Nastavení poskytovatele Open ID Connect pro portály

Toto téma platí pro portály aplikace Dynamics 365 a novější verze.

Externí poskytovatelé identity OpenID Connect jsou služby, které odpovídají specifikacím Open ID Connect. Integrace poskytovatele zahrnuje nalezení adresy URL orgánu (nebo vydavatele) přidruženého k poskytovateli. Adresu URL konfigurace lze určit na základě orgánu, který poskytuje metadata nezbytná během pracovního postupu ověřování. Nastavení poskytovatele jsou založena na vlastnostech třídy OpenIdConnectAuthenticationOptions.

Příklady adres URL úřadů:

Každý poskytovatel OpenID Connect také zahrnuje registraci aplikace (podobně jako u poskytovatele OAuth 2.0) a získání ID klienta. Adresa URL úřadu a generované ID klienta aplikace jsou parametry nezbytné pro aktivaci externího ověření mezi portálem a poskytovatelem identity.

Poznámka

Koncový bod Google OpenID Connect není aktuálně podporován, protože základní knihovny jsou stále v počátečních fázích vydání a trpí problémy s kompatibilitou. Místo toho lze použít koncový bod Nastavení poskytovatele OAuth2 pro portály.

Nastavení OpenID pro Azure Active Directory

Nejprve se přihlaste do Portálu pro správu Azure a vytvořte nebo vyberte existující adresář. V případě, že adresář je k dispozici, postupujte podle pokynů a přidejte aplikaci do adresáře.

  1. V nabídce Aplikace adresáře klikněte na tlačítko Přidat.
  2. Zvolte Přidat aplikaci, kterou vyvíjí moje organizace.
  3. Určete vlastní název pro aplikaci a zvolte typ webové aplikace a/nebo webového rozhraní API.
  4. Pro položky Přihlašovací adresa URL a Identifikátor URI ID aplikace zadejte adresu URL portálu pro obě pole https://portal.contoso.com/
  5. V tomto okamžiku je vytvořena nová aplikace. Přejděte do sekce Konfigurovat v nabídce.

    V sekci jednotného přihlašování aktualizujte první záznam Adresa URL odpovědi a zahrňte cestu v adrese URL: http://portal.contoso.com/signin-azure-ad. To odpovídá hodnotě nastavení webu RedirectUri

  6. V sekci Vlastnosti vyhledejte pole ID klienta. To odpovídá hodnotě nastavení webu ClientId.

  7. V nabídce zápatí klepněte na tlačítko Zobrazit koncové body a všimněte si pole Federace metadat dokumentu

Levá část adresy URL je hodnotou Orgán a je v jednom z následujících formátů:

Chcete-li získat adresu URL konfigurace služby, nahraďte konec cesty FederationMetadata/2007-06/FederationMetadata.xml cestou .well-known/openid-configuration. Například, https://login.microsoftonline.com/contoso.onmicrosoft.com/.well-known/openid-configuration

To odpovídá hodnotě nastavení webu MetadataAddress.

Vytvoření nastavení webu pomocí OpenID

Použijte nastavení portálového webu odkazující na výše uvedenou aplikaci.

Poznámka

Standardní konfigurace služby Azure AD používá pouze následující nastavení (s příklady hodnot):

Nahrazením popisku pro značku [provider] lze nakonfigurovat více poskytovatelů identity. Každý jedinečný popisek tvoří skupinu nastavení souvisejících s poskytovatelem identity. Příklady: AzureAD, MyIdP

