Konfigurace nastavení poskytovatele Open ID Connect pro portály

Toto téma platí pro portály aplikace Dynamics 365 a novější verze.

Externí poskytovatelé identity OpenID Connect jsou služby, které odpovídají specifikacím Open ID Connect. Integrace poskytovatele zahrnuje nalezení adresy URL orgánu (nebo vydavatele) přidruženého k poskytovateli. Adresu URL konfigurace lze určit na základě orgánu, který poskytuje metadata nezbytná během pracovního postupu ověřování. Nastavení poskytovatele jsou založena na vlastnostech třídy OpenIdConnectAuthenticationOptions.

Příklady adres URL úřadů:

Každý poskytovatel OpenID Connect také zahrnuje registraci aplikace (podobně jako u poskytovatele OAuth 2.0) a získání ID klienta. Adresa URL úřadu a generované ID klienta aplikace jsou parametry nezbytné pro aktivaci externího ověření mezi portálem a poskytovatelem identity.

Poznámka

Koncový bod Google OpenID Connect není aktuálně podporován, protože základní knihovny jsou stále v počátečních fázích vydání a trpí problémy s kompatibilitou. Místo toho lze použít koncový bod Nastavení poskytovatele OAuth2 pro portály.

Nastavení OpenID pro Azure Active Directory

Nejprve se přihlaste do Portálu pro správu Azure a vytvořte nebo vyberte existující adresář. V případě, že adresář je k dispozici, postupujte podle pokynů a přidejte aplikaci do adresáře.

  1. V nabídce Aplikace adresáře zvolte možnost Přidat.
  2. Zvolte Přidat aplikaci, kterou vyvíjí moje organizace.
  3. Určete vlastní název pro aplikaci a zvolte typ webové aplikace a/nebo webového rozhraní API.
  4. Pro položky Přihlašovací adresa URL a Identifikátor URI ID aplikace zadejte adresu URL portálu pro obě pole https://portal.contoso.com/
  5. V tomto okamžiku je vytvořena nová aplikace. Přejděte do sekce Konfigurovat v nabídce.

    V sekci jednotného přihlašování aktualizujte první záznam Adresa URL odpovědi a zahrňte cestu v adrese URL: http://portal.contoso.com/signin-azure-ad. To odpovídá hodnotě nastavení webu RedirectUri

  6. V sekci Vlastnosti vyhledejte pole ID klienta. To odpovídá hodnotě nastavení webu ClientId.

  7. V nabídce zápatí klepněte na tlačítko Zobrazit koncové body a všimněte si pole Federace metadat dokumentu

Levá část adresy URL je hodnotou Orgán a je v jednom z následujících formátů:

Chcete-li získat adresu URL konfigurace služby, nahraďte konec cesty FederationMetadata/2007-06/FederationMetadata.xml cestou .well-known/openid-configuration. Například, https://login.microsoftonline.com/contoso.onmicrosoft.com/.well-known/openid-configuration

To odpovídá hodnotě nastavení webu MetadataAddress.

Vytvoření nastavení webu pomocí OpenID

Použijte nastavení portálového webu odkazující na výše uvedenou aplikaci.

Poznámka

Standardní konfigurace služby Azure AD používá pouze následující nastavení (s příklady hodnot):

Nahrazením popisku pro značku [provider] lze nakonfigurovat více poskytovatelů identity. Každý jedinečný popisek tvoří skupinu nastavení souvisejících s poskytovatelem identity. Příklady: AzureAD, MyIdP

