Zdieľať cez

Nastavenie poskytovateľa protokolu OpenID Connect

  • Článok

OpenID Connect poskytovatelia identity sú služby, ktoré sú v súlade so špecifikáciou Open ID Connect. OpenID Connect zavádza koncept tokenu ID. Token ID je token zabezpečenia, ktorý umožňuje klientovi overiť identitu používateľa. Navyše získa základné profilové informácie o používateľoch všeobecne známe ako nároky.

OpenID Pripojte poskytovateľov Azure AD B2C, Microsoft Entra ID a Microsoft Entra ID s viacerými nájomníkmi sú zabudované do Power Pages. Tento článok vysvetľuje, ako na vašu lokalitu Power Pages pridať ďalších poskytovateľov identity OpenID Connect.

Podporované a nepodporované postupy overovania v Power Pages

  • Implicitné udelenie
    • Tento postup je predvolená metóda overovania pre lokality Power Pages.
  • Kód oprávnenia
    • Služby Power Pages používajú metódu client_secret_post na komunikáciu s koncovým bodom tokenu servera identity.
    • Metóda private_key_jwt na overenie pomocou koncového bodu tokenu sa nepodporuje.
  • Hybridné (obmedzená podpora)
    • Power Pages vyžadujú prítomnosť id_token v odpovedi, a preto nie je hodnota response_type = ako kódový token podporovaná.
    • Hybridný postup v Power Pages sleduje rovnaký postup ako implicitné udeľovanie a používa id_token na priame prihlásenie používateľov.
  • Proof Key for Code Exchange (PKCE)
    • Techniky založené na PKCE na overovanie používateľov nie sú podporované.

Poznámka

Zmeny nastavení overovania na vašej lokalite sa môžu prejaviť o niekoľko minút. Ak chcete zmeny okamžite zobraziť, reštartujte lokalitu v centre pre správu.

Nastavenie poskytovateľa protokolu OpenID Connect v Power Pages

  1. Na svojom Power Pages stránke vyberte Zabezpečenie>Poskytovatelia identity.

    Ak sa nezobrazujú žiadni poskytovatelia identity, uistite sa, že je Externé prihlásenie nastavené na Zapnuté vo všeobecných nastaveniach overovania vašej lokality.

  2. Vyberte možnosť + Nový poskytovateľ.

  3. V časti Výber poskytovateľa prihlásenia stlačte Ostatné.

  4. V časti Protokol vyberte možnosť OpenID Connect.

  5. Zadajte názov poskytovateľa.

    Názov poskytovateľa je text na tlačidle, ktorý sa používateľom zobrazí pri výbere poskytovateľa identity na prihlasovacej stránke.

  6. Vyberte Ďalej.

  7. V časti Adresa URL odpovede vyberte možnosť Kopírovať.

    Nezatvárajte kartu prehliadača Power Pages. Čoskoro sa k nej vrátite.

Vytvorenie registrácie aplikácie u poskytovateľa identity

  1. Vytvorte a zaregistrujte aplikáciu u svojho poskytovateľa identity pomocou adresy URL odpovede, ktorú ste skopírovali.

  2. Skopírujte ID aplikácie alebo klienta a tajný kľúč klienta.

  3. Vyhľadajte koncové body aplikácie a skopírujte adresu URL dokumentu metadát OpenID Connect.

  4. Zmeňte ďalšie nastavenia poskytovateľa identity podľa potreby.

Zadanie nastavení lokality v Power Pages

Vráťte sa na stránku Power Pages Konfigurácia poskytovateľa identity, ktorú ste predtým opustili, a zadajte nasledujúce hodnoty. Podľa potreby môžete zmeniť ďalšie nastavenia. Po skončení vyberte možnosť Potvrdiť.

  • Oprávnenie: Zadajte adresu URL oprávnenia v nasledujúcom formáte: https://login.microsoftonline.com/<Directory (tenant) ID>/, kde <ID adresára (nájomca)> je adresár ( nájomník) ID aplikácie , ktorú ste vytvorili. Napríklad, ak je ID adresára (nájomníka) na portáli Azure aaaabbbb-0000-cccc-1111-dddd2222eeee, potom adresa URL autority je https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • Client ID​: Prilepte aplikáciu alebo ID klienta aplikácie , ktorú ste vytvorili.

  • Adresa URL presmerovania: Ak vaša lokalita používa vlastný názov domény, zadajte vlastnú adresu URL. v opačnom prípade ponechajte predvolenú hodnotu. Uistite sa, že hodnota je presne rovnaká ako URI presmerovania aplikácie, ktorú ste vytvorili.

  • Adresa metadát: Prilepte adresu URL dokumentu metadát OpenID Connect , ktorú ste skopírovali.

  • Rozsah: Zadajte medzerami oddelený zoznam rozsahov, o ktoré chcete požiadať, pomocou parametra OpenID Connect scope . Predvolená hodnota je openid.

    Hodnota openid je povinná. Prečítajte si o ďalších nárokoch, ktoré môžete pridať.

  • odpoveď type: Zadajte hodnotu parametra OpenID Connect response_type . Možné hodnoty: code, code id_token, id_token, id_token token a code id_token token. Predvolená hodnota je code id_token.

