OpenID Connecti pakkuja konfigureerimine portaalide jaoks
Märkus
Alates 12. oktoobrist 2022 on Power Appsi portaalid Power Pages. Lisateave: Microsoft Power Pages on nüüd üldiselt saadaval (ajaveebipostitus)
Peagi migreerime ja ühendame Power Appsi portaalide dokumentatsiooni Power Pagesi dokumentatsiooniga.
OpenID Connecti välised identiteedipakkujad on teenused, mis on kohandatud Open ID Connecti spetsifikatioonidele. OpenID Connect tutvustab mõistet ID-luba, mis on turvaluba ja võimaldab kliendil kontrollida kasutaja identiteeti. ID-luba saab ka põhiprofiili teavet kasutaja kohta,—mida nimetatakse nõueteks.
Selles artiklis kirjeldatakse, kuidas OpenID Connecti toetavat identiteedipakkujat saab integreerida Power Appsi portaalidesse. Mõned näited OpenID Connecti pakkujatest portaalidele: Azure Active Directory (Azure AD) B2C, Azure AD, Azure AD mitme rentniku jaoks.
Toetatud ja mittetoetatud autentimise vood portaalis
- Varjatud protokoll
- See voog on portaalides kasutatav vaikimisi autentimise meetod.
- Autoriseerimiskood
- Portaalid kasutavad meetodit client_secret_post, et suhelda loa lõpp-punkti identiteedi serveriga.
- Meetodi private_key_jwt kasutamist loa lõpp-punkti autentimiseks ei toetata.
- Hübriid (piiratud tugi)
- Portaalid nõuavad, et id_token oleks vastuses olemas, seega parameetrit response_type ei toetata koodi loana.
- Portaalide hübriidivoog järgib sama voogu, mis varjatud protokolli voog, ja kasutab id_token otse kasutajate sisselogimiseks.
- Portaalid ei toeta kasutajate autentimiseks PKCE-l–põhinevaid tehnikaid (koodi vahetuse tõendivõti).
Märkus
Autentimissätete muutuste kajastumiseks portaalis võib kuluda mõni minut. Taaskäivitage portaal, kasutades portaali toiminguid, juhul kui soovite muudatused kohe kajastada.
OpenID Connecti pakkuja konfigureerimine
Sarnaselt kõigile teistele teenusepakkujatele peate sisse logima Power Apps OpenID Connecti teenusepakkuja konfigureerimiseks.
Valige oma portaali jaoks Lisa pakkuja.
Tehke jaotises Sisselogimispakkuja valik Muu.
Tehke jaotises Protokoll valik OpenID Connect.
Sisestage teenusepakkuja nimi.
Tehke valik Edasi.
Looge rakendus ja konfigureerige identiteedipakkuja sätted.
Märkus
Rakendus kasutab vastuse URL-i kasutajate ümbersuunamiseks portaali pärast autentimise õnnestumist. Kui teie portaal kasutab kohandatud domeeninime, võib teil olla siin esitatust erinev URL.
Sisestage portaali konfiguratsiooni järgmised saidisätted.
Märkus
Veenduge, et kontrolliksite—ja vajadusel muudaksite—vaikeväärtusi.
Nimetus Kirjeldus Ametiasutus Identiteedipakkujaga seostatud ametiasutuse (või väljaandja) URL.
Näide (Azure AD) :https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/
Kliendi ID: Portaalis kasutatav selle identiteedipakkujaga loodud rakenduse ID. Ümbersuunamis-URL Asukoht, kuhu identiteedipakkuja saadab autentimise vastuse.
Näide:https://contoso-portal.powerappsportals.com/signin-openid_1
Märkus. Kui kasutate rakenduse portaali URL-i, saate kopeerida ja kleepida vastuse URL-i nagu on näidatud etapis OpenID Connecti pakkuja sätete loomine ja konfigureerimine. Kui kasutate kohandatud domeeninime, siis sisestage URL käsitsi. Veenduge, et siia sisestatud väärtus oleks täpselt samasugune kui rakenduse identiteedipakkuja konfiguratsioonis (nt Azure'i portaalis) olevate andmete ümbersuunamise URI väärtus.Metaandmete aadress Tuvastatud lõpp-punkt metaandmete saamiseks. Levinud vorming: [Authority URL]/.well-known/openID-configuration.
Näide (Azure AD) :https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/v2.0/.well-known/openid-configuration
Scope Tühikutega eraldatud ulatuste loend ulatuse parameetri taotlemiseks OpenID Connecti kaudu.
Vaikeväärtus:openid
Näide (Azure AD) :openid profile email
Lisateave: Täiendavate nõuete konfigureerimine kui kasutate portaalides OpenID Connecti koos Azure AD-isVastuse tüüp OpenID Connecti parameetri response_type väärtus.
Võimalikud väärtused on:-
code
-
code id_token
-
id_token
-
id_token token
-
code id_token token
Vaikeväärtus:code id_token
Kliendi saladus Kliendi saladuse väärtus teenusepakkuja rakendusest. Sellele võidakse viidata ka kui rakenduse saladus või tarbijasaladus. See säte on nõutav juhul, kui valitud vastuse tüüp on code
.Tagasiside režiim OpenID Connecti parameetri response_mode väärtus. Väärtus peaks olema query
, kui valitud vastuse tüüp oncode
. Vaikeväärtus:form_post
-
Konfigureerige sätted kasutajate väljalogimiseks.
