OpenID Connecti pakkuja konfigureerimine portaalide jaoks

  • Artikkel

Märkus

Alates 12. oktoobrist 2022 on Power Appsi portaalid Power Pages. Lisateave: Microsoft Power Pages on nüüd üldiselt saadaval (ajaveebipostitus)
Peagi migreerime ja ühendame Power Appsi portaalide dokumentatsiooni Power Pagesi dokumentatsiooniga.

OpenID Connecti välised identiteedipakkujad on teenused, mis on kohandatud Open ID Connecti spetsifikatioonidele. OpenID Connect tutvustab mõistet ID-luba, mis on turvaluba ja võimaldab kliendil kontrollida kasutaja identiteeti. ID-luba saab ka põhiprofiili teavet kasutaja kohta,—mida nimetatakse nõueteks.

Selles artiklis kirjeldatakse, kuidas OpenID Connecti toetavat identiteedipakkujat saab integreerida Power Appsi portaalidesse. Mõned näited OpenID Connecti pakkujatest portaalidele: Azure Active Directory (Azure AD) B2C, Azure AD, Azure AD mitme rentniku jaoks.

Toetatud ja mittetoetatud autentimise vood portaalis

  • Varjatud protokoll
    • See voog on portaalides kasutatav vaikimisi autentimise meetod.
  • Autoriseerimiskood
    • Portaalid kasutavad meetodit client_secret_post, et suhelda loa lõpp-punkti identiteedi serveriga.
    • Meetodi private_key_jwt kasutamist loa lõpp-punkti autentimiseks ei toetata.
  • Hübriid (piiratud tugi)
    • Portaalid nõuavad, et id_token oleks vastuses olemas, seega parameetrit response_type ei toetata koodi loana.
    • Portaalide hübriidivoog järgib sama voogu, mis varjatud protokolli voog, ja kasutab id_token otse kasutajate sisselogimiseks.
  • Portaalid ei toeta kasutajate autentimiseks PKCE-l–põhinevaid tehnikaid (koodi vahetuse tõendivõti).

Märkus

Autentimissätete muutuste kajastumiseks portaalis võib kuluda mõni minut. Taaskäivitage portaal, kasutades portaali toiminguid, juhul kui soovite muudatused kohe kajastada.

OpenID Connecti pakkuja konfigureerimine

Sarnaselt kõigile teistele teenusepakkujatele peate sisse logima Power Apps OpenID Connecti teenusepakkuja konfigureerimiseks.

  1. Valige oma portaali jaoks Lisa pakkuja.

  2. Tehke jaotises Sisselogimispakkuja valik Muu.

  3. Tehke jaotises Protokoll valik OpenID Connect.

  4. Sisestage teenusepakkuja nimi.

    Pakkuja nimi.

  5. Tehke valik Edasi.

  6. Looge rakendus ja konfigureerige identiteedipakkuja sätted.

    Rakenduse loomine.

    Märkus

    Rakendus kasutab vastuse URL-i kasutajate ümbersuunamiseks portaali pärast autentimise õnnestumist. Kui teie portaal kasutab kohandatud domeeninime, võib teil olla siin esitatust erinev URL.

  7. Sisestage portaali konfiguratsiooni järgmised saidisätted.

    OpenID saidisätete konfigureerimine.

    Märkus

    Veenduge, et kontrolliksite—ja vajadusel muudaksite—vaikeväärtusi.

    Nimetus Kirjeldus
    Ametiasutus Identiteedipakkujaga seostatud ametiasutuse (või väljaandja) URL.
    Näide (Azure AD) : https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/
    Kliendi ID: Portaalis kasutatav selle identiteedipakkujaga loodud rakenduse ID.​
    Ümbersuunamis-URL Asukoht, kuhu identiteedipakkuja saadab autentimise vastuse.
    Näide: https://contoso-portal.powerappsportals.com/signin-openid_1
    Märkus. Kui kasutate rakenduse portaali URL-i, saate kopeerida ja kleepida vastuse URL-i nagu on näidatud etapis OpenID Connecti pakkuja sätete loomine ja konfigureerimine. Kui kasutate kohandatud domeeninime, siis sisestage URL käsitsi. Veenduge, et siia sisestatud väärtus oleks täpselt samasugune kui rakenduse identiteedipakkuja konfiguratsioonis (nt Azure'i portaalis) olevate andmete ümbersuunamise URI väärtus.
    Metaandmete aadress Tuvastatud lõpp-punkt metaandmete saamiseks. Levinud vorming: [Authority URL]/.well-known/openID-configuration.
    Näide (Azure AD) : https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/v2.0/.well-known/openid-configuration
    Scope Tühikutega eraldatud ulatuste loend ulatuse parameetri taotlemiseks OpenID Connecti kaudu.
    Vaikeväärtus: openid
    Näide (Azure AD) : openid profile email
    Lisateave: Täiendavate nõuete konfigureerimine kui kasutate portaalides OpenID Connecti koos Azure AD-is
    Vastuse tüüp ​OpenID Connecti parameetri response_type väärtus.
    Võimalikud väärtused on:
    • code
    • code id_token
    • id_token
    • id_token token
    • code id_token token

    Vaikeväärtus: code id_token
    Kliendi saladus Kliendi saladuse väärtus teenusepakkuja rakendusest. Sellele võidakse viidata ka kui rakenduse saladus või tarbijasaladus. See säte on nõutav juhul, kui valitud vastuse tüüp on code.
    Tagasiside režiim ​OpenID Connecti parameetri response_mode väärtus. Väärtus peaks olema query, kui valitud vastuse tüüp on code. Vaikeväärtus: form_post

  8. Konfigureerige sätted kasutajate väljalogimiseks.

    Väljalogimissätted.

