Partajați prin

Configurarea unui furnizor OpenID Connect

  • Articol

OpenID Connect furnizorii de identitate sunt servicii care se conformează specificației Open ID Connect. OpenID Connect introduce conceptul de token ID. Un token ID este un token de securitate care permite unui client să verifice identitatea unui utilizator. Acesta obține, de asemenea, informații de profil de bază despre utilizatori, cunoscute în mod obișnuit ca revendicări.

OpenID Conectați furnizorii Azure AD B2C, Microsoft Entra ID și Microsoft Entra ID cu mai mulți chiriași sunt încorporate în Power Pages. Acest articol explică cum să adăugați alți furnizori de identitate OpenID Connect pe site-ul dvs. Power Pages .

Fluxuri de autentificare acceptate și neacceptate în Power Pages

  • Acordare implicită
    • Acest flux este metoda implicită de autentificare utilizată de site-uri Power Pages.
  • Cod de autorizare
    • Power Pages utilizează metoda client_secret_post pentru a comunica cu punctul final al tokenului pentru serverul de identitate.
    • Metoda private_key_jwt nu este acceptată pentru autentificare cu token de punct final.
  • Hibrid (suport restricționat)
    • Power Pages necesită prezența id_token în răspuns, astfelcă response_type = token cod nu este acceptată.
    • Fluxul hibrid din Power Pages urmează același flux ca acordarea implicită și utilizează id_token pentru a conecta direct utilizatorii.
  • Proof Key for Code Exchange (PKCE)
    • Tehnicile bazate pe PKCE pentru autentificarea utilizatorilor nu sunt acceptate.

Notă

Modificările setărilor de autentificare pe site-ul dvs. pot dura câteva minute pentru a se reflecta asupra site-ului. Pentru a vedea modificările imediat, reporniți site-ul în centrul de administrare.

Configurarea unui furnizor OpenID Connect în Power Pages

  1. Pe Power Pages site-ul dvs., selectați Securitate>Furnizori de identitate.

    Dacă nu apare niciun furnizor de identitate, asigurați-vă că Conectare externă este setat la Activat în setările de autentificare generale ale site-ului dvs.

  2. Selectați + Furnizor nou.

  3. Sub Selectare furnizor de conectare, selectați Altul.

  4. Sub Protocol, selectați OpenID Connect.

  5. Introduceți un nume pentru furnizor.

    Numele furnizorului este textul de pe butonul pe care utilizatorii îl văd când își selectează furnizorul de identitate pe pagina de conectare.

  6. Selectați Următorul.

  7. Sub Adresa URL de răspuns, selectați Copiere.

    Nu închideți fila de browser Power Pages. Veți reveni la ea în curând.

Crearea unei înregistrări a aplicației în furnizorul de identitate

  1. Creați și înregistrați o aplicație la furnizorul dvs. de identitate utilizând adresa URL de răspuns pe care ați copiat-o.

  2. Copiați aplicația sau ID-ul clientului și secretul clientului.

  3. Găsiți punctele finale ale aplicației și copiați adresa URL a documentului de metadate OpenID Connect.

  4. Modificați alte setări după cum este necesar pentru furnizorul dvs. de identitate.

Introducerea setărilor site-ului în Power Pages

Reveniți la pagina Power Pages Configurare furnizor de identitate pe care ați părăsit-o mai devreme și introduceți următoarele valori. Opțional, modificați setările suplimentare după cum este necesar. Selectați Confirmare atunci când ați terminat.

  • Autoritate: introduceți adresa URL a autorității în următorul format: https://login.microsoftonline.com/<Directory (tenant) ID>/, unde <ID director (chiriaș)> este directorul ( chiriaș) ID-ul aplicației pe care ați creat-o. De exemplu, dacă ID-ul directorului (chiriașului) din portalul Azure este aaaabbbb-0000-cccc-1111-dddd2222eeee, atunci adresa URL de autoritate este https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • ID de client​: inserați aplicația sau ID-ul de client al aplicației pe care ați creat-o.

  • Adresa URL de redirecționare: dacă site-ul dvs. folosește un nume de domeniu personalizat, introduceți adresa URL personalizată; în caz contrar, lăsați valoarea implicită. Asigurați-vă că valoarea este exact aceeași cu adresa URI de redirecționare a aplicației pe care ați creat-o.

  • Adresa metadatelor: inserați adresa URL a documentului cu metadate OpenID Connect pe care ați copiat-o.

  • Domeniu de aplicare: introduceți o listă de domenii separate prin spații de solicitat folosind parametrul OpenID Connect scope . Valoarea implicită este openid.

    Valoarea openid este obligatorie. Aflați despre alte revendicări pe care le puteți adăuga.

  • răspuns type: introduceți valoarea parametrului OpenID Connect response_type . Valorile posibile includ code, code id_token, id_token, id_token token și code id_token token. Valoarea implicită este code id_token.

