Kopīgot, izmantojot

OpenID Connect nodrošinātāja Microsoft Entra ar ID iestatīšana

  • Raksts

Microsoft Entra ir viens no OpenID Connect identitātes nodrošinātājiem, ko varat izmantot, lai autentificētu savas vietnes apmeklētājus Power Pages . Kopā ar Microsoft Entra ID, multitenant Microsoft Entra ID un Azure AD B2C varat izmantot jebkuru citu nodrošinātāju, kas atbilst Open ID Connect specifikācijai.

Šajā rakstā ir aprakstītas tālāk minētās darbības.

Piezīmes

Jūsu vietnes autentifikācijas iestatījumu izmaiņas var aizņemt dažas minūtes, lai tās atspoguļotu vietnē. Lai nekavējoties skatītu izmaiņas, administrēšanas centrā restartējiet vietni.

Iestatīšana Microsoft Entra Power Pages

Iestatiet Microsoft Entra kā identitātes nodrošinātāju savai vietnei.

  1. Power Pages Savā vietnē atlasiet Drošības>identitātes nodrošinātāji.

    Ja netiek rādīts neviens identitātes nodrošinātājs, pārliecinieties, vai opcija Ārējā pieteikšanās ir iestatīta kā Ieslēgts jūsu vietnes vispārīgajos autentifikācijas iestatījumos.

  2. Atlasiet + Jauns nodrošinātājs.

  3. Sadaļā Atlasīt pieteikšanās nodrošinātāju atlasiet Cits.

  4. Sadaļā Protokols atlasiet OpenID Connect.

  5. Ievadiet pakalpojumu sniedzēja nosaukumu; piemēram,ID Microsoft Entra .

    Nodrošinātāja nosaukums ir teksts uz pogas, ko lietotāji redz, kad atlasa savu identitātes nodrošinātāju pierakstīšanās lapā.

  6. Atlasiet Tālāk.

  7. Sadaļā Atbildes URL atlasiet Kopēt.

    Neaizveriet Power Pages pārlūka cilni. Drīz tajā atgriezīsities.

Programmas reģistrācijas izveide pakalpojumā Azure

Izveidojiet lietotnes reģistrāciju Azure portālā ar savas vietnes atbildes URL kā novirzīšanas URI.

  1. Pierakstieties Azure portālā.

  2. Meklējiet un atlasiet vienumu Azure Active Directory.

  3. Sadaļā Pārvaldīt atlasiet Programmu reģistrācijas.

  4. Atlasiet Jauna reģistrācija.

  5. Ievadiet nosaukumu.

  6. Atlasiet kādu no atbalstītajiem kontu tipiem, kas vislabāk atbilst jūsu organizācijas prasībām.

  7. Sadaļā Novirzīšanas URI atlasiet Tīmeklis kā platformu un pēc tam ievadiet savas vietnes atbildes URL.

    • Ja izmantojat savas vietnes noklusējuma vietrādi URL, ielīmējiet nokopēto atbildes vietrādi URL.
    • Ja izmantojat pielāgotu domēna nosaukumu, ievadiet pielāgotu URL. Vietnes identitātes nodrošinātāja iestatījumos norādiet novirzīšanas URL, izmantojat to pašu pielāgoto URL.

  8. Atlasiet Reģistrēt.

  9. Nokopējiet programmas (klienta) ID.

  10. Pa labi no Klienta akreditācijas dati atlasiet Pievienot sertifikātu vai noslēpumu.

  11. Atlasiet + Jauns klienta noslēpums.

  12. Ievadiet neobligātu aprakstu, atlasiet derīgumu un pēc tam atlasiet Pievienot.

  13. Sadaļā Noslēpuma ID atlasiet ikonu Kopēt starpliktuvē .

  14. Lapas augšdaļā atlasiet Galapunkti.

  15. Atrodiet OpenID Connect metadatu dokumenta URL un atlasiet kopēšanas ikonu.

  16. Kreisajā panelī zem Pārvaldīt atlasiet Autentifikācija.

  17. Sadaļā Netiešs piešķīrums atlasietID pilnvaras (izmantoti netiešajām un hibrīdajām plūsmām).

  18. Atlasiet vienumu Saglabāt.

Vietnes iestatījumu ievadīšana programmā Power Pages

Atgriezieties Power Pages identitātes nodrošinātāja konfigurēšanas lapā, ko iepriekš atstājāt, un ievadiet tālāk norādītās vērtības. Ja nepieciešams, mainiet papildu iestatījumus. Kad esat beidzis, atlasiet Apstiprināt.