    Nimetus Kirjeldus
    Väline väljalogimine Lubab või keelab väliskonto väljalogimise. Kui see on lubatud, suunatakse kasutajad portaalist väljalogimisel ümber välise väljalogimise kasutajakogemusele. Kui see on keelatud, logitakse kasutaja välja ainult portaalist.
    Väljalogimisjärgse ümbersuunamise URL​ ​Asukoht, kuhu identiteedipakkuja suunab kasutaja pärast väljalogimist. See asukoht tuleks määrata asjakohaselt ka identiteedipakkuja konfiguratsioonis.
    RP algatatud väljalogimine Lubab või keelab viidatud osapoole algatatud väljalogimist. Selle sätte kasutamiseks tuleb esmalt lubada väline väljalogimine.

  9. (Valikuline) Lisaseadete konfigureerimine.

    Lisasätted.

    Nimetus Kirjeldus
    Väljaandja filter Metamärgil põhinev filter, mis vastab kõikidele väljastajatele kõikides rentnikes.
    Näide: https://sts.windows.net/*/
    Kinnita sihtrühm ​Kui see on lubatud, kinnitatakse sihtrühm loa valideerimisel.
    Sobivad sihtrühmad Sihtrühma URL-ide komaga eraldatud loend.
    Kinnita väljaandjad Kui see on lubatud, kinnitatakse väljaandja loa valideerimisel.
    Sobivad väljaandjad Väljaandja URL-ide komaga eraldatud loend.
    Registreerimisnõuete vastendamine Loogilist nime nõudva paari loend, mille abil saate vastendada pakkujalt saadud nõude väärtused kontakti kirje atribuutide registreerimise ajal.
    Vorming: field_logical_name=jwt_attribute_name, kus field_logical_name on portaalide ühe välja loogiline nimi ja jwt_attribute_name on atribuut, mis tagastatakse identiteedi pakkujalt.
    Näide: firstname=given_name,lastname=family_name, kui kasutate Azure AD puhul ulatust väärtusena profile. Selles näites firstname ja lastname on portaalide reeglite väljade loogilised nimed ning given_name ja family_name on atribuudid, mis on seotud identiteedipakkuja vastavate väljade väärtustega.
    Sisselogimisnõuete vastendamine Loogilist nime nõudva paari loend, mille abil saate vastendada pakkujalt saadud nõude väärtused iga sisselogimise korral kontakti kirje atribuutide registreerimise ajal.
    Vorming: field_logical_name=jwt_attribute_name, kus field_logical_name on portaalide ühe välja loogiline nimi ja jwt_attribute_name on atribuut, mis tagastatakse identiteedi pakkujalt.
    Näide: firstname=given_name,lastname=family_name, kui kasutate Azure AD puhul ulatust väärtusena profile. Selles näites firstname ja lastname on portaalide reeglite väljade loogilised nimed ning given_name ja family_name on atribuudid, mis on seotud identiteedipakkuja vastavate väljade väärtustega.
    Juhuparameetri eluiga Nonss väärtuse eluiga minutites. Vaikesäte: 10 minutit.
    Kasutustõendi eluaeg Näitab, et autentimisseansi eluiga (nt küpsised) peaks ühtima autentimissõnega. Kui see suvand on määratud, kirjutab see väärtus üle rakenduse küpsise kehtivuse ajavahemiku saidisättes Authentication/ApplicationCookie/ExpireTimeSpan.
    Kontaktide vastendamine meiliaadressidega Täpsustage, kas kontaktid kaardistatakse vastava meiliaadressi juurde.
    Kui väärtuseks on Sees, seostatakse kordumatu kontaktikirje vastava meiliaadressiga ning määrab pärast õnnestunud sisselogimist automaatselt kliendile välise identiteedi teenusepakkuja.

    Märkus

    UI_Locales päringuparameeter saadetakse nüüd autentimistaotluses automaatselt ja see määratakse portaalis valitud keeleks.

OpenID Connecti pakkuja muutmine

Konfigureeritud OpenID Connecti teenusepakkuja muutmiseks lugege jaotist Teenusepakkuja muutmine.

Vaata ka

OpenID Connecti pakkuja konfigureerimine portaalide jaoks Azure AD abil
KKK OpenID Connecti kasutamise kohta portaalides

Märkus

Kas saaksite meile dokumentatsiooniga seotud keele-eelistustest teada anda? Osalege lühikeses uuringus. (Uuring on ingliskeelne.)

Uuringus osalemine võtab umbes seitse minutit. Isikuandmeid ei koguta (privaatsusavaldus).