Налаштуйте провайдера OpenID Connect з Microsoft Entra ID
Microsoft Entra є одним із постачальників ідентифікаційних даних OpenID Connect, які ви можете використовувати для автентифікації відвідувачів вашого Power Pages сайту. Поряд з Microsoft Entra ID, multitenant Microsoft Entra ID і Azure AD B2C ви можете використовувати будь-якого іншого провайдера, який відповідає специфікації Open ID Connect.
Ця стаття описує наступні кроки:
- Налаштування Microsoft Entra в Power Pages
- Створіть реєстрацію в додатку в Azure
- Введіть налаштування сайту в Power Pages
- Дозволити автентифікацію з кількома користувачами Microsoft Entra
Нотатка
Щоб зміни, внесені до настройок автентифікації, відобразилися на сайті, може знадобитися кілька хвилин. Щоб одразу переглянути зміни, перезапустіть сайт у центрі адміністрування.
Налаштування Microsoft Entra в Power Pages
Установіть Microsoft Entra як постачальника посвідчень для свого сайту.
На своєму Power Pages сайті виберіть постачальників> посвідчень безпеки.
Якщо постачальники посвідчень не відображаються, перевірте, щоб для параметру Зовнішній вхід було встановлено значення Ввімк. у загальних параметрах автентифікації вашого сайту.
Виберіть + Створити постачальника.
Для параметру Вибрати постачальника для входу в систему натисніть Інший.
Виберіть для параметра Протокол значення OpenID Connect.
Введіть назву провайдера; наприклад, Microsoft Entra ID.
Ім'я постачальника — це текстове значення кнопки, що відображатиметься для користувачів, коли вони вибиратимуть свого постачальника посвідчень на сторінці входу.
Виберіть Далі.
В області URL-адреса відповіді виберіть Копіювати.
Не закривайте вкладку браузера Power Pages. Незабаром ви повернетесь до нього.
Створення реєстрації програми в Azure
Створіть реєстрацію в додатку на порталі Azure з URL-адресою відповіді вашого сайту як URI переспрямування.
Увійдіть у Портал Azure.
Знайдіть і виберіть Azure Active Directory.
В області Керування виберіть Реєстрації програм.
Виберіть Створити реєстрацію.
Введіть ім’я.
Виберіть один із підтримуваних типів облікового запису, який найкраще відповідає вимогам організації.
В області URI-адреса переспрямування виберіть Веб-сайт як платформу, а потім введіть URL-адресу відповіді сайту.
- Якщо ви використовуєте URL-адресу сайту за умовчанням, вставте скопійовану URL-адресувідповіді.
- Якщо використовується настроюване доменне ім’я, введіть настроювану URL-адресу. Обов’язково використовуйте ту саму настроювану URL-адресу для URL-адреси переспрямування в настройках постачальника посвідчень на вашому сайті.
Виберіть Реєстрація.
Скопіюйте Ідентифікатор програми (клієнта).
Праворуч від облікових даних клієнта виберіть Додати сертифікат або Секрет.
Виберіть + Створити секретний ключ клієнта (client).
Введіть додатковий опис, виберіть термін дії і натисніть Додати.
У розділі Секретний ідентифікатор виберіть піктограму Копіювати до буфера обміну.
Натисніть Кінцеві точки у верхній частині сторінки.
Знайдіть URL-адресу документу з метаданими OpenID Connect і натисніть піктограму копіювання.
на бічній панелі в області Керування натисніть Автентифікації.
У розділі Неявне надання дозволів виберіть Маркери доступу (використовуються для неявних потоків).
Виберіть Зберегти.
Введення параметрів сайту в Power Pages
Поверніться до сторінки Power Pages налаштування постачальника посвідчень, яку ви залишили, і введіть наведені нижче значення. За потреби можна змінити додаткові параметри. Коли ви закінчили, виберіть підтвердити.
Повноваження: введіть URL-адресу повноважень у такому форматі:
https://login.microsoftonline.com/<Directory (tenant) ID>/
, де <ID> довідника (клієнта) – це ідентифікатор каталогу (клієнта) створеної вами програми. Наприклад, якщо ідентифікатор каталогу (клієнта) на порталі Azure єaaaabbbb-0000-cccc-1111-dddd2222eeee
, то URL-адреса повноважень єhttps://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/
.Ідентифікатор клієнта: вставте програму або ідентифікатор клієнта створеної програми.
URL-адреса переспрямування: якщо на вашому сайті використовується користувацьке доменне ім’я, введіть користувацьку URL-адресу; в іншому випадку залиште значення за замовчуванням. Переконайтеся, що значення збігається зі значенням URI-адреси переспрямування програми, яку ви створили.
Адреса метаданих: вставте URL-адресу документа OpenID Connect, який ви скопіювали.
