Порталдарға арналған Open ID Connect провайдерінің параметрлерін конфигурациялау

Бұл тақырып Dynamics 365 порталдарына және кейінгі нұсқаларына қолданылады.

OpenID Connect сыртқы идентификация провайдерлері — Open ID Connect сипаттамаларына сәйкес қызметтер. Провайдерді біріктіру провайдермен байланысты өкілеттік (немесе шығарушы) URL қамтиды. Конфигурация URL түпнұсқалық растама жұмыс ағыны барысында талап етілетін метадеректерді беретін өкілеттікпен анықталуы мүмкін. Провайдер параметрлері OpenIdConnectAuthenticationOptions класс сипаттарына негізделеді.

Өкілеттік URL мысалдары:

Сондай-ақ әрбір OpenID Connect жеткізушісі үшін бағдарламаны тіркеу (OAuth 2.0 жеткізушісіне ұқсас) және клиент идентификаторын алу керек. Өкілеттік URL мекенжайы және жасалған бағдарламаның клиенттік идентификаторы портал және сәйкестік куәліктерін жеткізуші арасында сыртқы түпнұсқалық растаманы қосу үшін керек параметрлер болып табылады.

Ескерім

Google OpenID Connect соңғы нүктесі ағымда қолдау көрсетілмейді, себебі негізгі кітапханалар мекенжайдың үйлесімділік шығарылымдарымен бастапқы шығару кезеңдерінде. Порталдарға арналған OAuth2 провайдер параметрлері соңғы нүктесі оның орнына қолданылуы мүмкін.

Azure Active Directory үшін OpenID параметрлері

Іске кірісу үшін Azure басқару порталы жүйесіне кіріп, бар каталогты жасаңыз немесе таңдаңыз. Каталог қолжетімді кезде қолданбаны каталогқа қосу туралы нұсқауларды орындаңыз.

  1. Каталогтың Бағдарламалар мәзірінде Қосу пәрменін таңдаңыз.
  2. Менің ұйымым әзірлеген бағдарламаны қосу опциясын таңдаңыз.
  3. Бағдарлама үшін реттелетін ат көрсетіп, веб-бағдарлама және/немесе веб-API түрін таңдаңыз.
  4. Тіркелу URL және Бағдарлама ИД URI үшін екі өріс порталының URL мекенжайын https://portal.contoso.com/ көрсетіңіз
  5. Осы орайда жаңа бағдарлама жасалады. Мәзірдегі Теңшеу бөліміне өтіңіз.

    Құпия сөзді бір рет енгізу арқылы кіру бөлімінде келесі URL мекенжайына жол қосу үшін, бірінші Жауап URL жазбасын жаңартыңыз: http://portal.contoso.com/signin-azure-ad. Бұл RedirectUri торап параметрі мәніне сәйкес

  6. Сипаттар бөліміне client ID өрісін орналастырыңыз. Бұл ClientId торап параметрі мәніне сәйкес.

  7. Төменгі деректеме мәзірінде Соңғы нүктелерді көру пәрменін таңдап, Федерация метадеректері құжаты өрісін жазып алыңыз

URL сол жақ бөлігі — Өкілеттік мәні және келесі пішімдердің бірі:

Қызмет конфигурациясының URL мекенжайын алу үшін, FederationMetadata/2007-06/FederationMetadata.xml жолын .well-known/openid-configuration жолымен ауыстырыңыз. Мысалы, https://login.microsoftonline.com/contoso.onmicrosoft.com/.well-known/openid-configuration

Бұл MetadataAddress сайт параметрі мәніне сәйкес.

Жоғарғы бағдарламаға қатысты портал торабы параметрлерін қолданыңыз.

Ескерім

Стандартты Azure AD конфигурациясында тек келесі параметрлер пайдаланылады (мысал мәндермен):

Бірнеше идентификация провайдерін [провайдер] тегі белгісін ауыстырумен теңшеуге болады. Әрбір бірегей белгі идентификация провайдеріне қатысты параметрлер тобын құрастырады. Мысалдар: AzureAD, MyIdP