  • Iestāde: ievadiet iestādes vietrādi URL šādā formātā: https://login.microsoftonline.com/<Directory (tenant) ID>/, kur <direktorija (nomnieka) ID> ir izveidotās lietojumprogrammasdirektorija (nomnieka) ID. Piemēram, ja direktorija (nomnieka) ID Azure portālā ir aaaabbbb-0000-cccc-1111-dddd2222eeee, tad iestādes URL ir https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • Client ID: ielīmējiet izveidotās lietojumprogrammasvai klienta ID.

  • Novirzīšanas URL: ja jūsu vietne izmanto pielāgotu domēna nosaukumu, ievadiet pielāgoto URL; pretējā gadījumā atstājiet noklusējuma vērtību. Pārliecinieties, vai šī vērtība ir tieši tāda pati kā izveidotās programmas novirzīšanas URI.

  • Metadatu adrese: ielīmējiet nokopēto OpenID Savienot metadatu dokumenta URL.

  • Darbības joma: ienākt openid email.

    Vērtība openid ir obligāta. Vērtība email nav obligāta; tā nodrošina, ka lietotāja e-pasta adrese tiek automātiski aizpildīta un parādīta profila lapā pēc lietotāja pierakstīšanās sistēmā. Uzziniet par citām pretenzijām, kuras varat pievienot.

  • atbilde veids: Atlasīt code id_token.

  • Klienta noslēpums: ielīmējiet klienta noslēpumu no izveidotās lietojumprogrammas. Šis iestatījums ir nepieciešams, ja atbildes tips ir code.

  • atbilde režīms: Atlasīt form_post.

  • Ārējā atteikšanās: šis iestatījums kontrolē, vai jūsu vietne izmanto ārējo izrakstīšanos. Izmantojot ārējo izrakstīšanos, kad lietotāji izrakstās no lietojumprogrammas vai vietnes, viņi tiek izrakstīti arī no visām lietojumprogrammām un vietnēm, kas izmanto vienu un to pašu identitātes nodrošinātāju. Ieslēdziet to, lai novirzītu lietotājus, kuri izrakstās no jūsu tīmekļa vietnes, uz ārējās izrakstīšanās interfeisu. Izslēdziet to, lai izrakstītu lietotājus tikai no jūsu tīmekļa vietnes.

  • Izrakstīšanās novirzīšanas URL: ievadiet vietrādi URL, kur identitātes nodrošinātājam ir jānovirza lietotāji pēc izrakstīšanās. Šī atrašanās vieta ir atbilstoši jāiestata identitātes nodrošinātāja konfigurācijā.

  • RP iniciētā atteikšanās: šis iestatījums kontrolē, vai uzticamā puse — klienta lietojumprogramma OpenID Connect — var izrakstīt lietotājus. Lai izmantotu šo iestatījumu, vispirms ir jāieslēdz Ārējā atteikšanās.

Papildu iestatījumi programmā Power Pages

Papildu iestatījumi sniedz jums precīzāku kontroli pār to, kā lietotāji autentificējas, izmantojot jūsu Microsoft Entra identitātes nodrošinātāju. Jums nav jāiestata neviena no šīm vērtībām. Tās nav obligātas.

  • Izdevēja filtrs: ievadiet aizstājējzīmju filtru, kas atbilst visiem izdevējiem visos nomniekos; piemēram, https://sts.windows.net/*/.

  • Validēt auditoriju: ieslēdziet šo iestatījumu, lai marķiera validācijas laikā validētu auditoriju.

  • Derīgas mērķauditorijas: ievadiet ar komatu atdalītu sarakstu ar mērķauditorijas vietrāžiem URL.

