Bendrinti naudojant

OpenID Connect teikėjo nustatymas naudojant Microsoft Entra ID

  • Straipsnis

Microsoft Entra yra vienas iš OpenID Connect tapatybės teikėjų, kuriuos galite naudoti savo svetainės lankytojams Power Pages autentifikuoti. Kartu su Microsoft Entra ID, multitenant Microsoft Entra ID ir Azure AD B2C galite naudoti bet kurį kitą teikėją, atitinkantį "Open ID Connect" specifikaciją.

Šiame straipsnyje aprašomi toliau nurodyti veiksmai:

Pastaba.

Jūsų svetainės autentifikavimo parametrų pakeitimai gali užtrukti keletą minučių, kad būtų matomi svetainėje. Norėdami pakeitimus pamatyti nedelsdami, iš naujo paleiskite svetainę administravimo centre.

Įsikūrimas Microsoft Entra Power Pages

Nustatykite Microsoft Entra kaip savo svetainės tapatybės teikėją.

  1. Savo Power Pages svetainėje pasirinkite Saugos>tapatybės teikėjai.

    Jei nerodoma jokių tapatybės teikėjų, savo svetainės bendruosiuose autentifikavimo parametruose patikrinkite, ar Išorinis prisijungimas nustatytas kaip Įjungtas.

  2. Pasirinkite + Naują teikėją.

  3. Skiltyje Pasirinkite prisijungimo paslaugų teikėją pasirinkite Kita.

  4. Skiltyje Protokolas, pasirinkite „OpenID Connect“.

  5. Įveskite teikėjo pavadinimą; pvz., Microsoft Entra ID.

    Teikėjo pavadinimas yra tekstas ant mygtuko, kurį naudotojai mato, kai jie pasirenka savo tapatybės teikėją prisijungimo puslapyje.

  6. Pasirinkite Toliau.

  7. Dalyje Atsakymo URL pasirinkite Kopijuoti .

    Neuždarykite naršyklės „Power Pages“ skirtuko. Greitai prie jo sugrįšite.

Programos registravimo platformoje „Azure“ sukūrimas

Sukurkite programos registraciją portale Azure naudodami svetainės atsakymo URL kaip peradresavimo URI.

  1. Prisijunkite prie „Azure“ portalo.

  2. Raskite ir pasirinkite „Azure Active Directory“.

  3. Skyriuje Valdyti, pasirinkite Programos registracijos.

  4. Pasirinkite Nauja registracija.

  5. Įveskite pavadinimą.

  6. Pažymėkite vieną iš Palaikomų klientų tipų, geriausiai atspindinčių jūsų organizacijos reikalavimus.

  7. Dalyje Nukreipti URI, kaip platformą pažymėkite žiniatinklį, tada įveskite savo svetainės atsakymo URL.

    • Jei naudojate numatytąjį svetainės URL, įklijuokite nukopijuotą atsakymo URL.
    • Jei naudojate tinkintą domeno pavadinimą, įveskite pasirinktinį URL. Peradresavimo URL svetainės tapatybės paslaugų teikėjo parametruose nepamirškite naudoti to paties pasirinktinio URL.

  8. Pasirinkite Registruoti.

  9. Programos (kliento) ID kopijavimas.

  10. Kliento kredencialų dešinėje pažymėkite Įtraukti sertifikatą arba paslaptį.

  11. Pasirinkite + Nauja kliento paslaptis.

  12. Įveskite neprivalomą aprašymą, pasirinkite galiojimo datą, tada pasirinkite Pridėti.

  13. Dalyje Slaptas ID, pažymėkite piktogramą Kopijuoti į mainų sritį.

  14. Puslapio viršuje pasirinkite Galiniai punktai.

  15. Raskite „OpenID Connect“ metaduomenų dokumento URL ir pasirinkite kopijavimo piktogramą.

  16. Kairiosios srities skyde, skiltyje Tvarkyti pasirinkite Autentifikavimas.

  17. Dalyje Netiesioginis suteikimas, rinkitės ID atpažinimo ženklus (naudojami netiesioginiams ir hibridiniams srautams) žymės langelį.