Торап параметрі аты Сипаттама
Authentication/Registration/ExternalLoginEnabled Сыртқы тіркелгінің кірісін және тіркелуін қосады немесе өшіреді. Әдепкі: шын
Authentication/OpenIdConnect/[provider]/Authority Талап етіледі. OpenIdConnect қоңырауларын жасау кезінде пайдаланылатын өкілеттік. Мысал:https://login.windows.net/contoso.onmicrosoft.com/. Қосымша ақпарат:OpenIdConnectAuthenticationOptions.Authority.
Authentication/OpenIdConnect/[provider]/MetadataAddress Метадеректер алуға арналған соңғы нүкте. Әдетте келесі жолмен аяқталады:/.well-known/openid-configuration . Мысал:https://login.windows.net/contoso.onmicrosoft.com/.well-known/openid-configuration. Қосымша ақпарат:OpenIdConnectAuthenticationOptions.MetadataAddress.
Authentication/OpenIdConnect/[provider]/AuthenticationType OWIN түпнұсқалық растама аралық бағдарламасының түрі. Қызмет конфигурациясы метадеректерінде шығарушы мәнін көрсетіңіз. Мысал:https://sts.windows.net/contoso.onmicrosoft.com/. Қосымша ақпарат: AuthenticationOptions.AuthenticationType.
Authentication/OpenIdConnect/[provider]/ClientId Талап етіледі. Провайдер бағдарламасының клиент ИД мәні. Сонымен қатар, бұл "Бағдарлама ИД" немесе "Тұтынушы кілті" болады. Қосымша ақпарат: OpenIdConnectAuthenticationOptions.ClientId.
Authentication/OpenIdConnect/[provider]/ClientSecret Провайдер бағдарламасының клиент құпия мәні. Сонымен қатар, бұл "Бағдарлама құпиясы" немесе "Тұтынушы құпиясы" болады. Қосымша ақпарат: OpenIdConnectAuthenticationOptions.ClientSecret.
Authentication/OpenIdConnect/[provider]/RedirectUri Ұсынылады. AD FS WS-Federation пассивті соңғы нүктесі. Мысалы: https://portal.contoso.com/signin-saml2. Қосымша ақпарат: OpenIdConnectAuthenticationOptions.RedirectUri.
Authentication/OpenIdConnect/[provider]/Caption Ұсынылады. Пайдаланушының жүйеге кіру пайдаланушы интерфейсінде көрсете алатын мәтіні. Әдепкі: [провайдер]. Қосымша ақпарат: OpenIdConnectAuthenticationOptions.Caption.
Authentication/OpenIdConnect/[provider]/Resource "Ресурс". Қосымша ақпарат: OpenIdConnectAuthenticationOptions.Resource.
Authentication/OpenIdConnect/[provider]/ResponseType "жауап_түрі". Қосымша ақпарат: OpenIdConnectAuthenticationOptions.ResponseType.
Authentication/OpenIdConnect/[provider]/Scope Сұралатын рұқсаттардың бөлек тізімі. Әдепкі: openid. Қосымша ақпарат: OpenIdConnectAuthenticationOptions.Scope .
Authentication/OpenIdConnect/[provider]/CallbackPath Түпнұсқалық растама кері қоңырауы өңделетін қосымша шектеулі жол. Егер берілмесе және RedirectUri қолжетімді болса, осы RedirectUri ішінен құрылады. Қосымша ақпарат: OpenIdConnectAuthenticationOptions.CallbackPath.
Authentication/OpenIdConnect/[provider]/BackchannelTimeout Кері арна байланыстарының кідіріс мәні. Мысал: 00:05:00 (5 мин). Қосымша ақпарат: OpenIdConnectAuthenticationOptions.BackchannelTimeout.
Authentication/OpenIdConnect/[provider]/RefreshOnIssuerKeyNotFound SecurityTokenSignatureKeyNotFoundException процесінен кейін метадеректер жаңартылуы керектігін анықтайды. Қосымша ақпарат: OpenIdConnectAuthenticationOptions.RefreshOnIssuerKeyNotFound.
Authentication/OpenIdConnect/[provider]/UseTokenLifetime Түпнұсқалық растама сеансының қызмет мерзімі (мысалы, cookie файлдары) түпнұсқалық растама таңбалауышына сәйкес келуі керектігін көрсетеді. Қосымша ақпарат: OpenIdConnectAuthenticationOptions.UseTokenLifetime.
Authentication/OpenIdConnect/[provider]/AuthenticationMode OWIN түпнұсқалық растама аралық бағдарламасының режимі. Қосымша ақпарат: AuthenticationOptions.AuthenticationMode.
Authentication/OpenIdConnect/[provider]/SignInAsAuthenticationType System.Security.Claims.ClaimsIdentity жасау кезінде пайдаланылатын AuthenticationType. Қосымша ақпарат: OpenIdConnectAuthenticationOptions.SignInAsAuthenticationType.
Authentication/OpenIdConnect/[provider]/PostLogoutRedirectUri "хабар_шығу_қайта бағыттау_uri". Қосымша ақпарат: OpenIdConnectAuthenticationOptions.PostLogoutRedirectUri.
Authentication/OpenIdConnect/[provider]/ValidAudiences Аудитория URL үтірмен бөлінген тізімі. Қосымша ақпарат: TokenValidationParameters.AllowedAudiences.
Authentication/OpenIdConnect/[provider]/ValidIssuers Шығарушы URL мекенжайларының үтірмен бөлінген тізімі. Қосымша ақпарат: TokenValidationParameters.ValidIssuers.
Authentication/OpenIdConnect/[provider]/ClockSkew Тексеру уақытында қолданылатын фазалық ауысым.
Authentication/OpenIdConnect/[provider]/NameClaimType Ат шағымын сақтау үшін ClaimsIdentity бойынша пайдаланылатын шағым түрі.
Authentication/OpenIdConnect/[provider]/RoleClaimType Рөл шағымын сақтау үшін ClaimsIdentity бойынша пайдаланылатын шағым түрі.
Authentication/OpenIdConnect/[provider]/RequireExpirationTime Мән таңбалауыштарда "жарамдылық" мәні болуы керектігін көрсетеді.
Authentication/OpenIdConnect/[provider]/RequireSignedTokens Қолтаңба қойылмаған кезде System.IdentityModel.Tokens.SecurityToken xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" жарамдылығын көрсететін мән.
Authentication/OpenIdConnect/[provider]/SaveSigninToken Сеанс жасалған кезде, бастапқы таңбалауыш сақталғанын басқаратын логикалық мән.
Authentication/OpenIdConnect/[provider]/ValidateActor System.IdentityModel.Tokens.JwtSecurityToken.Actor тексерілуі керектігін көрсететін мән.
Authentication/OpenIdConnect/[provider]/ValidateAudience Таңбалауышты тексеру барысында аудиторияның тексерілуін басқаратын логикалық мән.
Authentication/OpenIdConnect/[provider]/ValidateIssuer Таңбалауышты тексеру барысында шығарушының тексерілуін басқаратын логикалық мән.
Authentication/OpenIdConnect/[provider]/ValidateLifetime Таңбалауышты тексеру барысында қызмет мерзімінің тексерілуін басқаратын логикалық мән.
Authentication/OpenIdConnect/[provider]/ValidateIssuerSigningKey xmlns="http://ddue.schemas.microsoft.com/authoring/2003/5" қауіпсіздік таңбалауышына қол қойған System.IdentityModel.Tokens.SecurityKey тексерудің шақырылатын-шақырылмайтынын басқаратын логикалық мән.

