Partajați prin

Configurați un furnizor OpenID Connect cu Microsoft Entra ID

  • Articol

Microsoft Entra este unul dintre furnizorii de identitate OpenID Connect pe care îi puteți utiliza pentru a autentificarea vizitatorilor ai Power Pages site-ului dvs. Împreună cu Microsoft Entra ID, multi-tenant Microsoft Entra ID și Azure AD B2C, puteți utiliza orice alt furnizor care respectă Open ID Conectați specificația.

Acest articol descrie următorii pași:

Notă

Modificările setărilor de autentificare pe site-ul dvs. pot dura câteva minute pentru a se reflecta asupra site-ului. Pentru a vedea modificările imediat, reporniți site-ul în centrul de administrare.

Configurați Microsoft Entra în Power Pages

Setați Microsoft Entra ca furnizor de identitate pentru site-ul dvs.

  1. Pe Power Pages site-ul dvs., selectați Securitate>Furnizori de identitate.

    Dacă nu apare niciun furnizor de identitate, asigurați-vă că Conectare externă este setat la Activat în setările de autentificare generale ale site-ului dvs.

  2. Selectați + Furnizor nou.

  3. Sub Selectare furnizor de conectare, selectați Altul.

  4. Sub Protocol, selectați OpenID Connect.

  5. Introduceți un nume pentru furnizor; de exemplu, Microsoft Entra ID.

    Numele furnizorului este textul de pe butonul pe care utilizatorii îl văd când își selectează furnizorul de identitate pe pagina de conectare.

  6. Selectați Următorul.

  7. Sub Adresa URL de răspuns, selectați Copiere.

    Nu închideți fila de browser Power Pages. Veți reveni la ea în curând.

Crearea unei înregistrări a aplicației în Azure

Creați o înregistrare a aplicației în portalul Azure cu adresa URL de răspuns a site-ului dvs. ca URI de redirecționare.

  1. Conectați-vă la portalul Azure.

  2. Căutați și selectați Azure Active Directory.

  3. Sub Administrare, selectați Înregistrări de aplicații.

  4. Selectați Înregistrare nouă.

  5. Introduceți un nume.

  6. Selectați unul dintre Tipurile de cont acceptate care reflectă cel mai bine cerințele organizației dvs.

  7. Sub URI de redirecționare, selectați Web ca platformă, apoi introduceți adresa URL de răspuns a site-ului dvs.

    • Dacă utilizați adresa URL prestabilită a site-ului dvs., inserați adresa URL de răspuns pe care ați copiat-o.
    • Dacă utilizați un nume de domeniu personalizat, introduceți adresa URL particularizată. Asigurați-vă că utilizați aceeași adresă URL particularizată pentru adresa URL de redirecționare în setările pentru furnizorul de identitate de pe site-ul dvs.

  8. Selectați Înregistrare.

  9. Copiați ID-ul aplicației (client).

  10. La dreapta de Acreditări client, selectați Adăugare certificat sau secret.

  11. Selectați + Secret client nou.

  12. Introduceți o descriere opțională, selectați o valabilitate, apoi selectați Adăugare.

  13. Sub ID secret, selectați pictograma Copiare în clipboard.

  14. Selectați Puncte finale din partea de sus a paginii.

  15. Găsiți adresa URL a documentului de metadate OpenID Connect și selectați pictograma copiere.

  16. În panoul din stânga, sub Administrare, selectați Autentificare.

  17. Sub Acordare implicită, selectați Tokenuri de ID (utilizate pentru fluxuri implicite și hibride).

  18. Selectați Salvați.

Introducerea setărilor site-ului în Power Pages

Reveniți la pagina Power Pages Configurare furnizor de identitate pe care ați părăsit-o mai devreme și introduceți următoarele valori. Opțional, modificați setările suplimentare după cum este necesar. Selectați Confirmare atunci când ați terminat.

  • Autoritate: introduceți adresa URL a autorității în următorul format: https://login.microsoftonline.com/<Directory (tenant) ID>/, unde <ID director (chiriaș)> este directorul ( chiriaș) ID-ul aplicației pe care ați creat-o. De exemplu, dacă ID-ul directorului (chiriașului) din portalul Azure este aaaabbbb-0000-cccc-1111-dddd2222eeee, atunci adresa URL de autoritate este https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • ID de client​: inserați aplicația sau ID-ul de client al aplicației pe care ați creat-o.

  • Adresa URL de redirecționare: dacă site-ul dvs. folosește un nume de domeniu personalizat, introduceți adresa URL personalizată; în caz contrar, lăsați valoarea implicită. Asigurați-vă că valoarea este exact aceeași cu adresa URI de redirecționare a aplicației pe care ați creat-o.

  • Adresa metadatelor: inserați adresa URL a documentului cu metadate OpenID Connect pe care ați copiat-o.

  • Domeniu: introduceți openid email.

    Valoarea openid este obligatorie. Valoarea email este opțională; aceasta asigură că adresa de e-mail a utilizatorului este completată automat și afișată în pagina profilului după ce utilizatorul se conectează. Aflați despre alte revendicări pe care le puteți adăuga.

  • răspuns tip: selectați code id_token.

  • Secretul clientului: inserați secretul clientului din aplicația creată de dvs. Această setare este necesară dacă tipul de răspuns este code.

