Συνήθεις ερωτήσεις για τη χρήση του OpenID Connect στις πύλες
Σημείωση
Από τις 12 Οκτωβρίου 2022, οι πύλες του Power Apps είναι Power Pages. Περισσότερες πληροφορίες: Το Microsoft Power Pages είναι πλέον γενικά διαθέσιμο (ιστολόγιο)
Σύντομα θα μετεγκαταστήσουμε και θα συγχωνεύσουμε την τεκμηρίωση των πυλών Power Apps με την τεκμηρίωση Power Pages.
Αυτό το άρθρο περιλαμβάνει πληροφορίες σχετικά με συνηθισμένα σενάρια για πύλες Power Apps και συνήθεις ερωτήσεις σχετικά με τη χρήση μιας υπηρεσίας παροχής ελέγχου ταυτότητας που συμμορφώνεται με την προδιαγραφή του OpenID Connect.
Απαιτείται OpenID Connect Auto-Discovery Document για ενοποίηση με πύλες;
Ναι. Το Auto-Discovery Document (επίσης γνωστό ως /.well-known/openid-configuration) απαιτείται για την ενοποίηση με πύλες. Οι πληροφορίες που υπάρχουν σε αυτό το έγγραφο χρησιμοποιούνται από τις πύλες για τη δημιουργία αιτήσεων εξουσιοδότησης και επικυρώνουν τα διακριτικά ελέγχου ταυτότητας.
Εάν η υπηρεσία παροχής ταυτότητας δεν παρέχει αυτό το έγγραφο, μπορείτε να το δημιουργήσετε με μη αυτόματο τρόπο και να το φιλοξενήσετε σε οποιαδήποτε δημόσια θέση (συμπεριλαμβανομένης της πύλης σας).
Σημείωση
Παρόμοιο με το έγγραφο εντοπισμού, οι πύλες απαιτούν επίσης η υπηρεσία παροχής ταυτότητας να παρέχει ένα δημόσιο τελικό σημείο JWKS URI όπου τα δημόσια κλειδιά είναι διαθέσιμα για επαλήθευση της υπογραφής του διακριτικού αναγνωριστικού. Αυτό το τελικό σημείο πρέπει να καθοριστεί στο έγγραφο εντοπισμού ως κλειδί jwks_uri.
Οι πύλες υποστηρίζουν παραμέτρους αιτημάτων acr_values στις αιτήσεις ελέγχου ταυτότητας;
Όχι. Οι πύλες δεν υποστηρίζουν παραμέτρους αιτημάτων acr_values στις αιτήσεις ελέγχου ταυτότητας. Ωστόσο, οι πύλες δεν υποστηρίζουν όλες τις απαιτούμενες—και συνιστώμενες—παραμέτρους αιτημάτων που καθορίζονται στις προδιαγραφές του OpenId Connect.
Υποστηρίζονται οι παρακάτω λειτουργικές παράμετροι:
- Response_mode
- Nonce
- UI_Locales
Οι πύλες υποστηρίζουν τις παραμέτρους προσαρμοσμένου εύρους στις αιτήσεις ελέγχου ταυτότητας;
Ναι. Οι παράμετροι προσαρμοσμένου εύρους μπορούν να καθοριστούν με χρήση της επιλογής εύρους στη ρύθμιση παραμέτρων.
Γιατί η τιμή ονόματος χρήστη στην επαφή ή η εξωτερική καρτέλα ταυτότητας στο Dataverse, εμφανίζει μια διαφορετική τιμή σε σχέση με αυτό που έχει εισαγάγει ο χρήστης στη σελίδα εισόδου;
Το πεδίο ονόματος χρήστη στην καρτέλα επαφής και η εξωτερική καρτέλα ταυτότητας, θα εμφανίσουν την τιμή που έχει σταλεί είτε στο στοιχείο δευτερεύουσας αξίωσης είτε στην αξίωση αναγνωριστικού αντικειμένου (OID) (για υπηρεσίες παροχής που βασίζονται μόνο στην έκδοση Azure AD–). Αυτό οφείλεται στο γεγονός ότι η δευτερεύουσα αξίωση αντιπροσωπεύει το αναγνωριστικό για τον τελικό χρήστη και είναι εγγυημένη από τον παροχέα ταυτότητας για να είναι μοναδική. Μια OID αξίωση (όπου το αναγνωριστικό αντικειμένου είναι ένα μοναδικό αναγνωριστικό για όλους τους χρήστες σε ένα μισθωτή) υποστηρίζεται όταν χρησιμοποιείται με υπηρεσίες παροχής που βασίζονται σε έναν μισθωτή Azure AD–.