Бірнеше қатысушы бар Azure Active Directory қолданбасы пайдаланылатын түпнұсқалық растаманы қосу

Azure Active Directory ішінде тіркелген бірнеше қатысушы бар қолданбаны пайдалана отырып порталды Azure Active Directory пайдаланушыларын тек белгілі бір қатысушыдан емес, Azure ішіндегі кез келген қатысушыдан қабылдауға конфигурациялауға болады. Бірнеше қатысушыны қосу үшін Azure Active Directory қолданбасында Көп клиентті қосқышын Иә мәніне орнатыңыз.

Azure Active Directory қолданбасында бірнеше қатысушыны қосу

Бірнеше идентификация провайдерін [провайдер] тегі белгісін ауыстырумен теңшеуге болады. Әрбір бірегей белгі идентификация провайдеріне қатысты параметрлер тобын құрастырады. Көп клиентті қолданбаны пайдаланып Azure Active Directory ішінде түпнұсқалық растаманы қолдау үшін порталдарда келесі сайт параметрлерін жасауға немесе конфигурациялауға болады:

Торап параметрі аты Сипаттама
Authentication/OpenIdConnect/[provider]/Authority OpenIdConnect қоңырауларын жасау кезінде пайдаланылатын өкілеттік. Мысалы: https://login.windows.net/common
Authentication/OpenIdConnect/[provider]/ClientId Провайдер бағдарламасының клиент ИД мәні. Сонымен қатар, бұл "Бағдарлама ИД" немесе "Тұтынушы кілті" болады.
Authentication/OpenIdConnect/[provider]/ExternalLogoutEnabled Сыртқы тіркелгіден шығуды және тіркелуді қосады немесе өшіреді. Бұл мәнді True деп орнатыңыз.
Authentication/OpenIdConnect/[provider]/IssuerFilter Барлық қатысушылардағы барлық шығарушыларға сәйкестікті анықтайтын қойылмалы таңбаларға негізделген сүзгі. Жағдайлардың көпшілігінде мына мәнді пайдаланыңыз: https://sts.windows.net/*/
Authentication/OpenIdConnect/[provider]/RedirectUri Жеткізуші түпнұсқалық растама жауабын жіберетін жауап URL мекенжайының орны. Мысалы: https://portal.contoso.com/signin-oidc
Authentication/OpenIdConnect/[provider]/ValidateIssuer Таңбалауышты тексеру барысында шығарушы тексерілетін-тексерілмейтінін басқаратын логикалық мән. Бұл мәнді False деп орнатыңыз.

Сонымен қатар, келесіні қараңыз

Dynamics 365 порталы түпнұсқалық растамасын конфигурациялау
Порталға арналған түпнұсқалық растама идентификаторын орнату
Порталдарға арналған OAuth2 провайдері параметрлері
Порталдарға арналған WS-Federation провайдерінің параметрлері
Порталдарға арналған SAML 2.0 жеткізушісінің параметрлері
Порталдарға арналған Facebook қолданбасының (бет қойыншасы) түпнұсқалық растамасы