  • răspuns mode: Selectați form_post.

  • Deconectare externă: această setare controlează dacă site-ul dvs. utilizează deconectare federală. Cu deconectarea federată, atunci când utilizatorii se deconectează de la o aplicație sau un site, ei sunt, de asemenea, deconectați de la toate aplicațiile și site-urile care folosesc același furnizor de identitate. Activați-o pentru a redirecționa utilizatorii către experiența de utilizator deconectare federalizată atunci când se deconectează de la site-ul dvs. web. Dezactivați-o pentru a deconecta numai utilizatorii de pe site-ul dvs. web.

  • Adresa URL de redirecționare post logout: introduceți adresa URL la care furnizorul de identitate ar trebui să redirecționeze utilizatorii după ce se deconectează. Această locație ar trebui să fie setată corespunzător în configurația furnizorului de identitate.

  • Deconectare inițiată de RP: această setare controlează dacă partea de încredere — aplicația client OpenID Connect — poate deconecta utilizatorii. Pentru a utiliza această setare, activați Deconectare externă.

Setări suplimentare în Power Pages

Setările suplimentare vă oferă un control mai fin asupra modului în care utilizatorii se autentifică la Microsoft Entra furnizorul dvs. de identitate. Nu trebuie să setați niciuna dintre aceste valori. Sunt complet optionale.

  • Filtru emitent: introduceți un filtru bazat pe metacaractere care se potrivește pentru toți emitenții din toți chiriașii; de exemplu, https://sts.windows.net/*/.

  • Validați publicul: activați această setare pentru a valida publicul în timpul validării simbolului.

  • Segmente de public valide: introduceți o listă de adrese URL de public, separate prin virgulă.

  • Validați emitenții: activați această setare pentru a valida emitentul în timpul validării simbolului.

  • Emitenți validi: introduceți o listă de adrese URL ale emitenților, separate prin virgulă.

  • Revendicări de înregistrare mapare​ și Revendicări de conectare mapare: în autentificarea utilizatorului, o revendicare a31> sunt informații care descriu identitatea unui utilizator, cum ar fi o adresă de e-mail sau data nașterii. Când vă conectați la o aplicație sau un site web, acesta creează un token. Un token conține informații despre identitatea dvs., inclusiv orice revendicări care sunt asociate cu acesta. Tokenurile sunt folosite pentru a vă autentifica identitatea atunci când accesați alte părți ale aplicației sau site-ului sau alte aplicații și site-uri care sunt conectate la același furnizor de identitate. Revendicări mapare este o modalitate de a modifica informațiile care sunt incluse într-un simbol. Poate fi folosit pentru a personaliza informațiile disponibile pentru aplicație sau site și pentru a controla accesul la funcții sau date. Revendicări de înregistrare mapare modifică revendicările care sunt emise atunci când vă înregistrați pentru o aplicație sau un site. Afirmații de conectare mapare modifică revendicările care sunt emise atunci când vă conectați la o aplicație sau un site. Aflați mai multe despre politicile privind revendicările mapare.

  • Durată de viață nonce: introduceți durata de viață a valorii nonce, în minute. Valoarea implicită este de 10 de minute.

  • Utilizați durata de viață a simbolului: această setare controlează dacă durata de viață a sesiunii de autentificare, cum ar fi cookie-urile, ar trebui să se potrivească cu cea a simbolului de autentificare. Dacă o activați, această valoare înlocuiește valoarea perioadei de expirare a modulului cookie de aplicație în setarea site-ului Authentication/ApplicationCookie/ExpireTimeSpan.

  • Contactul mapare cu e-mail: această setare determină dacă contactele sunt mapate la o adresă de e-mail corespunzătoare atunci când se conectează.

    • Pe: asociază o înregistrare unică de contact cu o adresă de e-mail corespunzătoare și atribuie automat persoanei de contact furnizorul de identitate extern după ce utilizatorul se conectează cu succes.
    • Oprit

Notă

Parametrul de solicitare UI_Locales este trimis automat în solicitarea de autentificare și este setat la limba selectată în portal.

Configurarea solicitărilor suplimentare

  1. Activați revendicări opționale în Microsoft Entra ID.

  2. Setați Domeniu pentru a include solicitările suplimentare; de exemplu openid email profile.

  3. Setați setarea suplimentară a site-ului Maparea solicitărilor de înregistrare; de exemplu firstname=given_name,lastname=family_name.

  4. Setați setarea suplimentară a site-ului Maparea solicitărilor de conectare; de exemplu firstname=given_name,lastname=family_name.

În aceste exemplu, prenumele, numele de familie, și adresele de e-mail furnizate împreună cu revendicările suplimentare devin valorile implicite în pagina de profil pe site-ul web.

Notă

Maparea revendicărilor este acceptată pentru tipurile de date text și boolean.

Permiteți autentificarea multi-tenant Microsoft Entra

Pentru a permite Microsoft Entra utilizatorilor să se autentifice de la orice chiriaș în Azure, nu doar de la un anumit chiriaș, modificați Microsoft Entra înregistrarea aplicației la multi-chirias.

De asemenea, trebuie să setați filtrul emitentului în setările suplimentare ale furnizorului dvs.

Consultați și

Întrebări frecvente despre OpenID Connect