Deli z drugimi prek

Nastavitev ponudnika OpenID Connect

  • Članek

Zunanji ponudniki identitet OpenID Connect so storitve, ki ustrezajo specifikacijam Open ID Connect. OpenID Connect uvaja koncept žetona ID. Žeton ID je varnostni žeton, ki odjemalcu omogoča, da preveri identiteto uporabnika. Žeton pridobi tudi osnovne podatke o uporabnikih iz profilov, imenovane zahtevki.

Ponudniki Azure AD OpenID Connect B2C, Microsoft Entra ID inID Microsoft Entra z več najemniki so vgrajeni Power Pages. V tem članku je razloženo, kako na svoje spletno mesto Power Pages dodate druge ponudnike identitet OpenID Connect.

Podprti in nepodprti tokovi preverjanja pristnosti na platformi Power Pages

  • Implicitno dovoljenje
    • Ta tok je privzeti način preverjanja pristnosti za spletna mesta Power Pages.
  • Avtorizacijska koda
    • Platforma Power Pages za komunikacijo s končno točko žetona strežnika identitet uporablja način client_secret_post.
    • Način private_key_jwt za preverjanje pristnosti s končno točko žetona ni podprt.
  • Hibridno (omejena podpora)
    • Platforma Power Pages zahteva, da je v odgovoru prisoten id_token, zato ne podpira response_type = code token.
    • Hibridni tok platforme Power Pages je enak kot tok implicitnega dovoljenja, pri čemer uporablja id_token za neposredno vpisovanje uporabnikov.
  • Proof Key for Code Exchange (PKCE)
    • Tehnike za preverjanje pristnosti uporabnikov, ki temeljijo na PKCE, niso podprte.

opomba,

Traja lahko nekaj minut, da se spremembe nastavitev preverjanja pristnosti za vaše mesto uveljavijo na vašem mestu. Če želite, da so spremembe vidne takoj, mesto ponovno zaženite v skrbniškem središču.

Nastavitev ponudnika OpenID Connect na platformi Power Pages

  1. Na svojem spletnem mestu Power Pages izberite možnost Nastavitev>Ponudniki identitet.

    Če ni prikazan noben ponudnik identitet, se prepričajte, da je možnost Zunanja prijava v splošnih nastavitvah preverjanja pristnosti nastavljena na Vklopljeno.

  2. Izberite + Nov ponudnik.

  3. V razdelki Izberite ponudnika prijave izberite Drugo.

  4. V razdelku Protokol izberite OpenID Connect.

  5. Vnesite ime ponudnika.

    Ime ponudnika je besedilo na gumbu, ki ga uporabniki vidijo, ko na strani za vpis izberejo ponudnika identitet.

  6. Izberite Naprej.

  7. V razdelku URL za odgovor izberite Kopiraj.

    Ne zapirajte zavihka brskalnika za Power Pages, saj se boste kmalu vrnili vanj.

Ustvarite registracijo aplikacije pri ponudniku identitete

  1. Ustvarite in registrirajte aplikacijo s svojim ponudnikom z uporabo URL-ja za odgovor, ki ste ga kopirali.

  2. Kopirajte ID aplikacije ali odjemalca in skrivnost odjemalca.

  3. Poiščite končne točke aplikacije in kopirajte URL dokumenta metapodatkov OpenID Connect.

  4. Po potrebi spremenite druge nastavitve za ponudnika identitete.

Odpiranje nastavitev mesta na platformi Power Pages

Vrnite se na stran Konfiguriraj ponudnika identitete platforme Power Pages , ki ste jo prej zapustili, in vnesite naslednje vrednosti. Izbirno lahko spremenite dodatne nastavitve, če je to potrebno. Ko končate, izberite Potrdi.

  • Pooblastilo: vnesite URL pooblastila v naslednji obliki: https://login.microsoftonline.com/<Directory (tenant) ID>/, pri čemer je <ID imenika (najemnika)> ID imenika (najemnika) aplikacije, ki ste jo ustvarili.. Če je ID imenika (najemnika) na portalu Azure 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, potem je URL pooblastila https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • ID odjemalca: prilepite ID aplikacije ali najemnika aplikacije, ki ste jo ustvarili.

  • URL za preusmeritev: če vaše mesto uporablja ime domene po meri, vnesite URL po meri, sicer pustite privzeto vrednost. Prepričajte se, da se vrednost natančno ujema z URI-jem za preusmeritev aplikacije, ki ste jo ustvarili.

  • Naslov metapodatkov: prilepite URL dokumenta metapodatkov OpenID Connect, ki ste ga kopirali.

  • Obseg: vnesite s presledki ločen seznam obsegov za zahtevo z uporabo parametra OpenID Connect scope. Privzeta vrednost je openid.

    Vrednost openid je obvezna. Preberite več o drugih zahtevkih, ki jih lahko dodate.

  • Vrsta odgovora: vnesite vrednost parametra OpenID Connect response_type. Možne vrednosti so code, code id_token, id_token, id_token token in code id_token token. Privzeta vrednost je code id_token.