Οι πύλες υποστηρίζουν την αποσύνδεση από υπηρεσίες παροχής που βασίζονται στο–OpenId Connect;
Ναι. Οι πύλες υποστηρίζουν την τεχνική αποσύνδεσης του μπροστινού καναλιού για αποσύνδεση τόσο από την εφαρμογή όσο και από τις υπηρεσίες παροχής που βασίζονται στο–OpenId Connect.
Οι πύλες υποστηρίζουν μόνο απλή αποσύνδεση;
Όχι. Οι πύλες δεν υποστηρίζουν την τεχνική αποσύνδεσης για υπηρεσίες παροχής που βασίζονται σε–OpenID Connect.
Οι πύλες απαιτούν συγκεκριμένες αξιώσεις στο διακριτικό αναγωριστικού*;
Εκτός από όλους τους απαιτούμενους ισχυρισμούς, η πύλη απαιτεί μια αξίωση που αντιπροσωπεύει τη διεύθυνση ηλεκτρονικού ταχυδρομείου των χρηστών στο διακριτικό αναγνωριστικού. Αυτός ο ισχυρισμός πρέπει να ονομαστεί email, emails ή upn.
Εκτός από όλους τους απαιτούμενους ισχυρισμούς, η πύλη απαιτεί μια αξίωση που αντιπροσωπεύει τη διεύθυνση ηλεκτρονικού ταχυδρομείου των χρηστών στο id_token. Αυτός ο ισχυρισμός πρέπει να ονομαστεί ως "ηλεκτρονικό ταχυδρομείο", "μηνύματα ηλεκτρονικού ταχυδρομείου" ή "upn".
Αυτές οι αξιώσεις υπόκεινται σε επεξεργασία στο με την ακόλουθη σειρά προτεραιότητας για να ορίσετε ως την Κύρια διεύθυνση ηλεκτρονικού ταχυδρομείου της καρτέλας επαφής στο Dataverse:
- Ηλεκτρονικό ταχυδρομείο
- μηνύματα ηλεκτρονικού ταχυδρομείου
- upn
Όταν χρησιμοποιείται, το "emailclaimsmapping" χρησιμοποιείται επίσης για την αναζήτηση μιας υπάρχουσας επαφής (κύριο πεδίο διεύθυνσης ηλεκτρονικού ταχυδρομείου στο Dataverse).
Μπορώ να έχω πρόσβαση σε διακριτικά (ID ή πρόσβαση) με χρήση JavaScript;
Όχι. Το διακριτικό αναγνωριστικού που παρέχεται από τον παροχέα ταυτότητας δεν είναι διαθέσιμα μέσω οποιασδήποτε τυπικής τεχνικής από την πλευρά του προγράμματος-πελάτη, χρησιμοποιείται μόνο για λόγους ελέγχου ταυτότητας. Ωστόσο, εάν χρησιμοποιείτε ροή έμμεσης εκχώρησης, μπορείτε να χρησιμοποιήσετε τις μεθόδους που παρέχονται από τον παροχέα ταυτοτήτων σας για να αποκτήσετε πρόσβαση σε διακριτικά αναγνωριστικού ή πρόσβασης.
Για παράδειγμα, το Azure AD παρέχει τη Βιβλιοθήκη ελέγχου ταυτότητας της Microsoft για την επίτευξη αυτού του σεναρίου στα προγράμματα-πελάτες.
Μπορώ να χρησιμοποιήσω μια προσαρμοσμένη υπηρεσία παροχής OpenID Connect αντί του Azure AD;
Ναι. Οι πύλες υποστηρίζουν οποιαδήποτε υπηρεσία παροχής OpenID Connect η οποία υποστηρίζει τις τυπικές προδιαγραφές του OpenID Connect.
Δείτε επίσης
Ρύθμιση παραμέτρων της υπηρεσίας παροχής OpenID Connect για πύλες
Σημείωση
Μπορείτε να μας πείτε ποια γλώσσα προτιμάτε για την τεκμηρίωση; Πάρτε μέρος σε μια σύντομη έρευνα. (σημειώνεται ότι αυτή η έρευνα είναι στα Αγγλικά)
Η έρευνα θα διαρκέσει περίπου επτά λεπτά. Δεν συλλέγονται προσωπικά δεδομένα (δήλωση προστασίας προσωπικών δεδομένων).
Σχόλια
Σύντομα διαθέσιμα: Καθ' όλη τη διάρκεια του 2024 θα καταργήσουμε σταδιακά τα ζητήματα GitHub ως μηχανισμό ανάδρασης για το περιεχόμενο και θα το αντικαταστήσουμε με ένα νέο σύστημα ανάδρασης. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα: https://aka.ms/ContentUserFeedback.
Υποβολή και προβολή σχολίων για