  18. Pasirinkite Įrašyti.

Svetainės nustatymų įvedimas platformoje „Power Pages“

Grįžkite į „Power Pages“ puslapį Konfigūruoti tapatybės teikėją, iš kurio anksčiau išėjote ir įveskite šias reikšmes. Prireikus pasirinktinai keiskite papildomus parametrus. Baigę pasirinkite Patvirtinti.

  • Institucija: įveskite institucijos URL tokiu formatu: https://login.microsoftonline.com/<Directory (tenant) ID>/ kur <Katalogo (nuomotojo) ID> yra jūsų sukurtos programoskatalogo (nuomotojo) ID. Pavyzdžiui, jei portalo (nuomotojo) ID portale Azure yra aaaabbbb-0000-cccc-1111-dddd2222eeee, tada institucijos URL yra https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • Kliento ID: įklijuokite sukurtos programos arba klientoID.

  • Peradresavimo URL: jei svetainėje naudojamas tinkintas domeno pavadinimas, įveskite tinkintą URL; kitu atveju palikite numatytąją reikšmę. Patikrinkite, ar reikšmė yra visiškai tokia pat, kaip programos peradresavimo URI, kurį sukūrėte.

  • Metaduomenų adresas: įklijuokite nukopijuotą nukopijuoto metaduomenų dokumento URLOpenID Connect.

  • Taikymo sritis: įveskite openid email.

    Reikšmė yra openid privaloma. Vertė email yra pasirinktinė; ji užtikrina, kad vartotojo el. pašto adresas yra užpildomas automatiškai ir rodomas Profilio puslapyje vartotojui prisijungus. Sužinokite apie kitas pretenzijas, kurias galite pridėti.

  • atsakymas tipas: Pasirinkti code id_token.

  • Kliento paslaptis: įklijuokite kliento slaptąjį raktą iš sukurtos programos. Šis parametras būtinas, jei atsako tipas yra code.

  • atsakymas režimas: Pasirinkite form_post.

  • Išorinis atsijungimas: šis nustatymas valdo, ar jūsų svetainėje naudojamas išorinis atsijungimas. Naudojant išorinį atsijungimą, kai vartotojai atsijungia nuo programos ar svetainės, jie taip pat atjungiami nuo visų programų ir svetainių, kuriose naudojamas tas pats tapatybės teikėjas. Įjunkite jį, jei nuo jūsų svetainės atsijungusius vartotojus norite nukreipti į išorinio atsijungimo aplinką. Išjunkite ją, kad atjungtų vartotojus tik iš jūsų svetainės.

  • Skelbti atsijungimo peradresavimo URL: įveskite URL, kuriuo tapatybės teikėjas turėtų peradresuoti naudotojus, kai jie atsijungia. Ši vieta turėtų būti tinkamai nustatyta tapatybės teikėjo konfigūracijoje.

  • RP inicijuotas atsijungimas: šis parametras valdo, ar pasikliaujanti šalis – kliento programa OpenID Connect" – gali atsijungti nuo vartotojų. Norėdami naudoti šį parametrą, įjunkite išorinį išregistravimą.

Papildomi „Power Pages“ parametrai

Papildomi parametrai leidžia geriau valdyti, kaip vartotojai autentifikuojasi su jūsų Microsoft Entra tapatybės teikėju. Jums nereikia nustatyti nė vienos iš šių reikšmių. Jos yra visiškai pasirenkamos.

  • Emitento filtras: įveskite pakaitos simboliais pagrįstą filtrą, kuris atitinka visus visų nuomotojų emitentus; pvz https://sts.windows.net/*/.,

  • Tikrinti auditoriją: įjunkite šį nustatymą, kad patikrintumėte auditoriją atpažinimo ženklo tikrinimo metu.

  • Tinkamos auditorijos: įveskite kableliais atskirtą auditorijų URL sąrašą.

