OpenID Connect -palveluntarjoajan asetusmääritykset portaaleille

Ulkoiset OpenID Connect-tunnistetietopalvelut noudattavat OpenID Connect -määrityksiä. Tarjoajan integrointiin sisältyy tarjoajaan liitetyn myöntämisen URL-osoitteen etsintä. Määrityksen URL-osoite voidaan määrittää myöntäjältä, joka tuottaa metatiedot todennuksen työnkulun aikana. Palveluntarjoajan asetukset perustuvat OpenIdConnectAuthenticationOptions-luokan ominaisuuksiin.

Esimerkkejä myöntäjän URL-osoitteista:

Jokainen OpenID Connect -palveluntarjoaja on rekisteröitävä sovellukseksi (samaan tapaan kuin OAuth 2.0 -palveluntarjoaja) ja sille on hankittava asiakastunnus. Myöntäjän URL-osoite ja sovellukselle luotu asiakastunnus ovat asetukset, joita tarvitaan portaalin ja käyttäjätietopalvelun väliseen ulkoiseen todentamiseen.

Huomautus

Googlen OpenID Connect -päätepiste ei ole tällä hetkellä tuettu, koska pohjana olevat kirjastot ovat yhä alkuvaiheessa, josta johtuen niissä on vielä ratkaistavia yhteensopivuusongelmia. OAuth2-palveluntarjoajan asetukset portaaleille -päätepiste on käytettävissä sen sijaan.

OpenID-asetukset Azure Active Directorylle

Aloita kirjautumalla Azure-hallintaportaaliin ja luo tai valitse aiemmin luotu hakemisto. Kun hakemisto on käytettävissä, lisää sovellus hakemistoon ohjeiden mukaisesti.

  1. Valitse hakemiston Sovellukset-valikossa Lisää.

  2. Valitse Lisää oman organisaation kehittämä sovellus.

  3. Määritä sovellukselle mukautettu nimi ja valitse sen tyypiksi verkkosovellus ja/tai -rajapinta.

  4. Määritä sekä Kirjautusmissivun URL-osoite että Sovelluksen tunnus -URI -kenttiin portaalin URL-osoite https://portal.contoso.com/

  5. Uusi sovellus luodaan tässä vaiheessa. Siirry valikon Määritä-osaan.

    Päivitä kertakirjautuminen-osan mukaisesti ensimmäiseen Vastauksen URL-osoite-tapahtumaan URL-polku: https://portal.contoso.com/signin-azure-ad Tämä vastaa sivuston RedirectUri-asetusarvoa

  6. Etsi Ominaisuudet-osasta Asiakastunnus-kenttä. Tämä vastaa sivuston ClientId-asetusarvoa.

  7. Valitse alatunnisteen valikossa Näytä päätepisteet ja huomaa Yhdistämisen metatietoasiakirja -kenttä

URL-osoitteen vasemmanpuoleinen osa on myöntäjän arvo, joka on jossakin seuraavista muodoista:

Saat palvelun kokoonpanon URL-osoite korvaamalla FederationMetadata/2007-06/FederationMetadata.xml:n polun kannan seuraavalla polulla .well-known/openid-configuration. Esim. https://login.microsoftonline.com/contoso.onmicrosoft.com/.well-known/openid-configuration

Tämä vastaa sivuston MetadataAddress-asetusarvoa.

Käytä portaalisivuston asetuksia viitaten edellä luotuun sovellukseen.

Huomautus

Azure-vakiokokoonpano käyttää vain seuraavia asetuksia (arvot esimerkkejä):

Useita tunnistetietojen toimittajia voidaan määrittää korvaamalla otsikko [provider] -tunnisteella. Kukin yksilöllinen otsikko muodostaa joukon tunnistetietopalveluun liittyviä asetuksia. Esimerkkejä: AzureAD, MyIdP

