Konfigurere OpenID Connect-udbyderindstillinger for portaler

Dette emne vedrører Dynamics 365-portaler og nyere versioner.

Eksterne OpenID Connect-id-udbydere er tjenester, der svarer til OpenID Connect specifikationerne. Integration af en udbyder omfatter lokalisering af den URL-adresse til myndigheden (eller udstederen), der er knyttet til udbyderen. En konfigurations-URL-adresse kan bestemmes ud fra den myndighed, der leverer metadata, der kræves under godkendelsesarbejdsprocessen. Indstillingerne for udbyderen er baseret på egenskaberne for OpenIdConnectAuthenticationOptions-klassen.

Eksempler på URL-adresser til myndigheder:

Hver OpenID Connect-udbyder omfatter også registrering af et program (svarende til en OAuth 2.0-udbyders) og erhvervelse af et klient-id. URL-adressen på den myndighed og det oprettede programklient-id'et er de indstillinger, der er nødvendige for at aktivere ekstern godkendelse mellem portalen og identitetsudbyderen.

Bemærk

Google OpenID Connect-slutpunktet understøttes ikke i øjeblikket, fordi de underliggende biblioteker stadig er i de tidlige faser af frigivelsen med kompatibilitetsproblemer, som skal håndteres. Indstillinger for OAuth2-udbyder for portaler-slutpunktet kan bruges i stedet.

OpenID-indstillinger for Azure Active Directory

Du kommer i gang ved at logge på Azure-administrationsportal og oprette eller vælge en eksisterende mappe. Når en mappe er tilgængelig, skal du følge instruktionerne for at tilføje et program til mappen.

  1. I menuen Programmer i mappen skal du klikke på knappen Tilføj.
  2. Vælg Tilføj et program, som organisationen udvikler.
  3. Angiv et brugerdefineret navn til programmet, og vælg typen Webprogram og/eller Web-API.
  4. I felterne URL-adresse til logon og URI for APP-ID skal du angive URL-adressen på portalen https://portal.contoso.com/
  5. På dette tidspunkt oprettes der et nyt program. Naviger til sektionen Konfigurer i menuen.

    Under sektionen enkeltlogon skal du først opdatere URL-adresse til svar med en sti i URL-adressen: http://portal.contoso.com/signin-azure-ad. Dette svarer til RedirectUri-værdien for webstedsindstillingen

  6. Under sektionen egenskaber skal du finde feltet Klient-ID. Dette svarer til ClientId-værdien for webstedsindstillingen.

  7. Klik i menuen i sidefoden på knappen Vis slutpunkter, og notér feltet Dokument med samlingsmetadata

Den venstre del af URL-adressen er værdien Authority og er i et af følgende formater:

For at hente tjenestens konfigurations-URL-adresse kan du erstatte den sidste del af FederationMetadata/2007-06/FederationMetadata.xml-stien med stien .well-known/openid-configuration. For eksempel https://login.microsoftonline.com/contoso.onmicrosoft.com/.well-known/openid-configuration

Dette svarer til værdien MetadataAddress for webstedsindstillingen.

Oprette indstillinger for websted ved hjælp af OpenID

Anvend indstillinger for portalwebstedet, som refererer til ovennævnte program.

Bemærk

En Azure AD-standardkonfiguration bruger kun følgende indstillinger (med eksempelværdier):

Flere identitetsudbydere kan konfigureres ved at udskifte en etiket for [udbyder]-mærket. Hver entydige etiket danner en gruppe indstillinger, der er relateret til en identitetsudbydere. Eksempler: Azure AD, MyIdP