  • Tajný kľúč klienta: Prilepte tajný kľúč klienta z aplikácie poskytovateľa. Možno ho označovať aj ako tajný kľúč aplikácie alebo tajný kľúč zákazníka. Toto nastavenie je potrebné, ak je typ odpovede code.

  • odpoveď mode: Zadajte hodnotu parametra OpenID Connect response_mode . Mala by byť query, ak je typom odpovede code. Predvolená hodnota je form_post.

  • Externé odhlásenie: Toto nastavenie riadi, či vaša lokalita používa združené odhlásenie. Pri federatívnom odhlásení, keď sa používatelia odhlásia z aplikácie alebo lokality, sú odhlásení aj zo všetkých aplikácií a lokalít, ktoré používajú rovnakého poskytovateľa identity. Zapnite na presmerovanie používateľov pri odhlásení z lokality s funkciou federatívneho prostredia. Funkciu vypnite, ak chcete používateľa odhlásiť iba zo svojej webovej lokality.

  • Adresa URL presmerovania po odhlásení: Zadajte adresu URL, na ktorú má poskytovateľ identity presmerovať používateľov po ich odhlásení. Toto umiestnenie by malo byť vhodne nastavené v konfigurácii poskytovateľa identity.

  • Odhlásenie iniciované RP: Toto nastavenie určuje, či môže spoliehajúca sa strana – klientska aplikácia OpenID Connect – odhlásiť používateľov. Ak chcete použiť toto nastavenie, je potrebné zapnúť externé odhlásenie.

Ďalšie nastavenia v službe Power Pages

Ďalšie nastavenia vám poskytujú jemnejšiu kontrolu nad tým, ako sa používatelia overujú u poskytovateľa identitu OpenID Connect. Nemusíte nastavovať žiadnu z týchto hodnôt. Sú úplne voliteľné.

  • Filter vydavateľa: Zadajte filter založený na zástupných znakoch, ktorý sa zhoduje so všetkými vydavateľmi vo všetkých nájomcoch; napríklad https://sts.windows.net/*/. Ak používate Microsoft Entra poskytovateľa autorizácie ID, filter webovej adresy vydavateľa by bol https://login.microsoftonline.com/*/v2.0/.

  • Overiť publikum: Toto nastavenie zapnite, ak chcete overiť publikum počas overovania tokenu.

  • Platné publiká: Zadajte zoznam adries URL publika oddelených čiarkami.

  • Overiť vydavateľov: Zapnite toto nastavenie, ak chcete overiť vydavateľa počas overovania tokenu.

  • Platní vydavatelia: Zadajte zoznam adries URL vydavateľov oddelených čiarkami.

  • Nároky na registráciu mapovanie​ a Nároky na prihlásenie mapovanie: Pri overovaní používateľa platí nárok je informácia, ktorá popisuje identitu používateľa, ako je e-mailová adresa alebo dátum narodenia. Keď sa prihlásite do aplikácie alebo webovej lokality, vytvorí sa token. Token obsahuje informácie o vašej identite, vrátane akýchkoľvek nárokov, ktoré sú s ním spojené. Tokeny sa používajú na overenie vašej identity, keď pristupujete k iným častiam aplikácie alebo lokality alebo iným aplikáciám a lokalitám, ktoré sú pripojené k rovnakému poskytovateľovi identity. Nároky mapovanie je spôsob, ako zmeniť informácie, ktoré sú zahrnuté v tokene. Možno ho použiť na prispôsobenie informácií, ktoré má aplikácia alebo lokalita k dispozícii, a na kontrolu prístupu k funkciám alebo údajom. Nároky na registráciu mapovanie upravuje nároky, ktoré sa vydávajú pri registrácii aplikácie alebo stránky. Nároky na prihlásenie mapovanie upravuje nároky, ktoré sa vygenerujú, keď sa prihlásite do aplikácie alebo na stránku. Prečítajte si viac o nárokoch mapovanie pravidlách.

  • Životnosť nonce: Zadajte dobu životnosti hodnoty nonce v minútach. Predvolená hodnota je 10 minút.

  • Použiť životnosť tokenu: Toto nastavenie riadi, či sa životnosť relácie overenia, napríklad súborov cookie, má zhodovať s životnosťou tokenu overenia. Ak túto funkciu zapnete, táto hodnota prepíše hodnotu Časové rozpätie uplynutia platnosti súboru v nastaveniach lokality Authentication/ApplicationCookie/ExpireTimeSpan.

  • Kontakt mapovanie s e-mailom: Toto nastavenie určuje, či sú kontakty pri prihlásení namapované na zodpovedajúcu e-mailovú adresu.

    • On: Priradí jedinečný záznam kontaktu so zodpovedajúcou e-mailovou adresou a po úspešnom prihlásení používateľa automaticky priradí ku kontaktu externého poskytovateľa identity.
    • Vypnuté

Poznámka

Parameter požiadavky UI_Locales sa bude teraz automaticky odosielať v žiadosti o overenie a nastaví sa na jazyk vybraný na portáli.

Pozrite si tiež

Nastavte si poskytovateľa OpenID Connect s Azure Active Directory (Azure AD) B2C
Nastavte si poskytovateľa OpenID Connect s Microsoft Entra ID
OpenID Časté otázky týkajúce sa pripojenia