  • Validēt izdevējus: ieslēdziet šo iestatījumu, lai validētu izdevēju marķiera validācijas laikā.

  • Derīgi izdevēji: ievadiet ar komatu atdalītu emitentu vietrāžu URL sarakstu.

  • Reģistrācijas pretenzijas kartēšana un pieteikšanās prasības kartēšana: lietotāja autentifikācijā pretenzija ir informācija, kas apraksta lietotāja identitāti, piemēram, e-pasta adrese vai dzimšanas datums. Kad jūs piesakāties programmā vai tīmekļa vietnē, tā izveido pilnvaru. Pilnvara satur informāciju par jūsu identitāti, tostarp visas ar to saistītās prasības. Pilnvaras tiek izmantotas, lai autentificētu jūsu identitāti, kad piekļūstat citām programmas vai vietnes daļām vai citām programmām un vietnēm, kas ir saistītas ar to pašu identitātes nodrošinātāju. Pretenzijas kartēšana ir veids, kā mainīt marķierī iekļauto informāciju. To var izmantot, lai pielāgotu programmai vai vietnei pieejamo informāciju un kontrolētu piekļuvi līdzekļiem vai datiem. Reģistrācijas pretenzijas kartēšana maina pretenzijas, kas rodas, reģistrējoties lietojumprogrammai vai vietnei. Pieteikšanās pretenzijas kartēšana maina pretenzijas, kas tiek emitētas, kad piesakāties lietojumprogrammā vai vietnē. Uzziniet vairāk par pretenzijām kartēšana politikām.

  • Nonce lifetime: ievadiet nonce vērtības kalpošanas laiku minūtēs. Noklusējuma vērtība ir 10 minūtes.

  • Izmantojiet marķiera kalpošanas laiku: šis iestatījums kontrolē, vai autentifikācijas sesijas kalpošanas laikam, piemēram, sīkfailiem, ir jāatbilst autentifikācijas marķiera darbības laikam. Ja tiek ieslēgts, šī vērtība pārlabo programmas sīkfailu derīguma termiņa vērtību vietnes iestatījumā Authentication/ApplicationCookie/ExpireTimeSpan.

  • Sazinieties ar kartēšana, izmantojot e-pastu: šis iestatījums nosaka, vai kontaktpersonas tiek kartētas uz atbilstošo e-pasta adresi, kad tās piesakās.

    • Ieslēgts: saista unikālu kontaktpersonas ierakstu ar atbilstošu e-pasta adresi un automātiski piešķir kontaktpersonai ārējās identitātes nodrošinātāju pēc tam, kad lietotājs ir veiksmīgi pierakstījies.
    • Pie

Piezīmes

Pieprasījuma parametrs UI_Locales tiek automātiski nosūtīts autentifikācijas pieprasījumā un tiek iestatīts portālā atlasītajai valodai.

Papildu prasību iestatīšana

  1. Iespējojiet neobligātās pretenzijas ID formātā Microsoft Entra .

  2. Iestatiet Tvērumu tā, lai tas iekļautu papildu prasības, piemēram, openid email profile.

  3. Iestatiet Reģistrēšanas pieprasījumu kartējums papildu vietnes iestatījumu, piemēram, firstname=given_name,lastname=family_name.

  4. Iestatiet Pieteikšanās pieprasījumu kartējums papildu vietnes iestatījumu, piemēram, firstname=given_name,lastname=family_name.

Šajos piemēros vārds, uzvārds un e-pasta adreses, kas tiek nodrošinātas ar papildu prasībām, kļūs par noklusējuma vērtībām tīmekļa vietnes profila lapā.

Piezīmes

Prasību kartēšana tiek atbalstīta teksta un Būla datu tipiem.

Vairākfaktoru Microsoft Entra autentifikācijas atļaušana

Lai ļautu Microsoft Entra lietotājiem autentificēties no jebkura nomnieka Azure, ne tikai no konkrēta nomnieka, mainiet lietojumprogrammas Microsoft Entra reģistrāciju uz vairāku nomnieku.

Jums ir jāiestata arī izdevēja filtrs jūsu nodrošinātāja papildu iestatījumos.

Skatiet arī:

OpenID Pievienojiet BUJ