Поділитися через

Налаштуйте провайдера OpenID Connect з Microsoft Entra ID

  • Стаття

Microsoft Entra є одним із постачальників ідентифікаційних даних OpenID Connect, які ви можете використовувати для автентифікації відвідувачів вашого Power Pages сайту. Поряд з Microsoft Entra ID, multitenant Microsoft Entra ID і Azure AD B2C ви можете використовувати будь-якого іншого провайдера, який відповідає специфікації Open ID Connect.

Ця стаття описує наступні кроки:

Нотатка

Щоб зміни, внесені до настройок автентифікації, відобразилися на сайті, може знадобитися кілька хвилин. Щоб одразу переглянути зміни, перезапустіть сайт у центрі адміністрування.

Налаштування Microsoft Entra в Power Pages

Установіть Microsoft Entra як постачальника посвідчень для свого сайту.

  1. На своєму Power Pages сайті виберіть постачальників> посвідчень безпеки.

    Якщо постачальники посвідчень не відображаються, перевірте, щоб для параметру Зовнішній вхід було встановлено значення Ввімк. у загальних параметрах автентифікації вашого сайту.

  2. Виберіть + Створити постачальника.

  3. Для параметру Вибрати постачальника для входу в систему натисніть Інший.

  4. Виберіть для параметра Протокол значення OpenID Connect.

  5. Введіть назву провайдера; наприклад, Microsoft Entra ID.

    Ім'я постачальника — це текстове значення кнопки, що відображатиметься для користувачів, коли вони вибиратимуть свого постачальника посвідчень на сторінці входу.

  6. Виберіть Далі.

  7. В області URL-адреса відповіді виберіть Копіювати.

    Не закривайте вкладку браузера Power Pages. Незабаром ви повернетесь до нього.

Створення реєстрації програми в Azure

Створіть реєстрацію в додатку на порталі Azure з URL-адресою відповіді вашого сайту як URI переспрямування.

  1. Увійдіть у Портал Azure.

  2. Знайдіть і виберіть Azure Active Directory.

  3. В області Керування виберіть Реєстрації програм.

  4. Виберіть Створити реєстрацію.

  5. Введіть ім’я.

  6. Виберіть один із підтримуваних типів облікового запису, який найкраще відповідає вимогам організації.

  7. В області URI-адреса переспрямування виберіть Веб-сайт як платформу, а потім введіть URL-адресу відповіді сайту.

    • Якщо ви використовуєте URL-адресу сайту за умовчанням, вставте скопійовану URL-адресувідповіді.
    • Якщо використовується настроюване доменне ім’я, введіть настроювану URL-адресу. Обов’язково використовуйте ту саму настроювану URL-адресу для URL-адреси переспрямування в настройках постачальника посвідчень на вашому сайті.

  8. Виберіть Реєстрація.

  9. Скопіюйте Ідентифікатор програми (клієнта).

  10. Праворуч від облікових даних клієнта виберіть Додати сертифікат або Секрет.

  11. Виберіть + Створити секретний ключ клієнта (client).

  12. Введіть додатковий опис, виберіть термін дії і натисніть Додати.

  13. У розділі Секретний ідентифікатор виберіть піктограму Копіювати до буфера обміну.

  14. Натисніть Кінцеві точки у верхній частині сторінки.

  15. Знайдіть URL-адресу документу з метаданими OpenID Connect і натисніть піктограму копіювання.

  16. на бічній панелі в області Керування натисніть Автентифікації.

  17. У розділі Неявне надання дозволів виберіть Маркери доступу (використовуються для неявних потоків).

  18. Виберіть Зберегти.

Введення параметрів сайту в Power Pages

Поверніться до сторінки Power Pages налаштування постачальника посвідчень, яку ви залишили, і введіть наведені нижче значення. За потреби можна змінити додаткові параметри. Коли ви закінчили, виберіть підтвердити.

  • Повноваження: введіть URL-адресу повноважень у такому форматі: https://login.microsoftonline.com/<Directory (tenant) ID>/, де <ID> довідника (клієнта) – це ідентифікатор каталогу (клієнта) створеної вами програми. Наприклад, якщо ідентифікатор каталогу (клієнта) на порталі Azure є aaaabbbb-0000-cccc-1111-dddd2222eeee, то URL-адреса повноважень є https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • Ідентифікатор клієнта: вставте програму або ідентифікатор клієнта створеної програми.

  • URL-адреса переспрямування: якщо на вашому сайті використовується користувацьке доменне ім’я, введіть користувацьку URL-адресу; в іншому випадку залиште значення за замовчуванням. Переконайтеся, що значення збігається зі значенням URI-адреси переспрямування програми, яку ви створили.

  • Адреса метаданих: вставте URL-адресу документа OpenID Connect, який ви скопіювали.

  • Область застосування: Enter openid email.

    Значення openid обов'язкове. Значення email є необов'язковим, воно гарантує, що адреса електронної пошти користувача заповнюється автоматично та відображається на сторінці профілю після входу користувача. Дізнайтеся про інші заявки, які можна додати.

  • Відповідь тип: Вибрати code id_token.

