Поделиться через

Настройка поставщика OpenID Connect для порталов с Azure AD

  • Статья

Примечание

Действует с 12 октября 2022 г, в качестве порталов для Power Apps используется Power Pages. Дополнительная информация: Microsoft Power Pages теперь доступен для всех (блог)
Скоро мы мигрируем и объединим документацию порталов Power Apps с документацией Power Pages.

В этой статье вы узнаете о настройке поставщика OpenID Connect для порталов с Azure Active Directory (Azure AD) и Azure AD с несколькими клиентами.

Примечание

  • Порталы не ограничиваются только Azure AD, Azure AD с несколькими клиентами, или Azure AD B2C в качестве поставщиков OpenID Connect. Вы можете использовать любого другого поставщика, который соответствует спецификации OpenID Connect. Изменения в настройках аутентификации могут занять несколько минут для отображения на портале. Перезапустите портал с помощью действий портала, если вы хотите, чтобы изменения сразу же отразились.

Чтобы настроить Azure AD в качестве поставщика OpenID Connect с использованием потока неявного предоставления разрешения

  1. Выберите Добавить поставщика для вашего портала.

  2. Для Поставщик входа выберите Другой.

  3. Для параметра Протокол выберите OpenID Connect.

  4. Введите имя поставщика.

    Имя поставщика.

  5. Выберите Далее.

  6. На этом шаге создайте приложение и настройте параметры с вашим поставщиком удостоверений.

    Создание приложения.

    Примечание

    • URL-адрес ответа используется приложением для перенаправления пользователей на портал после успешной аутентификации. Если ваш портал использует личное доменное имя, у вас может быть другой URL-адрес, чем приведенный здесь.
    • Дополнительные сведения о создании регистрации приложения на портале Azure доступны в разделе Краткое руководство: регистрация приложения на платформе идентификации Microsoft.

    1. Войдите на портал Azure.

    2. Найдите и выберите Azure Active Directory.

    3. В разделе Управление выберите Регистрация приложений.

    4. Выберите Создать регистрацию.

      Регистрация нового приложения.

    5. Введите имя.

    6. При необходимости выберите другой Поддерживаемый тип учетной записи. Дополнительная информация: Поддерживаемые типы учетных записей

    7. Под URI перенаправления выберите Интернет (если еще не выбрано).

    8. Введите URL-адрес ответа для вашего портала в текстовое поле URI перенаправления.
      Пример: https://contoso-portal.powerappsportals.com/signin-openid_1

      Примечание

      Если вы используете URL-адрес портала по умолчанию, скопируйте и вставьте URL-адрес ответа, как показано в разделе Создайте и настройте параметры поставщика OpenID Connect на экране Настроить поставщика удостоверений (шаг 6 выше). Если вы используете пользовательское доменное имя для портала, введите пользовательский URL-адрес. Убедитесь, что вы используете это значение при настройке URL-адрес перенаправления в настройках вашего портала при настройке поставщика OpenID Connect.
      Например, если вы введете URL-адрес перенаправления на портале Azure как https://contoso-portal.powerappsportals.com/signin-openid_1, вы должны использовать его как есть для конфигурации OpenID Connect на порталах.

      Зарегистрировать приложение.

    9. Выберите Зарегистрировать.

    10. В левой области в разделе Управление выберите Аутентификация.

      Включение потока неявного предоставления разрешения с помощью токенов идентификаторов.

    11. В разделе Неявное предоставление разрешения установите флажок Токены идентификаторов.

    12. Нажмите кнопку Сохранить.

  7. На этом шаге введите параметры сайта для конфигурации портала.

    Настройка параметров сайта OpenID Connect.

    Совет

    Если вы закрыли окно браузера после настройки регистрации приложения на предыдущем шаге, снова войдите на портал Azure и перейдите в приложение, которое вы зарегистрировали.

    1. Центр: чтобы настроить URL-адрес центра, используйте следующий формат:

      https://login.microsoftonline.com/<Directory (tenant) ID>/

      Например, если ID каталога (клиента) на портале Azure равен 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, URL-адрес центра будет https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/

    2. Код клиента: скопируйте Код приложения (клиента) с портала Azure в качестве идентификатора клиента.

      Центр и идентификатор клиента.

    3. URL-адрес перенаправления: подтвердите, что значение параметра сайта URL-адрес перенаправления такое же, как URI перенаправления, который вы установили на портале Azure ранее.

      Проверка URL-адреса перенаправления.

      Примечание

      Если вы используете URL-адрес портала по умолчанию, вы можете скопировать и вставить URL-адрес ответа, как показано в шаге Создание и настройка параметров поставщика OpenID Connect. Если вы используете собственное доменное имя, введите URL-адрес вручную. Убедитесь, что введенное здесь значение точно такое же, как и значение, которое вы ввели в качестве URI перенаправления на портале Azure ранее.

    4. Адрес метаданных: чтобы настроить адрес метаданных, сделайте следующее:

      1. Выберите Обзор на портале Azure.

      2. Выберите Конечные точки.

        Конечные точки на портале Azure.

      3. Скопируйте URL-адрес в Документ метаданных OpenID Connect.

        Документ метаданных OpenID Connect.

      4. Вставьте URL-адрес скопированного документа как Адрес метаданных для порталов.

    5. Область: установите значение параметра сайта Область как:

      openid email

      Примечание

      Значение openid в Область является обязательным. Значение email не является обязательным; указание значения email в области гарантирует, что адрес электронной почты пользователя портала (запись контакта) будет автоматически заполнен и показан на странице Профиль после входа пользователя в систему. Для получения информации о дополнительных утверждениях см. раздел Настройка дополнительных утверждений позже в этой статье.

    6. Для параметра Тип ответа выберите код id_token.

    7. Для параметра Режим ответа выберите form_post.

  8. Выберите Подтвердить.

    Подтверждение конфигурации.

  9. Выберите Закрыть.

Настройка дополнительных утверждений

  1. Включите необязательные утверждения в Azure AD.

  2. Задайте Область, чтобы включить дополнительные утверждения.
    Пример: openid email profile

  3. Установить дополнительный параметр сайта Сопоставление регистрационных утверждений.
    Пример: firstname=given_name,lastname=family_name

  4. Установить дополнительный параметр сайта Сопоставление утверждений входа.
    Пример: firstname=given_name,lastname=family_name

Например, имя, фамилия и адреса электронной почты, предоставленные с дополнительными утверждениями, станут значениями по умолчанию на странице профиля на портале.

Пример страницы профиля.

Включение проверки подлинности с помощью приложения Azure AD с несколькими клиентами

Можно настроить портал, чтобы он принимал пользователей Azure AD от любого клиента в Azure, а не только от конкретного клиента, с помощью приложения с несколькими клиентами, зарегистрированного в Azure AD. Чтобы включить поддержку нескольких клиентов, обновите регистрацию приложения в приложении Azure AD.

Для поддержки проверки подлинности по Azure AD с помощью приложения с несколькими клиентами необходимо создать или настроить дополнительный параметр сайта Фильтр по издателю.

Фильтр издателя для нескольких клиентов.

Этот параметр сайта является фильтром на основе подстановочных знаков, который соответствует всем эмитентам по всем клиентам. Пример: https://sts.windows.net/*/

См. также

Вопросы и ответы по использованию OpenID Connect на порталах

Примечание

Каковы ваши предпочтения в отношении языка документации? Пройдите краткий опрос (обратите внимание, что этот опрос представлен на английском языке).

Опрос займет около семи минут. Личные данные не собираются (заявление о конфиденциальности).