Sivuston asetuksen nimi Kuvaus
Authentication/Registration/ExternalLoginEnabled Ottaa käyttöön tai poistaa ulkoisella tilillä kirjautumisen ja rekisteröinnin. Oletus: tosi
Authentication/OpenIdConnect/[provider]/Authority Pakollinen. OpenIDConnect-kutsuissa käytettävä myöntäjä. Esimerkki: https://login.microsoftonline.com/contoso.onmicrosoft.com/. Lisätietoja:OpenIdConnectAuthenticationOptions.Authority.
Authentication/OpenIdConnect/[provider]/MetadataAddress Metatietojen hankinnan etsimisen päätepiste. Päättyy yleensä polkuun: /.well-known/openid-configuration. Esimerkki: https://login.microsoftonline.com/contoso.onmicrosoft.com/.well-known/openid-configuration. Lisätietoja:OpenIdConnectAuthenticationOptions.MetadataAddress.
Authentication/OpenIdConnect/[provider]/AuthenticationType OWIN-väliohjelmistotodennuksen tyyppi. Määritä myöntäjän arvo palvelun kokoonpanon metatietoihin. Esimerkki: https://sts.windows.net/contoso.onmicrosoft.com/. Lisätietoja: AuthenticationOptions.AuthenticationType.
Authentication/OpenIdConnect/[provider]/ClientId Pakollinen. Asiakkaan tunnus -arvon toimittajan sovelluksesta. Tämä voi myös käyttää nimeä "App ID" tai "Consumer Key". Lisätietoja: OpenIdConnectAuthenticationOptions.ClientId.
Authentication/OpenIdConnect/[provider]/ClientSecret Asiakkaan piilokoodi -arvo toimittajan sovelluksesta. Tämä voi myös käyttää nimeä "App Secret" tai "Consumer Secret". Lisätietoja: OpenIdConnectAuthenticationOptions.ClientSecret.
Authentication/OpenIdConnect/[provider]/RedirectUri Suositeltava. AD FS:n WS-yhdistämisen passiivinen päätepiste. Esimerkki: https://portal.contoso.com/signin-saml2. Lisätietoja: OpenIdConnectAuthenticationOptions.RedirectUri.
Authentication/OpenIdConnect/[provider]/Caption Suositeltava. Teksti, jonka käyttäjä voi näyttää kirjautumisen käyttöliittymässä. Oletus: [provider]. Lisätietoja: OpenIdConnectAuthenticationOptions.Caption.
Authentication/OpenIdConnect/[provider]/Resource "resource"-arvo Lisätietoja: OpenIdConnectAuthenticationOptions.Resource.
Authentication/OpenIdConnect/[provider]/ResponseType response_type. Lisätietoja: OpenIdConnectAuthenticationOptions.ResponseType.
Authentication/OpenIdConnect/[provider]/Scope Välilyönneillä erotettu luettelo pyydettävistä oikeuksista. Oletus: openid. Lisätietoja: OpenIdConnectAuthenticationOptions.Scope .
Authentication/OpenIdConnect/[provider]/CallbackPath Valinnainen rajoitettu polku, jota voi käyttää todennuksen takaisinsoitossa. Jos näitä ei anneta ja RedirectUri on käytettävissä, tämä arvo muodostetaan RedirectUri-arvon perusteella. Lisätietoja: OpenIdConnectAuthenticationOptions.CallbackPath.
Authentication/OpenIdConnect/[provider]/BackchannelTimeout Taustakanavayhteyksien aikakatkaisuarvo. Esimerkki: 00:05:00 (5 minuuttia). Lisätietoja: OpenIdConnectAuthenticationOptions.BackchannelTimeout.
Authentication/OpenIdConnect/[provider]/RefreshOnIssuerKeyNotFound Määrittää, yritetäänkö metatietojen päivitystä uudelleen SecurityTokenSignatureKeyNotFoundException-virheen jälkeen. Lisätietoja: OpenIdConnectAuthenticationOptions.RefreshOnIssuerKeyNotFound.
Authentication/OpenIdConnect/[provider]/UseTokenLifetime Ilmaisee, että todennusistunnon keston (esim. evästeet) tulisi vastata todennustunnusta. Lisätietoja: OpenIdConnectAuthenticationOptions.UseTokenLifetime.
Authentication/OpenIdConnect/[provider]/AuthenticationMode OWIN-väliohjelmistotodennuksen tila. Lisätietoja: AuthenticationOptions.AuthenticationMode.
Authentication/OpenIdConnect/[provider]/SignInAsAuthenticationType System.Security.Claims.ClaimsIdentityn luomisessa käytetty AuthenticationType. Lisätietoja: OpenIdConnectAuthenticationOptions.SignInAsAuthenticationType.
Authentication/OpenIdConnect/[provider]/PostLogoutRedirectUri post_logout_redirect_uri. Lisätietoja: OpenIdConnectAuthenticationOptions.PostLogoutRedirectUri.
Authentication/OpenIdConnect/[provider]/ValidAudiences Pilkuin erotettu luettelo yleisön URL-osoitteista. Lisätietoja: TokenValidationParameters.AllowedAudiences.
Authentication/OpenIdConnect/[provider]/ValidIssuers Pilkuin erotettu luettelo myöntäjän URL-osoitteista. Lisätietoja: TokenValidationParameters.ValidIssuers.
Authentication/OpenIdConnect/[provider]/ClockSkew Kellonajan korjaus, jota käytetään aikojen vahvistamisessa.
Authentication/OpenIdConnect/[provider]/NameClaimType ClaimsIdentity-objektin nimivaatimuksen tallentamiseen käyttämä vaatimustyyppi.
Authentication/OpenIdConnect/[provider]/RoleClaimType ClaimsIdentity-objektin roolivaatimuksen tallentamiseen käyttämä vaatimustyyppi.
Authentication/OpenIdConnect/[provider]/RequireExpirationTime Arvo, joka ilmaisee tunnusten vanhenemisarvon pakollisuuden.
Authentication/OpenIdConnect/[provider]/RequireSignedTokens Arvo, joka ilmaisee, kelpaako System.IdentityModel.Tokens.SecurityToken xmlns=https://ddue.schemas.microsoft.com/authoring/2003/5, jos sitä ei ole allekirjoitettu.
Authentication/OpenIdConnect/[provider]/SaveSigninToken Totuusarvo, joka päättää tallennetaanko alkuperäinen tunnus kun istunto luodaan.
Authentication/OpenIdConnect/[provider]/ValidateActor Arvo, joka ilmaisee, tuleeko System.System.IdentityModel.Tokens.JwtSecurityToken.Actor vahvistaa.
Authentication/OpenIdConnect/[provider]/ValidateAudience Totuusarvo, jolla ohjataan yleisön vahvistusta tunnuksen vahvistuksen aikana.
Authentication/OpenIdConnect/[provider]/ValidateIssuer Totuusarvo, jolla ohjataan myöntäjän vahvistusta tunnuksen vahvistuksen aikana.
Authentication/OpenIdConnect/[provider]/ValidateLifetime Totuusarvo, jolla ohjataan elinkaaren vahvistusta tunnuksen vahvistuksen aikana.
Authentication/OpenIdConnect/[provider]/ValidateIssuerSigningKey Totuusarvo, joka määrittää, kutsutaanko System.IdentityModel.Tokens.SecurityKey-tunnuksen allekirjoittaneen securityToken xmlns=https://ddue.schemas.microsoft.com/authoring/2003/5-osan vahvistus