Navn på indstilling for websted Beskrivelse
Authentication/Registration/ExternalLoginEnabled Aktiverer eller deaktiverer ekstern konto-logon og registrering. Standard: true
Authentication/OpenIdConnect/[udbyder]/Authority Krævet. Den myndighed, der skal bruges, når der foretages kald til OpenIdConnect. Eksempel: https://login.windows.net/contoso.onmicrosoft.com/. MSDN.
Authentication/OpenIdConnect/[udbyder]/MetadataAddress Registreringsslutpunktet for hentning af metadata. Slutter normalt med stien:/.well-known/openid-configuration. Eksempel: https://login.windows.net/contoso.onmicrosoft.com/.well-known/openid-configuration. MSDN.
Authentication/OpenIdConnect/[udbyder]/AuthenticationType Middlewaretypen for OWIN-godkendelse. Angiv værdien af udstederen i tjenestekonfigurationens metadata. Eksempel: https://sts.windows.net/contoso.onmicrosoft.com/. MSDN.
Authentication/OpenIdConnect/[udbyder]/ClientId Krævet. Klient-id-værdien fra udbyderprogrammet. Det kan også kaldes et "App-id" eller "Forbrugernøgle". MSDN.
Authentication/OpenIdConnect/[udbyder]/ClientSecret Klienthemmelighedsværdien fra udbyderprogrammet. Den kaldes også en "Apphemmelighed" eller "Forbrugerhemmelighed". MSDN.
Authentication/OpenIdConnect/[udbyder]/RedirectUri Anbefales. Det passive slutpunktet for AD FS WS-Federation. Eksempel: https://portal.contoso.com/signin-saml2. MSDN.
Authentication/OpenIdConnect/[udbyder]/Caption Anbefales. Den tekst, brugeren kan få vist i en logonbrugergrænseflade. Standard: [udbyder]. MSDN.
Authentication/OpenIdConnect/[udbyder]/Resource Ressourcen. MSDN.
Authentication/OpenIdConnect/[udbyder]/ResponseType 'response_type'. MSDN.
Authentication/OpenIdConnect/[udbyder]/Scope En mellemrumssepareret liste over tilladelser, der kan anmodes om. Standard: openid. MSDN.
Authentication/OpenIdConnect/[udbyder]/CallbackPath En valgfri begrænset sti, hvor godkendelsestilbagekaldet skal behandles. Hvis denne værdi ikke er angivet, og RedirectUri er tilgængelig, kan værdien genereres fra RedirectUri. MSDN.
Authentication/OpenIdConnect/[udbyder]/BackchannelTimeout Timeout-værdien for back-kanal-kommunikation. Eksempel: 00:05:00 (5 minutter). MSDN.
Authentication/OpenIdConnect/[udbyder]/RefreshOnIssuerKeyNotFound Bestemmer, om en metadata-opdatering skal forsøges efter en SecurityTokenSignatureKeyNotFoundException. MSDN.
Authentication/OpenIdConnect/[udbyder]/UseTokenLifetime Angiver, at godkendelsessessionens levetid (f.eks. cookies) skal stemme overens med godkendelsestokenets. MSDN.
Authentication/OpenIdConnect/[udbyder]/AuthenticationMode Middlewaretilstanden for OWIN-godkendelse. MSDN.
Authentication/OpenIdConnect/[udbyder]/SignInAsAuthenticationType Den AuthenticationType, der bruges ved oprettelse af System.Security.Claims.ClaimsIdentity. MSDN.
Authentication/OpenIdConnect/[udbyder]/PostLogoutRedirectUri 'post_logout_redirect_uri'. MSDN.
Authentication/OpenIdConnect/[udbyder]/ValidAudiences Kommasepareret liste over URL-adresser til publikum. MSDN.
Authentication/OpenIdConnect/[udbyder]/ValidIssuers Kommasepareret liste over URL-adresser til udsteder. MSDN.
Authentication/OpenIdConnect/[udbyder]/ClockSkew Clock skew, som skal anvendes, når du anvender valideringstider.
Authentication/OpenIdConnect/[udbyder]/NameClaimType Den kravtype, der bruges af ClaimsIdentity til at gemme navnet på kravet.
Authentication/OpenIdConnect/[udbyder]/RoleClaimType Den kravtype, der bruges af ClaimsIdentity til at gemme navnet på rollen.
Authentication/OpenIdConnect/[udbyder]/RequireExpirationTime En værdi, der angiver, om tokens skal have en værdi for 'udløb'.
Authentication/OpenIdConnect/[udbyder]/RequireSignedTokens En værdi, der angiver, om en System.IdentityModel.Tokens.SecurityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" kan være gyldig, hvis den ikke er signeret.
Authentication/OpenIdConnect/[udbyder]/SaveSigninToken En boolesk værdi, der styrer, om det oprindelige token gemmes, når der oprettes en session.
Authentication/OpenIdConnect/[udbyder]/ValidateActor En værdi, der angiver, om System.IdentityModel.Tokens.JwtSecurityToken.Actor skal valideres.
Authentication/OpenIdConnect/[udbyder]/ValidateAudience En boolesk værdi, der styrer, om publikum skal valideres under validering af token.
Authentication/OpenIdConnect/[udbyder]/ValidateIssuer En boolesk værdi, der styrer, om publikum skal valideres under validering af token.
Authentication/OpenIdConnect/[udbyder]/ValidateLifetime En boolesk værdi, der styrer, om publikum skal valideres under validering af token.
Authentication/OpenIdConnect/[udbyder]/ValidateIssuerSigningKey En boolesk værdi, der styrer, om validering af den System.IdentityModel.Tokens.SecurityKey, der signerede xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" kaldes.

Se også

Konfigurere Dynamics 365-portalgodkendelse
Indstille godkendelsesidentitet for en portal
Indstillinger for OAuth2-udbyder for portaler
WS-Federation-udbyderindstillinger for portaler
Indstillinger for SAML 2.0-udbyder for portaler
Godkendelse via Facebook-app (sidefane) for portaler