Nimetus Kirjeldus Väline väljalogimine Lubab või keelab väliskonto väljalogimise. Kui see on lubatud, suunatakse kasutajad portaalist väljalogimisel ümber välise väljalogimise kasutajakogemusele. Kui see on keelatud, logitakse kasutaja välja ainult portaalist. Väljalogimisjärgse ümbersuunamise URL Asukoht, kuhu identiteedipakkuja suunab kasutaja pärast väljalogimist. See asukoht tuleks määrata asjakohaselt ka identiteedipakkuja konfiguratsioonis. RP algatatud väljalogimine Lubab või keelab viidatud osapoole algatatud väljalogimist. Selle sätte kasutamiseks tuleb esmalt lubada väline väljalogimine. (Valikuline) Lisaseadete konfigureerimine.
Nimetus Kirjeldus Väljaandja filter Metamärgil põhinev filter, mis vastab kõikidele väljastajatele kõikides rentnikes.
Näide:https://sts.windows.net/*/
Kinnita sihtrühm Kui see on lubatud, kinnitatakse sihtrühm loa valideerimisel. Sobivad sihtrühmad Sihtrühma URL-ide komaga eraldatud loend. Kinnita väljaandjad Kui see on lubatud, kinnitatakse väljaandja loa valideerimisel. Sobivad väljaandjad Väljaandja URL-ide komaga eraldatud loend. Registreerimisnõuete vastendamine Loogilist nime nõudva paari loend, mille abil saate vastendada pakkujalt saadud nõude väärtused kontakti kirje atribuutide registreerimise ajal.
Vorming:field_logical_name=jwt_attribute_name
, kusfield_logical_name
on portaalide ühe välja loogiline nimi jajwt_attribute_name
on atribuut, mis tagastatakse identiteedi pakkujalt.
Näide:firstname=given_name,lastname=family_name
, kui kasutate Azure AD puhul ulatust väärtusenaprofile
. Selles näitesfirstname
jalastname
on portaalide reeglite väljade loogilised nimed ninggiven_name
jafamily_name
on atribuudid, mis on seotud identiteedipakkuja vastavate väljade väärtustega.Sisselogimisnõuete vastendamine Loogilist nime nõudva paari loend, mille abil saate vastendada pakkujalt saadud nõude väärtused iga sisselogimise korral kontakti kirje atribuutide registreerimise ajal.
Vorming:field_logical_name=jwt_attribute_name
, kusfield_logical_name
on portaalide ühe välja loogiline nimi jajwt_attribute_name
on atribuut, mis tagastatakse identiteedi pakkujalt.
Näide:firstname=given_name,lastname=family_name
, kui kasutate Azure AD puhul ulatust väärtusenaprofile
. Selles näitesfirstname
jalastname
on portaalide reeglite väljade loogilised nimed ninggiven_name
jafamily_name
on atribuudid, mis on seotud identiteedipakkuja vastavate väljade väärtustega.Juhuparameetri eluiga Nonss väärtuse eluiga minutites. Vaikesäte: 10 minutit. Kasutustõendi eluaeg Näitab, et autentimisseansi eluiga (nt küpsised) peaks ühtima autentimissõnega. Kui see suvand on määratud, kirjutab see väärtus üle rakenduse küpsise kehtivuse ajavahemiku saidisättes Authentication/ApplicationCookie/ExpireTimeSpan. Kontaktide vastendamine meiliaadressidega Täpsustage, kas kontaktid kaardistatakse vastava meiliaadressi juurde.
Kui väärtuseks on Sees, seostatakse kordumatu kontaktikirje vastava meiliaadressiga ning määrab pärast õnnestunud sisselogimist automaatselt kliendile välise identiteedi teenusepakkuja.Märkus
UI_Locales päringuparameeter saadetakse nüüd autentimistaotluses automaatselt ja see määratakse portaalis valitud keeleks.
OpenID Connecti pakkuja muutmine
Konfigureeritud OpenID Connecti teenusepakkuja muutmiseks lugege jaotist Teenusepakkuja muutmine.
Vaata ka
OpenID Connecti pakkuja konfigureerimine portaalide jaoks Azure AD abil
KKK OpenID Connecti kasutamise kohta portaalides
Märkus
Kas saaksite meile dokumentatsiooniga seotud keele-eelistustest teada anda? Osalege lühikeses uuringus. (Uuring on ingliskeelne.)
Uuringus osalemine võtab umbes seitse minutit. Isikuandmeid ei koguta (privaatsusavaldus).
Tagasiside
https://aka.ms/ContentUserFeedback.
Varsti tulekul: 2024. aasta jooksul tühistame GitHubi probleemide funktsiooni sisutagasiside mehhanismina ja asendame selle uue tagasisidesüsteemiga. Lisateabe saamiseks vtEsita ja vaata tagasisidet