Todennuksen ottaminen käyttöön usean vuokraajan Azure Active Directory -sovelluksen avulla

Voit määrittää portaalin niin, että se hyväksyy Azure Active Directory -käyttäjät mistä tahansa Azuren vuokraajasta eikä vain tiettyä vuokraajaa, käyttämällä Azure Active Directoryn usean vuokraajan sovellusta. Voit ottaa useita vuokraajia käyttöön määrittämällä Useita vuokraajia -kohdan arvoksi Kyllä Azure Active Directory -sovelluksessa.

Ota käyttöön monitasoinen vuokraus Azure Active Directory -sovelluksessa

Useita tunnistetietojen toimittajia voidaan määrittää korvaamalla otsikko [provider]-tunnisteella. Kukin yksilöllinen otsikko muodostaa joukon tunnistetietopalveluun liittyviä asetuksia. Voit luoda tai määrittää seuraavat sivuston asetukset portaaleissa ja tukea Azure Active Directoryn todennusta useiden vuokraajien sovellusten avulla seuraavasti:

Sivuston asetuksen nimi Kuvaus
Authentication/OpenIdConnect/[provider]/Authority OpenIDConnect-kutsuissa käytettävä myöntäjä. Esimerkki: https://login.microsoftonline.com/common
Authentication/OpenIdConnect/[provider]/ClientId Asiakkaan tunnus -arvon toimittajan sovelluksesta. Nimenä voi olla myös App ID tai Consumer Key.
Authentication/OpenIdConnect/[provider]/ExternalLogoutEnabled Ottaa käyttöön tai poistaa ulkoiselta tililtä uloskirjautumisen ja rekisteröinnin. Määritä täksi arvoksi Tosi.
Authentication/OpenIdConnect/[provider]/IssuerFilter Yleismerkkiin perustuva suodatin, joka määrittää kaikkien vuokraajien kaikkien myöntäjien vastaavuudet. Useimmiten arvo on seuraava: https://sts.windows.net/*/
Authentication/OpenIdConnect/[provider]/RedirectUri Vastauksen URL-osoitteen sijainti, josta palveluntarjoaja lähettää todennuspyynnön. Esimerkki: https://portal.contoso.com/signin-oidc
Authentication/OpenIdConnect/[provider]/ValidateIssuer Totuusarvo, jolla ohjataan myöntäjän vahvistusta tunnuksen vahvistuksen aikana. Määritä täksi arvoksi Epätosi.

Katso myös

Portaalin todennuksen määrittäminen
Portaalin todennuksen tunnistetietojen asettaminen
OAuth2-palveluntarjoajan asetukset portaaleille
WS-yhdistämispalveluntarjoajan asetukset portaaleille
SAML 2.0 -palveluntarjoajan asetukset portaaleille