  • Tikrinti emitentus: įjunkite šį parametrą, kad patikrintumėte emitentą prieigos rakto tikrinimo metu.

  • Tinkami emitentai: įveskite kableliais atskirtą emitentų URL sąrašą.

  • Registracijos pretenzijos susiejimas ir prisijungimo pretenzijos susiejimas: Vartotojo autentifikavimo atveju pretenzija yra informacija, apibūdinanti vartotojo tapatybę, pvz., el. pašto adresas arba gimimo data. Kai prisijungiate prie taikomosios programos ar žiniatinklio svetainės, sukuriamas atpažinimo ženklas. Atpažinimo ženklas apima informaciją apie jūsų tapatybę, įskaitant visus su juo susijusius pareiškimus. Atpažinimo ženklai naudojami jūsų tapatybei autentifikuoti, kai prieidami prie kitų programos ar svetainės dalių arba kitų taikomųjų programų ir svetainių, kurios yra susijusios su tuo pačiu tapatybės teikėju. Teiginiai susiejimas yra būdas pakeisti informaciją, kuri yra įtraukta į prieigos raktą. Ją galima naudoti norint tinkinti programai ar svetainei prieinamą informaciją ir valdyti prieigą prie funkcijų arba duomenų. Registracijos pretenzijos susiejimas modifikuoja teiginius, kurie pateikiami, kai registruojatės programai ar svetainei. Prisijungimo teiginiai susiejimas modifikuoja teiginius, kurie skleidžiami, kai prisijungiate prie programos ar svetainės. Sužinokite daugiau apie pretenzijų susiejimas politiką.

  • Nonce naudojimo trukmė: įveskite nonce reikšmės naudojimo trukmę minutėmis. Numatytoji vertė yra 10 minučių.

  • Naudoti atpažinimo ženklo naudojimo trukmę: šis nustatymas valdo, ar autentifikavimo seanso trukmė, pvz., slapukų, turi atitikti autentifikavimo atpažinimo ženklo trukmę. Jei ją įjungsite, ši reikšmė nepaisys programos slapukų galiojimo laikotarpio reikšmės Authentication/ApplicationCookie/ExpireTimeSpan svetainės nustatymuose.

  • Kontaktų susiejimas el. paštu: šis nustatymas nustato, ar prisijungdami kontaktai susiejami su atitinkamu el. pašto adresu.

    • Įjungta: susieja unikalų kontakto įrašą su atitinkamu el. pašto adresu ir automatiškai priskiria išorinį tapatybės teikėją kontaktui, kai vartotojas sėkmingai prisijungia.
    • Išjungti

Pastaba.

UI_Locales užklausos parametras yra automatiškai siunčiamas autentifikavimo užklausoje ir nustatomas pagal portale pasirinktą kalbą.

Papildomų pareiškimų nustatymas

  1. Įgalinkite pasirinktines paraiškas ID Microsoft Entra .

  2. Nustatykite Aprėptį, kad ji apimtų papildomus pareiškimus, pvz., openid email profile.

  3. Nustatykite Registravimo pareiškimo susiejimo papildomus vietos nustatymus, pvz., firstname=given_name,lastname=family_name.

  4. Nustatykite Prisijungimo pareiškimų susiejimo papildomus svetainės nustatymus, pvz., firstname=given_name,lastname=family_name.

Šiuose pavyzdžiuose vardas, pavardė, el. pašto adresai su papildomais reikalavimais tampa numatytosiomis reikšmėmis svetainės profilio puslapyje.

Pastaba.

Palaikomas teksto ir bulio logikos duomenų tipų pareiškimų susiejimas.

Leisti multitenanto Microsoft Entra autentifikavimą

Norėdami leisti Microsoft Entra vartotojams autentifikuotis iš bet kurio Azure nuomotojo, o ne tik iš konkretaus nuomotojo, pakeiskite Microsoft Entra programos registraciją į kelių nuomininkų.

Be to, savo paslaugų teikėjo papildomuose parametruose turite nustatyti išdavusios įstaigos filtrą.

Taip pat žr.

OpenID Connect DUK