Configurar un proveïdor de l'OpenID Connect per a portals
Els proveïdors d'identitat externs de l'OpenID Connect són serveis que s'ajusten a l'especificació de l'OpenID Connect. L'OpenID Connect introdueix el concepte de testimoni identificador, que és un testimoni de seguretat que permet al client verificar la identitat de l'usuari. El testimoni d'identificació també obté informació bàsica del perfil sobre l'usuari, conegut generalment com a declaracions.
Aquest article explica com un proveïdor d'identitat, que admet l'OpenId Connect, es pot integrar amb els portals del Power Apps. Alguns dels exemples de proveïdors de l'OpenID Connect per a portals: Azure Active Directory (Azure AD) B2C, Azure AD, Azure AD amb diversos inquilins.
Fluxos d'autenticació admesos i no admesos als portals
- Concessió implícita
- Aquest flux és el mètode d'autenticació per defecte utilitzat pels portals.
- Codi d'autorització
- Els portals utilitzen el mètode client_secret_post per comunicar-se amb l'extrem de testimoni del servidor d'identitat.
- No s'admet l'ús del mètode private_key_jwt per autenticar-se amb l'extrem de testimoni.
- Híbrid (compatibilitat restringida)
- Els portals requereixen que els id_token estiguin presents en la resposta, per la qual cosa no s'admet que tinguin el valor response_type com a code token.
- El flux híbrid als portals segueix el mateix flux que el flux de concessió implícita i utilitza id_token per iniciar directament la sessió dels usuaris.
- Els portals no admeten les tècniques basades en PKCE (Proof Key for Code Exchange) per autenticar els usuaris.
Nota
Els canvis en la configuració de l'autenticació poden tardar uns minuts a reflectir-se al portal. Reinicieu el portal amb les accions del portal si voleu que els canvis es reflecteixin immediatament.
Configuració del proveïdor OpenID Connect
De manera similar a la resta de proveïdors, heu d'iniciar la sessió a Power Apps per configurar el proveïdor de l'OpenID Connect.
Seleccioneu Afegeix un proveïdor per al portal.
A Proveïdor d'inici de sessió, seleccioneu Altres.
A Protocol, seleccioneu OpenID Connect.
Introduïu un nom de proveïdor.

Seleccioneu Següent.
Creeu l'aplicació i configureu els paràmetres amb el vostre proveïdor d'identitat.

Nota
L'aplicació utilitza l'URL de resposta per redirigir els usuaris al portal després de l'autenticació correcta. Si el portal utilitza un nom de domini personalitzat, pot ser que tingueu una adreça URL diferent de la que s'ofereix aquí.
Introduïu els següents paràmetres del lloc per a la configuració del portal.

Nota
Assegureu-vos que reviseu i, si cal, canvieu els valors per defecte.
Nom Descripció Autoritat L’adreça URL de l’autoritat (o l’emissor) associada amb el proveïdor d’identitats.
Exemple (Azure AD) :https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/ID de client Identificador de l’aplicació creada amb el proveïdor d’identitats i que s’utilitzarà amb el portal. URL de redirecció La ubicació on el proveïdor d’identitats enviarà la resposta d’autenticació.
Exemple:https://contoso-portal.powerappsportals.com/signin-openid_1
Nota: si esteu utilitzant l'URL del portal per defecte, podeu copiar i enganxar l'URL de resposta com es mostra al pas Creeu i configureu la configuració del proveïdor d’OpenID Connect. Si esteu utilitzant un nom de domini personalitzat, introduïu l'URL manualment. Assegureu-vos que el valor que introduïu aquí és exactament el mateix que el valor URI de redirecció per a l'aplicació a la configuració del proveïdor d'identitat (com ara el portal de l'Azure).Adreça de metadades L'extrem de descobriment per a l'obtenció de metadades. Format habitual: [URL d'autenticació]/.well-known/openid-configuration.
Exemple (Azure AD) :https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/v2.0/.well-known/openid-configurationScope Llista d’àmbits separats per espais que cal sol·licitar mitjançant el paràmetre d’àmbit de l’OpenID Connect.
Valor per defecte:openid
Exemple (Azure AD) :openid profile email
Més informació: Configurar les declaracions addicionals quan s'utilitza l'OpenID Connect per portals amb l'Azure ADTipus de resposta Valor del paràmetre response_type d'OpenID Connect.
Alguns valors possibles són:-
code -
code id_token -
id_token -
id_token token -
code id_token token
Valor per defecte:code id_tokenSecret del client El valor de secret de client de l'aplicació del proveïdor. També pot anomenar-se secret d'aplicació o secret del consumidor. Aquest paràmetre és obligatori si el tipus de resposta seleccionat és code.Mode de resposta Valor del paràmetre response_mode d'OpenID Connect. El valor ha de ser querysi el tipus de resposta seleccionat éscode. Valor per defecte:form_post.-
Establiu la configuració per al tancament de sessió dels usuaris.

