ExpireTimeSpan сайт параметріндегі Бағдарламаның cookie файлдарының мерзімі аяқталатын уақыт мәнін қайта анықтайды.

  • Электрондық поштамен контактілерді салыстыру: Бұл параметр контактілер жүйеге кірген кезде сәйкес электрондық пошта мекенжайына салыстырылатынын анықтайды.

    • Қосулы: бірегей контакт жазбасын сәйкес электрондық пошта мекенжайымен байланыстырады және пайдаланушы жүйеге сәтті кіргеннен кейін контактіге сыртқы сәйкестендіру провайдерін автоматты түрде тағайындайды.
    • Өшірулі

Ескертпе

UI_Locales сұрау параметрі аутентификация сұрауында автоматты түрде жіберіледі және порталда таңдалған тілге орнатылады.

Келесіні де қараңыз:

OpenID Connect провайдерін Azure Active Directory (Azure AD) B2C арқылы орнату
Microsoft Entra ID бар OpenID Connect провайдерін орнату
OpenID Connect жиі қойылатын сұрақтар