Název nastavení webu Popis
Authentication/Registration/ExternalLoginEnabled Povolí nebo zakáže přihlášení a registraci k externímu účtu. Výchozí: true
Authentication/OpenIdConnect/[provider]/Authority Povinné: Orgán, který chcete použít při volání OpenIdConnect. Příklad: https://login.windows.net/contoso.onmicrosoft.com/. Další informace:: OpenIdConnectAuthenticationOptions.Authority.
Authentication/OpenIdConnect/[provider]/MetadataAddress Koncový bod zjišťování pro získávání metadat. Běžně končí cestou: /.well-known/openid-configuration. Příklad: https://login.windows.net/contoso.onmicrosoft.com/.well-known/openid-configuration. Další informace: OpenIdConnectAuthenticationOptions.MetadataAddress.
Authentication/OpenIdConnect/[provider]/AuthenticationType Typ ověřování middleware OWIN. Zadejte hodnotu vydavatele metadatech konfigurace služby. Příklad: https://sts.windows.net/contoso.onmicrosoft.com/. Další informace: AuthenticationOptions.AuthenticationType.
Authentication/OpenIdConnect/[provider]/ClientId Povinné: Hodnota ID klienta z aplikace poskytovatele. Může být označováno také jako „ID aplikace“ nebo „Uživatelský klíč“. Další informace: OpenIdConnectAuthenticationOptions.ClientId.
Authentication/OpenIdConnect/[provider]/ClientSecret Hodnota tajného klíče klienta z aplikace poskytovatele. Může být označováno také jako „Tajný klíč aplikace“ nebo „Tajný klíč uživatele“. Další informace: OpenIdConnectAuthenticationOptions.ClientSecret.
Authentication/OpenIdConnect/[provider]/RedirectUri Doporučený způsob: Pasivní koncový bod AD FS WS-Federation. Příklad: https://portal.contoso.com/signin-saml2. Další informace: OpenIdConnectAuthenticationOptions.RedirectUri.
Authentication/OpenIdConnect/[provider]/Caption Doporučený způsob: Text, který můžete zobrazit uživatel při přihlášení do uživatelského rozhraní. Výchozí hodnota: [provider]. Další informace: OpenIdConnectAuthenticationOptions.Caption.
Authentication/OpenIdConnect/[provider]/Resource 'resource'. Další informace: OpenIdConnectAuthenticationOptions.Resource.
Authentication/OpenIdConnect/[provider]/ResponseType 'response_type'. Další informace: OpenIdConnectAuthenticationOptions.ResponseType.
Authentication/OpenIdConnect/[provider]/Scope Mezerami oddělený seznam oprávnění k podání žádosti. Výchozí hodnota: openid. Další informace: OpenIdConnectAuthenticationOptions.Scope .
Authentication/OpenIdConnect/[provider]/CallbackPath Volitelně omezená cesta, kdy proběhne ověření zpětného volání. Pokud není zadáno a RedirectUri je k dispozici, tato hodnota bude vygenerována z RedirectUri. Další informace: OpenIdConnectAuthenticationOptions.CallbackPath.
Authentication/OpenIdConnect/[provider]/BackchannelTimeout Hodnota časového limitu pro komunikaci zpětného kanálu. Příklad: 00:05:00 (5 minut). Další informace: OpenIdConnectAuthenticationOptions.BackchannelTimeout.
Authentication/OpenIdConnect/[provider]/RefreshOnIssuerKeyNotFound Určuje, zda by se metadata měla pokusit aktualizovat po SecurityTokenSignatureKeyNotFoundException. Další informace: OpenIdConnectAuthenticationOptions.RefreshOnIssuerKeyNotFound.
Authentication/OpenIdConnect/[provider]/UseTokenLifetime Určuje, že ověřování životnosti relace (např. soubory cookie) by mělo odpovídat ověřovacímu tokenu. Další informace: OpenIdConnectAuthenticationOptions.UseTokenLifetime.
Authentication/OpenIdConnect/[provider]/AuthenticationMode Režim ověřování middleware OWIN. Další informace: AuthenticationOptions.AuthenticationMode.
Authentication/OpenIdConnect/[provider]/SignInAsAuthenticationType Ověřování AuthenticationType, používané při vytváření System.Security.Claims.ClaimsIdentity. Další informace: OpenIdConnectAuthenticationOptions.SignInAsAuthenticationType.
Authentication/OpenIdConnect/[provider]/PostLogoutRedirectUri 'post_logout_redirect_uri'. Další informace: OpenIdConnectAuthenticationOptions.PostLogoutRedirectUri.
Authentication/OpenIdConnect/[provider]/ValidAudiences Čárkami oddělený seznam adres URL cílové skupiny. Další informace: TokenValidationParameters.AllowedAudiences.
Authentication/OpenIdConnect/[provider]/ValidIssuers Čárkami oddělený seznam adres URL vydavatele. Další informace: TokenValidationParameters.ValidIssuers.
Authentication/OpenIdConnect/[provider]/ClockSkew Chcete-li použít při ověřování časy zkosení hodin.
Authentication/OpenIdConnect/[provider]/NameClaimType Typ deklarace identity, který se používá k uchování názvu deklarace ClaimsIdentity.
Authentication/OpenIdConnect/[provider]/RoleClaimType Typ deklarace identity, který se používá k uchování role deklarace ClaimsIdentity.
Authentication/OpenIdConnect/[provider]/RequireExpirationTime Hodnota označující, zda tokeny musí mít hodnotu „vypršení platnosti“.
Authentication/OpenIdConnect/[provider]/RequireSignedTokens Hodnota označující, zda System.IdentityModel.Tokens.SecurityToken xmlns = "http://ddue.schemas.microsoft.com/authoring/2003/5" může být platný, pokud není podepsán.
Authentication/OpenIdConnect/[provider]/SaveSigninToken Logická hodnota, která určuje, zda bude původní token uložen při vytvoření relace.
Authentication/OpenIdConnect/[provider]/ValidateActor Hodnota označující, zda může být token System.IdentityModel.Tokens.SecurityToken ověřen .
Authentication/OpenIdConnect/[provider]/ValidateAudience Logická hodnota, která určuje, zda bude cílová skupina ověřena při ověřování tokenu.
Authentication/OpenIdConnect/[provider]/ValidateIssuer Logická hodnota, která určuje, zda bude vydavatel ověřen při ověřování tokenu.
Authentication/OpenIdConnect/[provider]/ValidateLifetime Logická hodnota, která určuje, zda bude životnost ověřena při ověřování tokenu.
Authentication/OpenIdConnect/[provider]/ValidateIssuerSigningKey Logická hodnota, která určuje, zda je voláno ověření klíče System.IdentityModel.Tokens.SecurityKey, který podepsal securityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5".

Viz také

Konfigurace ověřování portálu Dynamics 365
Nastavení identity ověřování pro portál
Nastavení poskytovatele OAuth2 pro portály
Nastavení zprostředkovatele WS-Federation pro portály
Nastavení poskytovatele SAML 2.0 pro portály
Ověření aplikace Facebooku (karta stránky) pro portály