Konfigurere OpenID Connect-udbyderindstillinger for portaler

Dette emne vedrører Dynamics 365-portaler og nyere versioner.

Eksterne OpenID Connect-id-udbydere er tjenester, der svarer til OpenID Connect specifikationerne. Integration af en udbyder omfatter lokalisering af den URL-adresse til myndigheden (eller udstederen), der er knyttet til udbyderen. En konfigurations-URL-adresse kan bestemmes ud fra den myndighed, der leverer metadata, der kræves under godkendelsesarbejdsprocessen. Indstillingerne for udbyderen er baseret på egenskaberne for OpenIdConnectAuthenticationOptions-klassen.

Eksempler på URL-adresser til myndigheder:

Hver OpenID Connect-udbyder indebærer også registrering af et program (på samme måde som ved en OAuth 2.0-udbyder), og hvordan du henter et klient-id. URL-adressen til nøglecenteret og det genererede programklient-id er de indstillinger, der er nødvendig for at muliggøre ekstern godkendelse mellem portalen og identitetsudbyderen.

Bemærk

Google OpenID Connect-slutpunktet understøttes ikke i øjeblikket, fordi de underliggende biblioteker stadig er i de tidlige faser af frigivelsen med kompatibilitetsproblemer, som skal håndteres. Indstillinger for OAuth2-udbyder for portaler-slutpunktet kan bruges i stedet.

OpenID-indstillinger for Azure Active Directory

Du kommer i gang ved at logge på Azure-administrationsportal og oprette eller vælge en eksisterende mappe. Når en mappe er tilgængelig, skal du følge instruktionerne for at tilføje et program til mappen.

  1. I menuen Programmer i mappen skal du vælge Tilføj.
  2. Vælg Tilføj et program, som organisationen udvikler.
  3. Angiv et brugerdefineret navn til programmet, og vælg typen Webprogram og/eller Web-API.
  4. I felterne URL-adresse til logon og URI for APP-ID skal du angive URL-adressen på portalen https://portal.contoso.com/
  5. På dette tidspunkt oprettes der et nyt program. Naviger til sektionen Konfigurer i menuen.

    Under sektionen enkeltlogon skal du først opdatere URL-adresse til svar med en sti i URL-adressen: http://portal.contoso.com/signin-azure-ad. Dette svarer til RedirectUri-værdien for webstedsindstillingen

  6. Under sektionen egenskaber skal du finde feltet Klient-ID. Dette svarer til ClientId-værdien for webstedsindstillingen.

  7. Vælg Vis slutpunkter i menuen i sidefoden, og notér feltet Dokument med samlingsmetadata.

Den venstre del af URL-adressen er værdien Authority og er i et af følgende formater:

For at hente tjenestens konfigurations-URL-adresse kan du erstatte den sidste del af FederationMetadata/2007-06/FederationMetadata.xml-stien med stien .well-known/openid-configuration. For eksempel https://login.microsoftonline.com/contoso.onmicrosoft.com/.well-known/openid-configuration

Dette svarer til værdien MetadataAddress for webstedsindstillingen.

Oprette indstillinger for websted ved hjælp af OpenID

Anvend indstillinger for portalwebstedet, som refererer til ovennævnte program.

Bemærk

En Azure AD-standardkonfiguration bruger kun følgende indstillinger (med eksempelværdier):

Flere identitetsudbydere kan konfigureres ved at udskifte en etiket for [udbyder]-mærket. Hver entydige etiket danner en gruppe indstillinger, der er relateret til en identitetsudbydere. Eksempler: Azure AD, MyIdP