  • Skrivnost odjemalca: prilepite skrivnost odjemalca iz aplikacije ponudnika. Imenuje se lahko tudi skrivnost aplikacije ali skrivnost porabnika. Ta nastavitev je zahtevana, če je izbrana vrsta odgovora code.

  • Način odgovora: vnesite vrednost parametra OpenID Connect response_mode. Če je odgovor vrste code, mora biti način odgovora query. Privzeta vrednost je form_post.

  • Zunanja odjava: ta nastavitev upravlja, ali vaše mesto uporablja izpis prek povezanega ponudnika identitet. Pri izpisu prek povezanega ponudnika identitet so uporabniki, ki se izpišejo iz aplikacije ali mesta, izpisani tudi iz vseh aplikacij in mest, ki uporabljajo istega ponudnika identitet. To možnost vklopite, če želite uporabnike pri izpisu iz vašega spletnega mesta preusmeriti na izkušnjo izpisa prek povezanega ponudnika identitet. Če želite, da se uporabniki izpišejo samo iz vašega spletnega mesta, to možnost izklopite.

  • URL za preusmeritev po odjavi: vnesite URL, na katerega bo ponudnik identitet preusmeril uporabnike, ko se izpišejo. To lokacijo je treba ustrezno nastaviti v konfiguraciji ponudnika identitet.

  • Odjava, ki jo sproži RP : ta nastavitev upravlja, ali lahko odvisna stran – odjemalska aplikacija OpenID Connect – izpiše uporabnike. Za uporabo te nastavitve vklopite možnost Zunanja odjava.

Dodatne nastavitve na platformi Power Pages

Dodatne nastavitve vam omogočajo natančnejši nadzor nad načinom preverjanja pristnosti uporabnikov s ponudnikom identitet OpenID Connect. Teh vrednosti vam ni treba nastaviti. So povsem neobvezne.

  • Filter izdajatelja: vnesite filter na podlagi nadomestnih znakov, ki se ujema pri vseh izdajateljih v vseh najemnikih; na primer https://sts.windows.net/*/.

  • Preverjanje veljavnosti občinstva​: vklopite to nastavitev, da med preverjanjem veljavnosti žetona preverite veljavnost občinstva.

  • Veljavna občinstva: vnesite seznam URL-jev občinstva, ločen z vejicami.

  • Preverjanje veljavnosti izdajateljev​: vklopite to nastavitev, da med preverjanjem veljavnosti žetona preverite veljavnost izdajatelja.

  • Veljavni izdajatelji: vnesite seznam URL-jev izdajateljev, ločen z vejicami.

  • Preslikava zahtevkov za registracijo​ in Preslikava zahtevkov za prijavo: pri preverjanju pristnosti uporabnika zahtevek predstavlja informacije, ki opisujejo identiteto uporabnika, na primer e-poštni naslov ali datum rojstva. Ob vpisu v aplikacijo ali spletno mesto ustvari žeton. Žeton vsebuje podatke o vaši identiteti, vključno z vsemi povezanimi zahtevki. Žetoni se uporabljajo za preverjanje pristnosti vaše identitete, ko dostopate do drugih delov aplikacije ali mesta ali do drugih aplikacij in mest, povezanih z istim ponudnikom identitet. Preslikava zahtevkov je način za spreminjanje podatkov, ki jih vključuje žeton. Uporablja se lahko za prilagoditev informacij, ki so na voljo aplikaciji ali spletnemu mestu, in za nadzor dostopa do funkcij ali podatkov. Preslikava zahtevkov za registracijo spremeni zahtevke, izdane ob registraciji za aplikacijo ali mesto. Preslikava zahtevkov za prijavo spremeni zahtevke, izdane ob vpisu v aplikacijo ali mesto. Preberite več o pravilnikih za preslikavo zahtevkov.

  • Življenjska doba enkratnega žetona: vnesite vrednost za življenjsko dobo enkratnega žetona v minutah. Privzeta vrednost je 10 minut.

  • Uporaba življenjske dobe žetona: ta nastavitev upravlja, ali se mora življenjska doba seje, na primer za piškotke, ujemati z življenjsko dobo žetona za preverjanje pristnosti. Če je vklopljena, potem preglasi vrednost Časovno obdobje poteka veljavnosti piškotka aplikacije v nastavitvi mesta Authentication/ApplicationCookie/ExpireTimeSpan.

  • Preslikava stikov z e-pošto: ta nastavitev določa, ali se stiki po vpisu preslikajo v ustrezen e-poštni naslov.

    • Vklopljeno: poveže enoličen zapis stika z ujemajočim se e-poštnim naslovom in nato stiku samodejno dodeli zunanjega ponudnika identitet, ko se uporabnik uspešno vpiše.
    • Izklopljeno

opomba,

Parameter zahteve UI_Locales se samodejno pošlje v zahtevi za preverjanje pristnosti in nastavi na jezik, ki je izbran na portalu.

Glejte tudi

Nastavitev ponudnika OpenID Connect z Azure Active Directory (Azure AD) B2C
Nastavitev ponudnika OpenID Connect z Microsoft Entra ID-jem
Pogosta vprašanja o storitvi OpenID Connect