Konfiguriranje davatelja protokola OpenID Connect za portale

OpenID Connect vanjski davatelji identiteta su servisi koji su u skladu sa specifikacijom protokola Open ID Connect. OpenID Connect uvodi koncept ID tokena, koji je sigurnosni token koji omogućuje klijentu da provjeri identitet korisnika. ID token također dobiva osnovne podatke o profilu o korisnicima—poznate i kao zahtjevi.

Ovaj članak objašnjava kako se davatelj identiteta koji podržava OpenId Connect može integrirati s portalima servisa Power Apps. Neki od primjera davatelja protokola OpenID Connect za portale: Azure Active Directory (Azure AD) B2C, Azure AD, Azure AD s više klijenata.

Podržani i nepodržani tijekovi provjere autentičnosti na portalima

  • Implicitno odobrenje
    • Ovaj je tijek zadana metoda provjere autentičnosti koju koriste portali.
  • Kôd autorizacije
    • Portali koriste metodu client_secret_post za komunikaciju s krajnjom točkom tokena poslužitelja identiteta.
    • Upotreba metode private_key_jwt za provjeru autentičnosti s krajnjom točkom tokena nije podržana.
  • Hibridno (ograničena podrška)
    • Portali zahtijevaju da u odgovoru bude prisutan id_token, stoga nije podržana vrijednost response_type kao token koda.
    • Hibridni tijek na portalima slijedi isti tijek kao i Implicitno odobrenje i koristi id_token za izravno prijavljivanje korisnika.
  • Portali ne podržavaju tehnike na temelju Ključa dokaza za razmjenu koda (PKCE) za provjeru autentičnosti korisnika.

Napomena

Da bi se promjene u postavkama provjere autentičnosti prikazale na portalu može potrajati nekoliko minuta. Ponovo pokrenite portal s pomoću radnji portala ako želite da se promjene odmah prikažu.

Konfiguriranje davatelja protokola OpenID Connect

Kao i svi drugi davatelji, morate se prijaviti u Power Apps da biste konfigurirali OpenID Connect davatelja.

  1. Odaberite Dodajte davatelja za svoj portal.

  2. Za Davatelja prijave odaberite Drugo.

  3. Za Protokol odaberite OpenID Connect.

  4. Unesite naziv davatelja.

    Naziv davatelja usluga.

  5. Odaberite Dalje.

  6. Stvorite aplikaciju i konfigurirajte postavke s davateljem identiteta.

    Stvorite aplikaciju.

    Napomena

    URL odgovora koristi aplikacija za preusmjeravanje korisnika na portal nakon uspješne provjere autentičnosti. Ako vaš portal ima prilagođeni naziv domene, možda se vaš URL razlikuje od onog koji je ovdje naveden.

  7. Unesite sljedeće postavke mjesta za konfiguraciju portala.

    Konfigurirajte postavke mjesta OpenID.

    Napomena

    Obavezno pregledajte—i ako je potrebno, promijenite—zadane vrijednosti.

    Ime Opis
    Ovlaštenje URL ustanove (ili izdavatelja) povezane s davateljem identiteta.
    Primjer (Azure AD): https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/
    ID klijenta ID aplikacije koji je izrađen uz pomoć davatelja identiteta koji će se upotrebljavati na portalu.
    URL za preusmjeravanje Mjesto gdje će davatelj identiteta poslati odgovor provjere autentičnosti.
    Primjer: https://contoso-portal.powerappsportals.com/signin-openid_1
    Napomena: Ako koristite zadani URL portala, možete kopirati i zalijepiti URL odgovora kako je prikazano u koraku Stvaranje i konfiguriranje postavki davatelja protokola OpenID Connect. Ako koristite prilagođeni naziv domene, URL unesite ručno. Pobrinite se da je vrijednost koju unesete ovdje potpuno ista kao vrijednost URI preusmjeravanja za aplikaciju u konfiguraciji davatelja identiteta (kao što je Azure portal).
    Adresa metapodataka Krajnja točka otkrivanja za dobivanje metapodataka. Uobičajeni format: [URL ovlaštenja]/.poznata/openid-konfiguracija.
    Primjer (Azure AD): https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/v2.0/.well-known/openid-configuration
    Opseg Popis djelokruga razdvojen razmakom za zahtjev putem parametra djelokruga za OpenID Connect.
    Zadana vrijednost: openid
    Primjer (Azure AD): openid profile email
    Dodatne informacije: Konfigurirajte dodatna potraživanja prilikom korištenja OpenID Connect za portale s Azure AD
    Vrsta odgovora Vrijednost parametra response_type protokola OpenID Connect.
    Moguće vrijednosti uključuju:
    • code
    • code id_token
    • id_token
    • id_token token
    • code id_token token

    Zadana vrijednost: code id_token
    Klijentova tajna Vrijednost tajnog koda klijenta od davatelja aplikacije. Može se nazivati i tajni ključ aplikacije ili tajni ključ korisnika. Ova je postavka potrebna ako je odabrana vrsta odgovora code.
    Način odaziva Vrijednost parametra response_mode protokola OpenID Connect. Vrijednost bi trebala biti query ako je odabrana vrsta odgovora code. Zadana vrijednost: form_post.
  8. Konfigurirajte postavke za odjavu korisnika.

