Configura un proveïdor de l'OpenID Connect per als portals amb Azure AD

En aquest article, obtindreu informació sobre la configuració d'un proveïdor OpenID Connect per a portals amb Azure AD Azure Active Directory (Azure AD) i multitenant.

Nota

  • Els portals no es limiten només a Azure AD, Azure AD multitenants o Azure AD B2C com a proveïdors d'OpenID Connect. Podeu utilitzar qualsevol altre proveïdor que s'ajusti a l'especificació de l'OpenID Connect. Els canvis en la configuració de l'autenticació poden tardar uns minuts a reflectir-se al portal. Reinicieu el portal amb les accions del portal si voleu que els canvis es reflecteixin immediatament.

Per configurar Azure AD com a proveïdor d'OpenID Connect mitjançant el flux de concessió implícita

  1. Seleccioneu Afegeix un proveïdor per al portal.

  2. A Proveïdor d'inici de sessió, seleccioneu Altres.

  3. A Protocol, seleccioneu OpenID Connect.

  4. Introduïu un nom de proveïdor.

    Nom del proveïdor

  5. Seleccioneu Següent.

  6. En aquest pas, creeu l'aplicació i configureu els paràmetres amb el vostre proveïdor d'identitat.

    Crear una aplicació.

    Nota

    • L'aplicació utilitza l'URL de resposta per redirigir els usuaris al portal després de l'autenticació correcta. Si el portal utilitza un nom de domini personalitzat, pot ser que tingueu una adreça URL diferent de la que s'ofereix aquí.
    • Hi ha disponibles més detalls sobre la creació del registre d'aplicacions al portal de l'Azure a Inici ràpid: registrar una aplicació amb la plataforma d'identitat de Microsoft.
    1. Inicieu la sessió al portal d'Azure.

    2. Cerqueu i seleccioneu Azure Active Directory.

    3. A Administra, seleccioneu Registres d'aplicació.

    4. Seleccioneu Nou registre.

      Nou registre d'aplicació

    5. Introduïu un nom.

    6. Si és necessari, seleccioneu un Tipus de compte admès diferent. Més informació: Tipus de comptes admesos

    7. A URI de redirecció, seleccioneu Web (si encara no està seleccionat).

    8. Introduïu l'URL de resposta per al portal al quadre de text URI de redirecció.
      Exemple: https://contoso-portal.powerappsportals.com/signin-openid_1

      Nota

      Si utilitzeu l'adreça URL del portal per defecte, copieu i enganxeu l'Adreça URL de resposta tal com es mostra a la secció Creeu i configureu la configuració del proveïdor d’OpenID Connect a la pantalla Configura el proveïdor d'identitats (pas 6 anterior). Si esteu utilitzant un nom de domini personalitzat per al portal, introduïu l'URL personalitzada. Assegureu-vos d'utilitzar aquest valor quan configureu l'URL de redirecció a la configuració del portal quan configureu el proveïdor de l'OpenID Connect.
      Per exemple, si introduïu l'URL de resposta en el portal de l'Azure com a https://contoso-portal.powerappsportals.com/signin-openid_1, heu d'utilitzar-la directament per a la configuració d'OpenID Connect als portals.

      Registrar l'aplicació.

    9. Seleccioneu Registra.

    10. A la subfinestra de l'esquerra, a Administra, seleccioneu Autenticació.

      Habilitar el flux de concessió implícita amb testimonis d'identificació.

    11. A Concessió implícita, marqueu la casella de selecció Testimonis d'identificació.

    12. Seleccioneu Desa.

  7. En aquest pas, introduïu la configuració del lloc per a la configuració del portal.

    Configurar els paràmetres del lloc d'OpenID Connect.

    Suggeriment

    Si tanqueu la finestra del navegador després de configurar el registre de l'aplicació en el pas anterior, torneu a iniciar la sessió al portal de l'Azure i aneu a l'aplicació que heu registrat.

    1. Autoritat: per configurar l'adreça URL d'autoritat, utilitzeu el format següent:

      https://login.microsoftonline.com/<Directory (tenant) ID>/

      Per exemple, si ID de directori (inquilí) en el portal de l'Azure és 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, l'URL de l'autoritat és https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/

    2. ID de client: copieu l'ID d'aplicació (client) del portal de l'Azure com a ID de client.

      Autoritat i ID de client

    3. URL de redirecció: confirmeu que el valor de configuració del lloc URL de redirecció sigui el mateix que l'URI de redirecció que heu definit anteriorment al portal de l'Azure.

      Confirmar l'adreça URL de redirecció.

      Nota

      Si esteu utilitzant l'URL del portal per defecte, podeu copiar i enganxar l'URL de resposta com es mostra al pas Creeu i configureu la configuració del proveïdor d’OpenID Connect. Si esteu utilitzant un nom de domini personalitzat, introduïu l'URL manualment. Assegureu-vos que el valor introduït aquí sigui exactament el mateix que el valor que heu introduït com a URI de redirecció al portal de l'Azure anteriorment.

    4. Adreça de metadades: per configurar l'adreça de metadades, feu el següent:

      1. Seleccioneu Informació general al portal de l'Azure.

      2. Seleccioneu Extrems.

        Extrems al portal de l'Azure

      3. Copieu l'URL del document de metadades de l'OpenID Connect.

        Document de metadades de l'OpenID Connect

      4. Enganxeu l'URL del document copiada com a Adreça de metadades per als portals.

    5. Àmbit: definiu el valor de configuració del lloc Àmbit a:

      openid email

      Nota

      El valor openid a Àmbit és obligatori. El valor email és opcional. En especificar email en l'àmbit, es garanteix que l'adreça de correu electrònic de l'usuari del portal (registre de contacte) s'emplena automàticament i es mostra en la pàgina Perfil després que l'usuari iniciï la sessió. Per obtenir informació sobre les declaracions addicionals, consulteu Configurar declaracions addicionals més endavant en aquest article.

    6. A Tipus de resposta, seleccioneu code id_token.

    7. A Mode de resposta, seleccioneu form_post.

  8. Seleccioneu Confirma.

    Confirmar la configuració.

  9. Seleccioneu Tanca.

Configuració de declaracions addicionals

  1. Habilita les reclamacions opcionals a Azure AD.

  2. Definiu Àmbit per incloure les declaracions addicionals.
    Exemple: openid email profile

  3. Definiu l'opció del lloc addicional Assignació de declaracions de registre.
    Exemple: firstname=given_name,lastname=family_name

  4. Definiu l'opció del lloc addicional Assignació de declaracions d'inici de sessió.
    Exemple: firstname=given_name,lastname=family_name

Per exemple, el nom, cognoms i adreces de correu electrònic proporcionades amb les declaracions addicionals es convertiran en els valors per defecte de la pàgina de perfil del portal.

Exemple de pàgina de perfil

Habilita l'autenticació mitjançant una aplicació de Azure AD multitenant

Podeu configurar el vostre portal perquè accepti usuaris Azure AD de qualsevol inquilí de l'Azure, i no només d'un inquilí concret, mitjançant l'aplicació multitenant registrada a Azure AD. Per habilitar la multitenancy, actualitzeu el registre de l'aplicació a l'aplicació Azure AD.

Per donar suport a l'autenticació contra Azure AD mitjançant una aplicació multitenant, heu de crear o configurar la configuració addicional del lloc del filtre d'emissor.

Filtre d'emissor per a diversos inquilins

Aquest paràmetre del lloc és un filtre basat en comodí que coincideix amb tots els emissors de tots els inquilins. Exemple: https://sts.windows.net/*/

Consulteu també

PMF per a l'ús de l'OpenID Connect en portals