Bendrinti naudojant

„OpenID Connect“ paslaugų teikėjo nustatymas

  • Straipsnis

OpenID Connect tapatybės teikėjai yra paslaugos, atitinkančios "Open ID Connect" specifikaciją. „OpenID Connect“ pristato ID atpažinimo ženklo sąvoką. ID atpažinimo ženklas yra saugos ženklas, leidžiantis klientui tikrinti vartotojo tapatybę. Jis taip pat gauna pagrindinę informaciją apie vartotojus, taip pat vadinamą reikalavimais.

OpenID Connect teikėjai Azure AD B2C,ID Microsoft Entra ir Microsoft Entra ID su keliais nuomotojais yra integruoti Power Pages. Šiame straipsnyje paaiškinta, kaip į savo „Power Pages“ svetainę įtraukti kitų „OpenID Connect“ tapatybės teikėjų.

Palaikomos ir nepalaikomos autentifikavimo eigos portaluose „Power Pages“

  • Netiesioginė dotacija
    • Ši eiga yra nustatytasis autentifikavimo metodas naudojamas „Power Pages“ svetainėms.
  • Autorizavimo kodas
    • „Power Pages“ naudoja client_secret_post metodą bendraudami su tapatybės serverio atpažinimo ženklo galiniu tašku.
    • Metosas private_key_jwt autentifikavimui su atpažinimo ženklo galiniu tašku nepalaikomas.
  • Hibridinis (ribotas palaikymas)
    • „Power Pages“ reikia, kad atsakyme būtų id_token, todėl response_type = kodo atpažinimo ženklas nėra palaikoma.
    • Hibridinis srautas „Power Pages“ platformoje vadovaujasi tokiu pačiu srautu kaip ir netiesioginė dotacija, o id_token naudojamas tiesioginiam vartotojų prijungimui.
  • Kodo keitimo tikrinimo raktas (PKCE)
    • Nepalaikomi PKCE pagrįsti metodai, taikomi norint autentifikuoti vartotojus.

Pastaba.

Jūsų svetainės autentifikavimo parametrų pakeitimai gali užtrukti keletą minučių, kad būtų matomi svetainėje. Norėdami pakeitimus pamatyti nedelsdami, iš naujo paleiskite svetainę administravimo centre.

„OpenID Connect“ paslaugų teikėjo nustatymas „Power Pages“

  1. Savo Power Pages svetainėje pasirinkite Saugos>tapatybės teikėjai.

    Jei nerodoma jokių tapatybės teikėjų, savo svetainės bendruosiuose autentifikavimo parametruose patikrinkite, ar Išorinis prisijungimas nustatytas kaip Įjungtas.

  2. Pasirinkite + Naują teikėją.

  3. Skiltyje Pasirinkite prisijungimo paslaugų teikėją pasirinkite Kita.

  4. Skiltyje Protokolas, pasirinkite „OpenID Connect“.

  5. Įveskite internetinių seminarų rengėjo pavadinimą.

    Teikėjo pavadinimas yra tekstas ant mygtuko, kurį naudotojai mato, kai jie pasirenka savo tapatybės teikėją prisijungimo puslapyje.

  6. Pasirinkite Toliau.

  7. Dalyje Atsakymo URL pasirinkite Kopijuoti .

    Neuždarykite naršyklės „Power Pages“ skirtuko. Greitai prie jo sugrįšite.

Programos registravimo tapatybės paslaugų teikėjui kūrimas

  1. Sukurkite ir užregistruokite taikomąją programą savo tapatybės paslaugų teikėjui, naudodami atsakymo URL, kurį nukopijavote.

  2. Nukopijuokite taikomąją programą arba kliento ID ir kliento paslaptį.

  3. Raskite programos galinius punktus ir nukopijuokite „OpenID Connect“ metaduomenų dokumento URL.

  4. Prireikus keiskite kitus tapatybės paslaugų teikėjų parametrus.

Svetainės nustatymų įvedimas platformoje „Power Pages“

Grįžkite į „Power Pages“ puslapį Konfigūruoti tapatybės teikėją, iš kurio anksčiau išėjote ir įveskite šias reikšmes. Prireikus pasirinktinai keiskite papildomus parametrus. Baigę pasirinkite Patvirtinti.

  • Institucija: įveskite institucijos URL tokiu formatu: https://login.microsoftonline.com/<Directory (tenant) ID>/ kur <Katalogo (nuomotojo) ID> yra jūsų sukurtos programoskatalogo (nuomotojo) ID. Pavyzdžiui, jei portalo (nuomotojo) ID portale Azure yra aaaabbbb-0000-cccc-1111-dddd2222eeee, tada institucijos URL yra https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • Kliento ID: įklijuokite sukurtos programos arba klientoID.

  • Peradresavimo URL: jei svetainėje naudojamas tinkintas domeno pavadinimas, įveskite tinkintą URL; kitu atveju palikite numatytąją reikšmę. Patikrinkite, ar reikšmė yra visiškai tokia pat, kaip programos peradresavimo URI, kurį nukopijavote.

  • Metaduomenų adresas: įklijuokite nukopijuotą nukopijuoto metaduomenų dokumento URLOpenID Connect.

  • Aprėptis: įveskite tarpais atskirtų aprėpčių sąrašą, kurio užklausą norite pateikti naudodami parametrą OpenID Connect scope . Numatytoji reikšmė yra openid.

    Reikšmė yra openid privaloma. Sužinokite apie kitas pretenzijas, kurias galite pridėti.