  • Secret client: inserați secretul clientului din aplicația furnizorului. Acesta poate fi denumit ca un secret aplicație sau secret consumator. Această setare este necesară dacă tipul de răspuns este code.

  • răspuns mode: introduceți valoarea parametrului OpenID Connect response_mode . Aceasta trebuie să fie query dacă tipul de răspuns este code. Valoarea implicită este form_post.

  • Deconectare externă: această setare controlează dacă site-ul dvs. utilizează deconectare federală. Cu deconectarea federată, atunci când utilizatorii se deconectează de la o aplicație sau un site, ei sunt, de asemenea, deconectați de la toate aplicațiile și site-urile care folosesc același furnizor de identitate. Activați-o pentru a redirecționa utilizatorii către experiența de utilizator deconectare federalizată atunci când se deconectează de la site-ul dvs. web. Dezactivați-o pentru a deconecta numai utilizatorii de pe site-ul dvs. web.

  • Adresa URL de redirecționare post logout: introduceți adresa URL la care furnizorul de identitate ar trebui să redirecționeze utilizatorii după ce se deconectează. Această locație ar trebui să fie setată corespunzător în configurația furnizorului de identitate.

  • Deconectare inițiată de RP: această setare controlează dacă partea de încredere — aplicația client OpenID Connect — poate deconecta utilizatorii. Pentru a utiliza această setare, activați Deconectare externă.

Setări suplimentare în Power Pages

Setările suplimentare vă oferă un control mai fin asupra modului în care utilizatorii se autentifică cu furnizorul dvs. de identitate OpenID Connect. Nu trebuie să setați niciuna dintre aceste valori. Sunt complet optionale.

  • Filtru emitent: introduceți un filtru bazat pe metacaractere care se potrivește pentru toți emitenții din toți chiriașii; de exemplu, https://sts.windows.net/*/. Dacă utilizați un Microsoft Entra furnizor de autentificare ID, filtrul URL al emitentului ar fi https://login.microsoftonline.com/*/v2.0/.

  • Validați publicul: activați această setare pentru a valida publicul în timpul validării simbolului.

  • Segmente de public valide: introduceți o listă de adrese URL de public, separate prin virgulă.

  • Validați emitenții: activați această setare pentru a valida emitentul în timpul validării simbolului.

  • Emitenți validi: introduceți o listă de adrese URL ale emitenților, separate prin virgulă.

  • Revendicări de înregistrare mapare​ și Revendicări de conectare mapare: în autentificarea utilizatorului, o revendicare a31> sunt informații care descriu identitatea unui utilizator, cum ar fi o adresă de e-mail sau data nașterii. Când vă conectați la o aplicație sau un site web, acesta creează un token. Un token conține informații despre identitatea dvs., inclusiv orice revendicări care sunt asociate cu acesta. Tokenurile sunt folosite pentru a vă autentifica identitatea atunci când accesați alte părți ale aplicației sau site-ului sau alte aplicații și site-uri care sunt conectate la același furnizor de identitate. Revendicări mapare este o modalitate de a modifica informațiile care sunt incluse într-un simbol. Poate fi folosit pentru a personaliza informațiile disponibile pentru aplicație sau site și pentru a controla accesul la funcții sau date. Revendicări de înregistrare mapare modifică revendicările care sunt emise atunci când vă înregistrați pentru o aplicație sau un site. Afirmații de conectare mapare modifică revendicările care sunt emise atunci când vă conectați la o aplicație sau un site. Aflați mai multe despre politicile privind revendicările mapare.

  • Durată de viață nonce: introduceți durata de viață a valorii nonce, în minute. Valoarea implicită este de 10 de minute.

  • Utilizați durata de viață a simbolului: această setare controlează dacă durata de viață a sesiunii de autentificare, cum ar fi cookie-urile, ar trebui să se potrivească cu cea a simbolului de autentificare. Dacă o activați, această valoare înlocuiește valoarea perioadei de expirare a modulului cookie de aplicație în setarea site-ului Authentication/ApplicationCookie/ExpireTimeSpan.

  • Contactul mapare cu e-mail: această setare determină dacă contactele sunt mapate la o adresă de e-mail corespunzătoare atunci când se conectează.

    • Pe: asociază o înregistrare unică de contact cu o adresă de e-mail corespunzătoare și atribuie automat persoanei de contact furnizorul de identitate extern după ce utilizatorul se conectează cu succes.
    • Oprit

Notă

Parametrul de solicitare UI_Locales este trimis automat în solicitarea de autentificare și este setat la limba selectată în portal.

Consultați și

Configurați un furnizor OpenID Connect cu Azure Active Directory (Azure AD) B2C
Configurați un furnizor OpenID Connect cu Microsoft Entra ID
Întrebări frecvente despre OpenID Connect