    Postavke odjave.

    Ime/naziv Opis
    Vanjska odjava Omogućuje ili onemogućuje vanjsku odjavu računa. Kada je omogućeno, korisnici se preusmjeravaju na vanjsku odjavu korisničkog iskustva kada se odjavljuju s portala. Kada je onemogućeno, korisnici se samo odjavljuju s portala.
    URL za preusmjeravanje nakon odjave Lokacija na koju će davatelj identiteta preusmjeriti korisnika nakon vanjske odjave. Ta lokacija se treba ispravno postaviti u konfiguraciji davatelja identiteta.
    Odjava koju je pokrenuo RP Omogućava ili onemogućava odjavu koju je pokrenula strana oslanjanja. Da biste koristili ovu postavku, prvo omogućite Vanjsku odjavu.
  9. (Opcionalno) Konfigurirajte dodatne postavke.

    Dodatne postavke.

    Ime/naziv Opis
    Filtar izdavatelja Filtar temeljen na zamjenskim znakovima koji uparuje sve izdavače na svim klijentima.
    Primjer: https://sts.windows.net/*/
    Provjera valjanosti ciljne skupine Ako je omogućeno, valjanost ciljne skupine provjerava se tijekom provjere valjanosti tokena.
    Valjane ciljne skupine Popis URL-ova ciljnih skupina odvojenih zarezom.
    Provjera valjanosti izdavatelja Ako se omogući, izdavatelj se provjerava tijekom provjere valjanosti tokena.
    Valjani izdavatelji Popis URL-ova izdavača odvojenih zarezom.
    Registracija zahtijeva mapiranje Popis parova potraživanja logičnih imena za mapiranje vrijednosti potraživanja vraćenih od davatelja tijekom registracije za atribute zapisa kontakata.
    Format: field_logical_name=jwt_attribute_name gdje je field_logical_name logično ime polja na portalima, a jwt_attribute_name je atribut s vrijednošću vraćenom od davatelja identiteta.
    Primjer: firstname=given_name,lastname=family_name prilikom korištenja Djelokrug kao profile za Azure AD. U ovom primjeru, firstname i lastname logična su imena polja profila na portalima dok su given_name i family_name atributi s vrijednostima koje je vratio davatelj identiteta za odgovarajuća polja.
    Prijava zahtijeva mapiranje Popis parova potraživanja logičnih imena za mapiranje vrijednosti potraživanja vraćenih od davatelja tijekom registracije za atribute zapisa kontakata.
    Format: field_logical_name=jwt_attribute_name gdje je field_logical_name logično ime polja na portalima, a jwt_attribute_name je atribut s vrijednošću vraćenom od davatelja identiteta.
    Primjer: firstname=given_name,lastname=family_name prilikom korištenja Djelokrug kao profile za Azure AD. U ovom primjeru, firstname i lastname logična su imena polja profila na portalima dok su given_name i family_name atributi s vrijednostima koje je vratio davatelj identiteta za odgovarajuća polja.
    Vijek trajanja jednokratnog ključa Životni vijek vrijednosti jednokratnog ključa, u minutama. Zadano: 10 minuta.
    Koristi vijek trajanja tokena Označava da vijek trajanja sesije provjere autentičnosti (kao što su kolačići) mora odgovarati vijeku trajanja tokena za provjeru autentičnosti. Ako je navedena, ova će vrijednost nadjačati vrijednost Vremensko razdoblje istjecanja kolačića aplikacije u postavci web-mjesta Provjera autentičnosti/KolačićAplikacije/VremenskoRazdobljeIstjecanja.
    Mapiranje kontakta s e-poštom Odredite jesu li kontakti mapirani na odgovarajuću e-poštu.
    Kada je postavljeno na Uključeno, jedinstveni zapis kontakta povezuje se s podudarnom adresom e-pošte, a zatim automatski dodjeljuje vanjskog davatelja identiteta kontaktu nakon što se korisnik uspješno prijavi.

    Napomena

    UI_Locales parametar zahtjeva sada će se automatski poslati u zahtjevu za provjeru autentičnosti i bit će postavljen na jezik odabran na portalu.

Uređivanje davatelja protokola OpenID Connect

Da biste uredili konfiguriranog OpenID Connect davatelja, pogledajte Uredite davatelja.

Pogledajte također

Konfiguriranje davatelja protokola OpenID Connect za portale pomoću servisa Azure AD
Najčešća pitanja o korištenju protokola OpenID Connect na portalima