  • Секрет клієнта: вставте секрет клієнта зі створеної вами програми. Цей параметр обов'язковий, якщо тип відповіді code.

  • Відповідь режим: Виберіть form_post.

  • Зовнішній вихід: цей параметр визначає, чи використовується на сайті об’єднаний вихід. Завдяки об’єднаному виходу, коли користувачі виходять із програми або сайту, вони також виходять із всіх програм і сайтів, які використовують одного постачальника посвідчень. Увімкніть, щоб переспрямувати користувачів до інтерфейсу федеративного виходу після виходу з вашого веб-сайту. Вимкніть, щоб користувачі виходили лише з вашого веб-сайту.

  • URL-адреса переспрямування для виходу з системи: введіть URL-адресу, за якою постачальник посвідчень має перенаправляти користувачів після того, як вони вийдуть із системи. Це місце має бути вказано відповідним чином у налаштуваннях постачальника профілів.

  • Вихід, ініційований RP: цей параметр визначає, чи може сторона, що покладається — клієнтська програма OpenID Connect — вийти з облікового запису користувачів. Щоб скористатися цим параметром, увімкніть Зовнішній вихід.

Додаткові параметри в Power Pages

За допомогою додаткових налаштувань ви зможете краще контролювати, як користувачі автентифікуються у вашого Microsoft Entra постачальника ідентифікаційних даних. Не потрібно встановлювати жодне з цих значень. Вони необов’язкові.

  • Фільтр емітента: введіть фільтр на основі символів узагальнення, який збігається з усіма емітентами серед усіх клієнтів; наприклад, https://sts.windows.net/*/.

  • Перевіряти аудиторію: увімкніть це налаштування, щоб перевіряти аудиторію під час перевірки токенів.

  • Дійсні аудиторії: введіть список URL-адрес аудиторій, розділених комами.

  • Перевірка емітентів: увімкніть це налаштування, щоб перевіряти емітента під час перевірки токена.

  • Дійсні емітенти: введіть список URL-адрес емітентів, розділених комами.

  • зіставлення реєстраційних заявок і зіставлення заявок на вхід: в автентифікації користувача заявка – це інформація, яка описує особу користувача, як-от адресу електронної пошти або дату народження. Під час входу до програми або веб-сайту створюється маркер. Маркер містить інформацію про особу, включно з усіма пов’язаними з ним твердженнями. Маркери використовуються для автентифікації особи під час доступу до інших частин програми або сайту або інших програм і сайтів, підключених до одного постачальника посвідчень. Tзіставлення тверджень – це спосіб змінити інформацію, яка міститься в токені. З його допомогою можна настроювати відомості, доступні для прогами або сайту, та керувати доступом до функцій або даних. Tзіставлення реєстраційних претензій змінює твердження, які надходять під час реєстрації в додатку або на сайті. Tзіставлення заяв про вхід змінює твердження, які надходять під час входу в програму або сайт. Докладніше про правила зіставлення тверджень.

  • Термін служби нонсе: введіть час життя значення nonce, у хвилинах. Значенням за замовчуванням становить 10 хвилин.

  • Використовувати термін дії токена: цей параметр визначає, чи має час життя сеансу автентифікації, наприклад файли cookie, збігатися з часом токена автентифікації. Якщо ввімкнути цей параметр, це значення замістить значення Термін дії файлів cookie програми параметру сайту Authentication/ApplicationCookie/ExpireTimeSpan.

  • Tзіставлення контактів з електронною поштою: цей параметр визначає, чи зіставляються контакти з відповідною електронною адресою під час входу в систему.

    • Увімк.: пов’язує унікальний запис контакту з відповідною адресою електронної пошти та автоматично призначає контакту зовнішнього постачальника посвідчень після успішного входу користувача.
    • Вимкнено

Нотатка

Параметр запиту UI_Locales буде автоматично надіслано в запит автентифікації, і для нього буде встановлено мову, вибрану на порталі.

Налаштування додаткових тверджень

  1. Увімкніть необов’язкові заявки в Microsoft Entra ID.

  2. Налаштуйте Область на включення додаткових тверджень, наприклад, openid email profile.

  3. Установіть додатковий параметр сайту Зіставлення тверджень про реєстрацію, наприклад, firstname=given_name,lastname=family_name.

  4. Установіть додатковий параметр сайту Зіставлення тверджень про вхід, наприклад, firstname=given_name,lastname=family_name.

Наприклад, ім'я, прізвище та адрес електронної пошти, що отримуються додатковими твердженнями, стануть значеннями за замовчуванням на сторінці профілю на веб-сайті.

Нотатка

Зіставлення тверджень підтримується для текстових і логічних типів даних.

Дозволити автентифікацію з кількома користувачами Microsoft Entra

Щоб дозволити Microsoft Entra користувачам автентифікуватися від будь-якого клієнта в Azure, а не лише від конкретного клієнта, змініть Microsoft Entra реєстрацію програми на multi-tenant.

Крім того, потрібно встановити фільтр постачальників у додаткових параметрах постачальника.

Див. також

OpenID Поширені запитання про підключення