Nom Descripció Tancament de sessió extern Habilita o inhabilita el tancament de sessió de comptes externs. Quan s'habilita, els usuaris es redirigeixen a l'experiència de tancament de sessió externa quan surten del portal. Quan està inhabilitat, els usuaris només surten del portal. Adreça URL de redirecció posterior al tancament de sessió La ubicació on el proveïdor d’identitats redirigirà un usuari després del tancament de sessió extern. Aquesta ubicació s’ha de definir correctament a la configuració del proveïdor d’identitats. Tancament de sessió iniciat per RP Habilita o inhabilita un tancament de sessió iniciat per l'usuari de confiança. Per utilitzar aquest paràmetre, habiliteu primer Tancament de la sessió extern. (Opcional) Configureu els paràmetres addicionals.

Nom Descripció Filtre de l’emissor Filtre basat en comodí que coincideix amb tots els emissors de tots els inquilins.
Exemple:https://sts.windows.net/*/Valida el públic Si s’habilita, el públic es valida durant la validació de testimonis. Públics vàlids Llista separada per comes d’adreces URL de públic. Valida els emissors Si s’habilita, l’emissor es valida durant la validació de testimonis. Emissors vàlids Llista separada per comes d’adreces URL d’emissors. Assignació de reclamacions de registre Llista de parells lògics de noms i declaracions per assignar els valors retornats del proveïdor durant el registre per als atributs del registre de contacte.
Format:field_logical_name=jwt_attribute_nameonfield_logical_nameés el nom lògic del camp als portals ijwt_attribute_nameés l'atribut amb el valor retornat del proveïdor d'identitat.
Exemple:firstname=given_name,lastname=family_namequan s'utilitza Àmbit com aprofileper a l'Azure AD. En aquest exemple,firstnameilastnamesón els noms lògics per als camps de perfil als portals mentre quegiven_nameifamily_namesón els atributs amb els valors retornats pel proveïdor d'identitat per als camps respectius.Assignació de reclamacions d'inici de sessió Llista de parells lògics de noms i declaracions per assignar els valors retornats del proveïdor durant el registre per als atributs del registre de contacte.
Format:field_logical_name=jwt_attribute_nameonfield_logical_nameés el nom lògic del camp als portals ijwt_attribute_nameés l'atribut amb el valor retornat del proveïdor d'identitat.
Exemple:firstname=given_name,lastname=family_namequan s'utilitza Àmbit com aprofileper a l'Azure AD. En aquest exemple,firstnameilastnamesón els noms lògics per als camps de perfil als portals mentre quegiven_nameifamily_namesón els atributs amb els valors retornats pel proveïdor d'identitat per als camps respectius.Vigència de nonce Vigència del valor nonce, en minuts. Per defecte: 10 minuts. Utilitza el temps de durada del testimoni Indica que la duració de la sessió d’autenticació (com ara les galetes) ha de coincidir amb la del testimoni d’autenticació. Si s'especifica, aquest valor substituirà el valor Temps de venciment de les galetes de l'aplicació al paràmetre del lloc Authentication/ApplicationCookie/ExpireTimeSpan. Assignació de contacte amb correu electrònic Especifiqueu si els contactes s'assignen a un correu electrònic corresponent.
Quan s'estableix a Activat, s'associa un registre de contacte únic amb una adreça de correu electrònic coincident i s'assigna el proveïdor d'identitat extern al contacte després que l'usuari hagi iniciat la sessió correctament.Nota
UI_Locales paràmetre de sol·licitud s'enviarà automàticament a la sol·licitud d'autenticació i s'establirà a l'idioma seleccionat al portal.
Editar un proveïdor de l'OpenID Connect
Per editar un proveïdor de l'OpenID connect configurat, vegeu Editar un proveïdor.
Consulteu també
Configurar un proveïdor de l'OpenID Connect per a portals amb l'Azure AD
PMF per a l'ús de l'OpenID Connect en portals