Název nastavení webu Popis
Authentication/Registration/ExternalLoginEnabled Povolí nebo zakáže přihlášení a registraci k externímu účtu. Výchozí: true
Authentication/OpenIdConnect/[provider]/Authority Povinné: Orgán, který chcete použít při volání OpenIdConnect. Příklad: https://login.windows.net/contoso.onmicrosoft.com/. MSDN.
Authentication/OpenIdConnect/[provider]/MetadataAddress Koncový bod zjišťování pro získávání metadat. Běžně končí cestou: /.well-known/openid-configuration. Příklad: https://login.windows.net/contoso.onmicrosoft.com/.well-known/openid-configuration. MSDN.
Authentication/OpenIdConnect/[provider]/AuthenticationType Typ ověřování middleware OWIN. Zadejte hodnotu vydavatele metadatech konfigurace služby. Příklad: https://sts.windows.net/contoso.onmicrosoft.com/. MSDN.
Authentication/OpenIdConnect/[provider]/ClientId Povinné: Hodnota ID klienta z aplikace poskytovatele. Může být označováno také jako „ID aplikace“ nebo „Uživatelský klíč“. MSDN.
Authentication/OpenIdConnect/[provider]/ClientSecret Hodnota tajného klíče klienta z aplikace poskytovatele. Může být označováno také jako „Tajný klíč aplikace“ nebo „Tajný klíč uživatele“. MSDN.
Authentication/OpenIdConnect/[provider]/RedirectUri Doporučený způsob: Pasivní koncový bod AD FS WS-Federation. Příklad: https://portal.contoso.com/signin-saml2. MSDN.
Authentication/OpenIdConnect/[provider]/Caption Doporučený způsob: Text, který můžete zobrazit uživatel při přihlášení do uživatelského rozhraní. Výchozí hodnota: [provider]. MSDN.
Authentication/OpenIdConnect/[provider]/Resource 'resource'. MSDN.
Authentication/OpenIdConnect/[provider]/ResponseType 'response_type'. MSDN.
Authentication/OpenIdConnect/[provider]/Scope Mezerami oddělený seznam oprávnění k podání žádosti. Výchozí hodnota: openid. MSDN.
Authentication/OpenIdConnect/[provider]/CallbackPath Volitelně omezená cesta, kdy proběhne ověření zpětného volání. Pokud není zadáno a RedirectUri je k dispozici, tato hodnota bude vygenerována z RedirectUri. MSDN.
Authentication/OpenIdConnect/[provider]/BackchannelTimeout Hodnota časového limitu pro komunikaci zpětného kanálu. Příklad: 00:05:00 (5 minut). MSDN.
Authentication/OpenIdConnect/[provider]/RefreshOnIssuerKeyNotFound Určuje, zda by se metadata měla pokusit aktualizovat po SecurityTokenSignatureKeyNotFoundException. MSDN.
Authentication/OpenIdConnect/[provider]/UseTokenLifetime Určuje, že ověřování životnosti relace (např. soubory cookie) by mělo odpovídat ověřovacímu tokenu. MSDN.
Authentication/OpenIdConnect/[provider]/AuthenticationMode Režim ověřování middleware OWIN. MSDN.
Authentication/OpenIdConnect/[provider]/SignInAsAuthenticationType Ověřování AuthenticationType, používané při vytváření System.Security.Claims.ClaimsIdentity. MSDN.
Authentication/OpenIdConnect/[provider]/PostLogoutRedirectUri 'post_logout_redirect_uri'. MSDN.
Authentication/OpenIdConnect/[provider]/ValidAudiences Čárkami oddělený seznam adres URL cílové skupiny. MSDN.
Authentication/OpenIdConnect/[provider]/ValidIssuers Čárkami oddělený seznam adres URL vydavatele. MSDN.
Authentication/OpenIdConnect/[provider]/ClockSkew Chcete-li použít při ověřování časy zkosení hodin.
Authentication/OpenIdConnect/[provider]/NameClaimType Typ deklarace identity, který se používá k uchování názvu deklarace ClaimsIdentity.
Authentication/OpenIdConnect/[provider]/RoleClaimType Typ deklarace identity, který se používá k uchování role deklarace ClaimsIdentity.
Authentication/OpenIdConnect/[provider]/RequireExpirationTime Hodnota označující, zda tokeny musí mít hodnotu „vypršení platnosti“.
Authentication/OpenIdConnect/[provider]/RequireSignedTokens Hodnota označující, zda System.IdentityModel.Tokens.SecurityToken xmlns = "http://ddue.schemas.microsoft.com/authoring/2003/5" může být platný, pokud není podepsán.
Authentication/OpenIdConnect/[provider]/SaveSigninToken Logická hodnota, která určuje, zda bude původní token uložen při vytvoření relace.
Authentication/OpenIdConnect/[provider]/ValidateActor Hodnota označující, zda může být token System.IdentityModel.Tokens.SecurityToken ověřen .
Authentication/OpenIdConnect/[provider]/ValidateAudience Logická hodnota, která určuje, zda bude cílová skupina ověřena při ověřování tokenu.
Authentication/OpenIdConnect/[provider]/ValidateIssuer Logická hodnota, která určuje, zda bude vydavatel ověřen při ověřování tokenu.
Authentication/OpenIdConnect/[provider]/ValidateLifetime Logická hodnota, která určuje, zda bude životnost ověřena při ověřování tokenu.
Authentication/OpenIdConnect/[provider]/ValidateIssuerSigningKey Logická hodnota, která určuje, zda je voláno ověření klíče System.IdentityModel.Tokens.SecurityKey, který podepsal securityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5".

Viz také

Konfigurace ověřování portálu Dynamics 365
Nastavení identity ověřování pro portál
Nastavení poskytovatele OAuth2 pro portály
Nastavení zprostředkovatele WS-Federation pro portály
Nastavení poskytovatele SAML 2.0 pro portály
Ověření aplikace Facebooku (karta stránky) pro portály