  • atsakymas tipas: įveskite parametro OpenID Connect response_type reikšmę. Galimos reikšmės: code, code id_token, id_token, id_token token ir code id_token token. Numatytoji reikšmė yra code id_token.

  • Kliento paslaptis: įklijuokite kliento slaptąjį raktą iš teikėjo programos. Taip pat tai gali būti nurodyta kaip programos paslaptis arba vartotojo paslaptis. Šis parametras būtinas, jei atsako tipas yra code.

  • atsakymas režimas: įveskite parametro OpenID Connect response_mode reikšmę. Ji turi būti query, jei atsako tipas yra code. Numatytoji reikšmė yra form_post.

  • Išorinis atsijungimas: šis nustatymas valdo, ar jūsų svetainėje naudojamas išorinis atsijungimas. Naudojant išorinį atsijungimą, kai vartotojai atsijungia nuo programos ar svetainės, jie taip pat atjungiami nuo visų programų ir svetainių, kuriose naudojamas tas pats tapatybės teikėjas. Įjunkite jį, jei nuo jūsų svetainės atsijungusius vartotojus norite nukreipti į išorinio atsijungimo aplinką. Išjunkite ją, kad atjungtų vartotojus tik iš jūsų svetainės.

  • Skelbti atsijungimo peradresavimo URL: įveskite URL, kuriuo tapatybės teikėjas turėtų peradresuoti naudotojus, kai jie atsijungia. Ši vieta turėtų būti tinkamai nustatyta tapatybės teikėjo konfigūracijoje.

  • RP inicijuotas atsijungimas: šis parametras valdo, ar pasikliaujanti šalis – kliento programa OpenID Connect" – gali atsijungti nuo vartotojų. Norėdami naudoti šį parametrą, įjunkite išorinį išregistravimą.

Papildomi „Power Pages“ parametrai

Papildomi parametrai suteikia jums daugiau valdymo teises, kaip vartotojai autentifikuoja su jūsų „OpenID Connect“ tapatybės paslaugų teikėju. Jums nereikia nustatyti nė vienos iš šių reikšmių. Jos yra visiškai pasirenkamos.

  • Emitento filtras: įveskite pakaitos simboliais pagrįstą filtrą, kuris atitinka visus visų nuomotojų emitentus; pvz https://sts.windows.net/*/., Jei naudojate Microsoft Entra ID auth teikėją, išdavėjo URL filtras būtų https://login.microsoftonline.com/*/v2.0/.

  • Tikrinti auditoriją: įjunkite šį nustatymą, kad patikrintumėte auditoriją atpažinimo ženklo tikrinimo metu.

  • Tinkamos auditorijos: įveskite kableliais atskirtą auditorijų URL sąrašą.

  • Tikrinti emitentus: įjunkite šį parametrą, kad patikrintumėte emitentą prieigos rakto tikrinimo metu.

  • Tinkami emitentai: įveskite kableliais atskirtą emitentų URL sąrašą.

  • Registracijos pretenzijos susiejimas ir prisijungimo pretenzijos susiejimas: Vartotojo autentifikavimo atveju pretenzija yra informacija, apibūdinanti vartotojo tapatybę, pvz., el. pašto adresas arba gimimo data. Kai prisijungiate prie taikomosios programos ar žiniatinklio svetainės, sukuriamas atpažinimo ženklas. Atpažinimo ženklas apima informaciją apie jūsų tapatybę, įskaitant visus su juo susijusius pareiškimus. Atpažinimo ženklai naudojami jūsų tapatybei autentifikuoti, kai prieidami prie kitų programos ar svetainės dalių arba kitų taikomųjų programų ir svetainių, kurios yra susijusios su tuo pačiu tapatybės teikėju. Teiginiai susiejimas yra būdas pakeisti informaciją, kuri yra įtraukta į prieigos raktą. Ją galima naudoti norint tinkinti programai ar svetainei prieinamą informaciją ir valdyti prieigą prie funkcijų arba duomenų. Registracijos pretenzijos susiejimas modifikuoja teiginius, kurie pateikiami, kai registruojatės programai ar svetainei. Prisijungimo teiginiai susiejimas modifikuoja teiginius, kurie skleidžiami, kai prisijungiate prie programos ar svetainės. Sužinokite daugiau apie pretenzijų susiejimas politiką.

  • Nonce naudojimo trukmė: įveskite nonce reikšmės naudojimo trukmę minutėmis. Numatytoji vertė yra 10 minučių.

  • Naudoti atpažinimo ženklo naudojimo trukmę: šis nustatymas valdo, ar autentifikavimo seanso trukmė, pvz., slapukų, turi atitikti autentifikavimo atpažinimo ženklo trukmę. Jei ją įjungsite, ši reikšmė nepaisys programos slapukų galiojimo laikotarpio reikšmės Authentication/ApplicationCookie/ExpireTimeSpan svetainės nustatymuose.

  • Kontaktų susiejimas el. paštu: šis nustatymas nustato, ar prisijungdami kontaktai susiejami su atitinkamu el. pašto adresu.

    • Įjungta: susieja unikalų kontakto įrašą su atitinkamu el. pašto adresu ir automatiškai priskiria išorinį tapatybės teikėją kontaktui, kai vartotojas sėkmingai prisijungia.
    • Išjungti

Pastaba.

UI_Locales užklausos parametras yra automatiškai siunčiamas autentifikavimo užklausoje ir nustatomas pagal portale pasirinktą kalbą.

Taip pat žr.

OpenID Connect teikėjo nustatymas naudojant Azure Active Directory (Azure AD) B2C
OpenID Connect teikėjo nustatymas naudojant Microsoft Entra ID
OpenID Connect DUK