Navn på indstilling for websted Beskrivelse
Authentication/Registration/ExternalLoginEnabled Aktiverer eller deaktiverer ekstern konto-logon og registrering. Standard: true
Authentication/OpenIdConnect/[udbyder]/Authority Krævet. Den myndighed, der skal bruges, når der foretages kald til OpenIdConnect. Eksempel: https://login.windows.net/contoso.onmicrosoft.com/. Du kan finde flere oplysninger under OpenIdConnectAuthenticationOptions.Authority.
Authentication/OpenIdConnect/[udbyder]/MetadataAddress Registreringsslutpunktet for hentning af metadata. Slutter normalt med stien:/.well-known/openid-configuration. Eksempel: https://login.windows.net/contoso.onmicrosoft.com/.well-known/openid-configuration. Du kan finde flere oplysninger under OpenIdConnectAuthenticationOptions.MetadataAddress.
Authentication/OpenIdConnect/[udbyder]/AuthenticationType Middlewaretypen for OWIN-godkendelse. Angiv værdien af udstederen i tjenestekonfigurationens metadata. Eksempel: https://sts.windows.net/contoso.onmicrosoft.com/. Du kan finde flere oplysninger under AuthenticationOptions.AuthenticationType.
Authentication/OpenIdConnect/[udbyder]/ClientId Krævet. Klient-id-værdien fra udbyderprogrammet. Det kan også kaldes et "App-id" eller "Forbrugernøgle". Du kan finde flere oplysninger under OpenIdConnectAuthenticationOptions.ClientId.
Authentication/OpenIdConnect/[udbyder]/ClientSecret Klienthemmelighedsværdien fra udbyderprogrammet. Den kaldes også en "Apphemmelighed" eller "Forbrugerhemmelighed". Du kan finde flere oplysninger under OpenIdConnectAuthenticationOptions.ClientSecret.
Authentication/OpenIdConnect/[udbyder]/RedirectUri Anbefales. Det passive slutpunktet for AD FS WS-Federation. Eksempel: https://portal.contoso.com/signin-saml2. Du kan finde flere oplysninger under OpenIdConnectAuthenticationOptions.RedirectUri.
Authentication/OpenIdConnect/[udbyder]/Caption Anbefales. Den tekst, brugeren kan få vist i en logonbrugergrænseflade. Standard: [udbyder]. Du kan finde flere oplysninger under OpenIdConnectAuthenticationOptions.Caption.
Authentication/OpenIdConnect/[udbyder]/Resource Ressourcen. Du kan finde flere oplysninger under OpenIdConnectAuthenticationOptions.Resource.
Authentication/OpenIdConnect/[udbyder]/ResponseType 'response_type'. Du kan finde flere oplysninger under OpenIdConnectAuthenticationOptions.ResponseType.
Authentication/OpenIdConnect/[udbyder]/Scope En mellemrumssepareret liste over tilladelser, der kan anmodes om. Standard: openid. Du kan finde flere oplysninger under OpenIdConnectAuthenticationOptions.Scope .
Authentication/OpenIdConnect/[udbyder]/CallbackPath En valgfri begrænset sti, hvor godkendelsestilbagekaldet skal behandles. Hvis denne værdi ikke er angivet, og RedirectUri er tilgængelig, kan værdien genereres fra RedirectUri. Du kan finde flere oplysninger under OpenIdConnectAuthenticationOptions.CallbackPath.
Authentication/OpenIdConnect/[udbyder]/BackchannelTimeout Timeout-værdien for back-kanal-kommunikation. Eksempel: 00:05:00 (5 minutter). Du kan finde flere oplysninger under OpenIdConnectAuthenticationOptions.BackchannelTimeout.
Authentication/OpenIdConnect/[udbyder]/RefreshOnIssuerKeyNotFound Bestemmer, om en metadata-opdatering skal forsøges efter en SecurityTokenSignatureKeyNotFoundException. Du kan finde flere oplysninger under OpenIdConnectAuthenticationOptions.RefreshOnIssuerKeyNotFound.
Authentication/OpenIdConnect/[udbyder]/UseTokenLifetime Angiver, at godkendelsessessionens levetid (f.eks. cookies) skal stemme overens med godkendelsestokenets. Du kan finde flere oplysninger under OpenIdConnectAuthenticationOptions.UseTokenLifetime.
Authentication/OpenIdConnect/[udbyder]/AuthenticationMode Middlewaretilstanden for OWIN-godkendelse. Du kan finde flere oplysninger under AuthenticationOptions.AuthenticationMode.
Authentication/OpenIdConnect/[udbyder]/SignInAsAuthenticationType Den AuthenticationType, der bruges ved oprettelse af System.Security.Claims.ClaimsIdentity. Du kan finde flere oplysninger under OpenIdConnectAuthenticationOptions.SignInAsAuthenticationType.
Authentication/OpenIdConnect/[udbyder]/PostLogoutRedirectUri 'post_logout_redirect_uri'. Du kan finde flere oplysninger under OpenIdConnectAuthenticationOptions.PostLogoutRedirectUri.
Authentication/OpenIdConnect/[udbyder]/ValidAudiences Kommasepareret liste over URL-adresser til publikum. Du kan finde flere oplysninger under TokenValidationParameters.AllowedAudiences.
Authentication/OpenIdConnect/[udbyder]/ValidIssuers Kommasepareret liste over URL-adresser til udsteder. Du kan finde flere oplysninger under TokenValidationParameters.ValidIssuers.
Authentication/OpenIdConnect/[udbyder]/ClockSkew Clock skew, som skal anvendes, når du anvender valideringstider.
Authentication/OpenIdConnect/[udbyder]/NameClaimType Den kravtype, der bruges af ClaimsIdentity til at gemme navnet på kravet.
Authentication/OpenIdConnect/[udbyder]/RoleClaimType Den kravtype, der bruges af ClaimsIdentity til at gemme navnet på rollen.
Authentication/OpenIdConnect/[udbyder]/RequireExpirationTime En værdi, der angiver, om tokens skal have en værdi for 'udløb'.
Authentication/OpenIdConnect/[udbyder]/RequireSignedTokens En værdi, der angiver, om en System.IdentityModel.Tokens.SecurityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" kan være gyldig, hvis den ikke er signeret.
Authentication/OpenIdConnect/[udbyder]/SaveSigninToken En boolesk værdi, der styrer, om det oprindelige token gemmes, når der oprettes en session.
Authentication/OpenIdConnect/[udbyder]/ValidateActor En værdi, der angiver, om System.IdentityModel.Tokens.JwtSecurityToken.Actor skal valideres.
Authentication/OpenIdConnect/[udbyder]/ValidateAudience En boolesk værdi, der styrer, om publikum skal valideres under validering af token.
Authentication/OpenIdConnect/[udbyder]/ValidateIssuer En boolesk værdi, der styrer, om publikum skal valideres under validering af token.
Authentication/OpenIdConnect/[udbyder]/ValidateLifetime En boolesk værdi, der styrer, om publikum skal valideres under validering af token.
Authentication/OpenIdConnect/[udbyder]/ValidateIssuerSigningKey En boolesk værdi, der styrer, om validering af den System.IdentityModel.Tokens.SecurityKey, der signerede xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" kaldes.

Se også

Konfigurere Dynamics 365-portalgodkendelse
Indstille godkendelsesidentitet for en portal
Indstillinger for OAuth2-udbyder for portaler
WS-Federation-udbyderindstillinger for portaler
Indstillinger for SAML 2.0-udbyder for portaler
Godkendelse via Facebook-app (sidefane) for portaler