Область застосування: Enter
openid email
.Значення
openid
обов'язкове. Значенняemail
є необов'язковим, воно гарантує, що адреса електронної пошти користувача заповнюється автоматично та відображається на сторінці профілю після входу користувача. Дізнайтеся про інші заявки, які можна додати.Відповідь тип: Вибрати
code id_token
.Секрет клієнта: вставте секрет клієнта зі створеної вами програми. Цей параметр обов'язковий, якщо тип відповіді
code
.Відповідь режим: Виберіть
form_post
.Зовнішній вихід: цей параметр визначає, чи використовується на сайті об’єднаний вихід. Завдяки об’єднаному виходу, коли користувачі виходять із програми або сайту, вони також виходять із всіх програм і сайтів, які використовують одного постачальника посвідчень. Увімкніть, щоб переспрямувати користувачів до інтерфейсу федеративного виходу після виходу з вашого веб-сайту. Вимкніть, щоб користувачі виходили лише з вашого веб-сайту.
URL-адреса переспрямування для виходу з системи: введіть URL-адресу, за якою постачальник посвідчень має перенаправляти користувачів після того, як вони вийдуть із системи. Це місце має бути вказано відповідним чином у налаштуваннях постачальника профілів.
Вихід, ініційований RP: цей параметр визначає, чи може сторона, що покладається — клієнтська програма OpenID Connect — вийти з облікового запису користувачів. Щоб скористатися цим параметром, увімкніть Зовнішній вихід.
Додаткові параметри в Power Pages
За допомогою додаткових налаштувань ви зможете краще контролювати, як користувачі автентифікуються у вашого Microsoft Entra постачальника ідентифікаційних даних. Не потрібно встановлювати жодне з цих значень. Вони необов’язкові.
Фільтр емітента: введіть фільтр на основі символів узагальнення, який збігається з усіма емітентами серед усіх клієнтів; наприклад,
https://sts.windows.net/*/
.Перевіряти аудиторію: увімкніть це налаштування, щоб перевіряти аудиторію під час перевірки токенів.
Дійсні аудиторії: введіть список URL-адрес аудиторій, розділених комами.
Перевірка емітентів: увімкніть це налаштування, щоб перевіряти емітента під час перевірки токена.
Дійсні емітенти: введіть список URL-адрес емітентів, розділених комами.
зіставлення реєстраційних заявок і зіставлення заявок на вхід: в автентифікації користувача заявка – це інформація, яка описує особу користувача, як-от адресу електронної пошти або дату народження. Під час входу до програми або веб-сайту створюється маркер. Маркер містить інформацію про особу, включно з усіма пов’язаними з ним твердженнями. Маркери використовуються для автентифікації особи під час доступу до інших частин програми або сайту або інших програм і сайтів, підключених до одного постачальника посвідчень. Tзіставлення тверджень – це спосіб змінити інформацію, яка міститься в токені. З його допомогою можна настроювати відомості, доступні для прогами або сайту, та керувати доступом до функцій або даних. Tзіставлення реєстраційних претензій змінює твердження, які надходять під час реєстрації в додатку або на сайті. Tзіставлення заяв про вхід змінює твердження, які надходять під час входу в програму або сайт. Докладніше про правила зіставлення тверджень.
Термін служби нонсе: введіть час життя значення nonce, у хвилинах. Значенням за замовчуванням становить 10 хвилин.
Використовувати термін дії токена: цей параметр визначає, чи має час життя сеансу автентифікації, наприклад файли cookie, збігатися з часом токена автентифікації. Якщо ввімкнути цей параметр, це значення замістить значення Термін дії файлів cookie програми параметру сайту Authentication/ApplicationCookie/ExpireTimeSpan.
Tзіставлення контактів з електронною поштою: цей параметр визначає, чи зіставляються контакти з відповідною електронною адресою під час входу в систему.
- Увімк.: пов’язує унікальний запис контакту з відповідною адресою електронної пошти та автоматично призначає контакту зовнішнього постачальника посвідчень після успішного входу користувача.
- Вимкнено
Нотатка
Параметр запиту UI_Locales буде автоматично надіслано в запит автентифікації, і для нього буде встановлено мову, вибрану на порталі.
Налаштування додаткових тверджень
Налаштуйте Область на включення додаткових тверджень, наприклад,
openid email profile
.Установіть додатковий параметр сайту Зіставлення тверджень про реєстрацію, наприклад,
firstname=given_name,lastname=family_name
.Установіть додатковий параметр сайту Зіставлення тверджень про вхід, наприклад,
firstname=given_name,lastname=family_name
.
Наприклад, ім'я, прізвище та адрес електронної пошти, що отримуються додатковими твердженнями, стануть значеннями за замовчуванням на сторінці профілю на веб-сайті.
Нотатка
Зіставлення тверджень підтримується для текстових і логічних типів даних.
Дозволити автентифікацію з кількома користувачами Microsoft Entra
Щоб дозволити Microsoft Entra користувачам автентифікуватися від будь-якого клієнта в Azure, а не лише від конкретного клієнта, змініть Microsoft Entra реєстрацію програми на multi-tenant.
Крім того, потрібно встановити фільтр постачальників у додаткових параметрах постачальника.