FAQ sur l’utilisation d’OpenID Connect dans les portails
Notes
À compter du 12 octobre 2022, le portail Power Apps devient Power Pages. Plus d’informations : Microsoft Power Pages est maintenant généralement disponible (blog)
Nous allons bientôt migrer et fusionner la documentation des portails Power Apps avec la documentation de Power Pages.
Cet article contient des informations sur les scénarios de portails Power Apps et questions fréquemment posées sur l’utilisation d’un fournisseur d’authentification conforme à la Spécification OpenID Connect.
Ai-je besoin d’un document de découverte automatique OpenId Connect pour l’intégrer à des portails ?
Oui. Le document de découverte automatique (également communément désigné sous le nom /.well-known/openid-configuration) est requis pour l’intégration aux portails. Les informations présentes dans ce document sont utilisées par les portails pour créer des demandes d’autorisation et valider les jetons d’authentification.
Si votre fournisseur d’identité (IDP) ne fournit pas ce document, vous pouvez le créer manuellement et l’héberger dans n’importe quel emplacement public (y compris votre portail).
Notes
À l’instar du document de découverte, les portails exigent également que le fournisseur d’identité fournisse un point de terminaison URI JWKS où les clés publiques sont disponibles pour vérifier la signature du jeton d’ID. Ce point de terminaison doit être spécifié dans le document de découverte en tant que clé jwks_uri.
Les portails prennent-ils en charge les paramètres de requête acr_values dans les requêtes d’authentification ?
Non. Les portails ne prennent pas en charge les paramètres de requête acr_values dans les requêtes d’autorisation. Cependant, la fonctionnalité des portails prend en charge tous les paramètres de requête requis — et recommandés — dans la Spécification OpenID Connect.
Les paramètres facultatifs suivants sont pris en charge :
- Response_mode
- Nonce
- UI_Locales
Les portails prennent-ils en charge les paramètres d’étendue personnalisés dans les requêtes d’authentification ?
Oui. Les paramètres d’étendue personnalisés peuvent être spécifiés à l’aide de l’option d’étendue pendant la configuration.
Pourquoi le nom d’utilisateur dans un enregistrement de contact ou un enregistrement d’identité externe dans Dataverse, affiche-t-il une valeur différente de celle saisie par l’utilisateur sur la page de connexion ?
Le champ Nom d’utilisateur d’un enregistrement de contact et d’un enregistrement d’identité externe affichent la valeur envoyée dans la sous-revendication ou dans la revendication ID objet (OID) (pour les fournisseurs basés sur Azure AD–). En effet, la sous-revendication représente l’identifiant de l’utilisateur final et est garantie par le fournisseur d’identité comme étant unique. Une revendication « oid » (où l’ID d’objet est un identifiant unique pour tous les utilisateurs d’un locataire) est prise en charge lorsqu’elle est utilisée avec des fournisseurs basés sur Azure AD– à un seul locataire.
Les portails prennent-ils en charge la déconnexion du fournisseur basé sur OpenId Connect ?
Oui. La fonctionnalité de portails prend en charge la technique de déconnexion du canal frontal pour se déconnecter à la fois de l’application et des fournisseurs basés sur OpenId Connect.
Les portails prennent-ils en charge la déconnexion unique ?
Non. Les portails ne prennent pas en charge la technique de déconnexion unique pour les fournisseurs basés sur OpenID Connect.
Les portails nécessitent-ils une revendication spécifique dans un jeton d’ID* ?
Outre toutes les revendications requises, la fonctionnalité de portails nécessite une revendication représentant l’adresse e-mail des utilisateurs dans le jeton d’ID. Cette réclamation doit être nommée email, emails ou upn.
Outre toutes les revendications requises, les portails nécessitent une revendication représentant l’adresse e-mail des utilisateurs dans le id_token. Cette revendication doit être nommée « email », « emails » ou « upn ».
Ces revendications sont traitées dans l’ordre de priorité suivant pour définir l’Adresse e-mail principale de l’enregistrement de contact dans Dataverse :
- emails
- upn
Lorsqu’il est utilisé, « emailclaimsmapping » est également utilisé pour rechercher un contact existant (champ Adresse e-mail principale dans Dataverse).
Puis-je accéder aux jetons (ID ou accès) à l’aide de JavaScript ?
Non. Le jeton d’ID fourni par le fournisseur d’identité n’est rendu disponible par aucune technique standard côté client ; et n’est utilisé qu’à des fins d’authentification. Toutefois, si vous utilisez le flux d’octroi implicite, vous pouvez utiliser les méthodes fournies par votre fournisseur d’identité pour accéder aux jetons d’ID ou d’accès.
Par exemple, Azure AD fournit la Bibliothèque d’authentification Microsoft pour réaliser ce scénario chez les clients.
Puis-je utiliser un fournisseur OpenID Connect personnalisé au lieu de Azure AD ?
Oui. Les portails prennent en charge tout fournisseur OpenID Connect prenant en charge la Spécification OpenID Connect standard.
Voir aussi
Configurer un fournisseur OpenID Connect pour les portails
Notes
Pouvez-vous nous indiquer vos préférences de langue pour la documentation ? Répondez à un court questionnaire. (veuillez noter que ce questionnaire est en anglais)
Le questionnaire vous prendra environ sept minutes. Aucune donnée personnelle n’est collectée (déclaration de confidentialité).
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour