分享方式:

使用 Azure AD B2C 設定 OpenID Connect 提供者

  • 文章

Azure Active Directory (Azure AD) B2C 是可用於對 Power Pages 網站驗證訪客身分的 OpenID Connect 識別提供者之一。 您可以使用確認符合 OpenID Connect 規格的識別提供者。

本文說明下列步驟:

注意

變更網站的驗證設定可能需要幾分鐘的時間才能反應在網站上。 若要立即查看變更,請在系統管理中心重新開啟網站。

在 Power Pages 中設定 Azure AD B2C

將 Azure AD B2C 設定為您網站的身分識別提供者

  1. 在您的 Power Pages 網站中,選取設定>識別提供者

    如果未出現任何識別提供者,請確認在您的網站的一般驗證設定中,有將外部登入設定為開啟

  2. Azure Active Directory B2C 右側,選取 更多命令 () >設定,或選取提供者名稱。

  3. 將提供者名稱保留原樣或根據需要進行變更。

    提供者名稱是使用者在登入頁面上選取識別提供者時,會在按鈕上看到的文字。

  4. 選取下一步

  5. 回覆 URL 底下,選取複製

  6. 選取開啟 Azure

    不要關閉 Power Pages 瀏覽器索引標籤。您很快就要返回此頁面。

建立應用程式註冊

建立 Azure AD B2C 的租用戶,並使用網站的回復 URL 作為重新導向 URI 註冊應用程式

  1. 建立 Azure AD B2C 用戶

  2. 搜尋並選取 Azure AD B2C

  3. 選取管理下的應用程式註冊

  4. 選取新增註冊

  5. 輸入名稱。

  6. 選取最能反映您組織需求的支援帳戶類型

  7. 重新導向 URI 底下,選取 Web 作為平台,然後輸入網站的回覆 URL。

    • 如果您使用網站的預設 URL,請貼上您複製的回覆 URL。
    • 如果您使用的是自訂網域名稱,請輸入自訂 URL。 請務必在網站上的識別提供者設定中,使用相同的自訂 URL 作為重新導向 URL。

  8. 選取註冊

  9. 複製應用程式 (用戶端) 識別碼

  10. 在左側邊面板中,在管理下選取驗證

  11. 隱含授與底下,選取存取權杖 (用於隱式流程)

  12. 選取儲存

  13. 使用包含 tfp簽發者 (iss) 聲明 URL 來設定權杖相容性深入了解權杖相容性

建立使用者流程

  1. 建立註冊和登入使用者流程

  2. (選用) 建立密碼重設使用者流程

從使用者流程取得簽發者 URL

  1. 開啟您建立的註冊和登入使用者流程。

  2. 移至 Azure 入口網站中的 Azure AD B2C 租用戶。

  3. 選取執行使用者流程

  4. 在新的瀏覽器索引標籤中開啟 OpenID 連線設定 URL。

    URL 是指 OpenID 連接識別提供者設定檔,也稱為 OpenID 知名的設定端點

  5. 從網址列複製簽發者 URL。 不要包含引號。 務必確認簽發者 (iss) 宣告 URL 包含 tfp

  6. 打開密碼重設使用者流程 (如果您已建立),然後重複步驟 2–5。

在 Power Pages 中輸入網站設定和密碼重設設定

  1. 返回先前保留的 Power Pages 設定識別提供者頁面。

  2. 設定網站設定底下中,輸入下列值:

    • 授權單位:貼上您複製的簽發者 URL。

    • 用戶端識別碼:貼上您建立的 Azure AD B2C 應用程式的應用程式 (用戶端) 識別碼

    • 重新導向 URI:如果您的網站自訂網域名稱,請輸入自訂 URL,否則請保留預設值,該值應該是您網站的回覆 URL。

  3. 密碼重設設定底下中,輸入下列值:

    • 預設原則識別碼:輸入您建立的註冊和登入使用者流程的名稱。 該名稱以 B2C_1 為首碼。

    • 密碼重設原則識別碼:如果您已建立密碼重設流程,請輸入其名稱。 該名稱以 B2C_1 為首碼。

    • 有效的簽發者:輸入您建立的註冊和登入密碼重設使用者流程的簽發者 URL 清單 (以逗號分隔)。

  4. (選用) 展開其他設定,並視需要變更設定。

  5. 選取確認

Power Pages 中的其他設定

其他設定可讓您更好地控制使用者如何透過 Azure AD B2C 識別提供者進行驗證。 您不一定要設定這些值。 它們都是選用的。

  • 註冊宣告對應登入宣告對應 :在使用者驗證中,宣告是描述使用者身分識別的資訊,如電子郵件地址或出生日期。 當您登入應用程式或網站時,它會建立權杖。 權杖包含身分識別的資訊,包括與其關聯的任何宣告。 當您存取應用程式或網站的其他部分,或連線到相同識別提供者的其他應用程式和網站時,會使用權杖來驗證您的身分。 宣告對應是變更權杖所包含資訊的方式。 它可以用來自訂應用程式或網站可用的資訊,並控對制功能或資料的存取。 註冊宣告對應可修改您註冊應用程式或網站時發出的宣告。 登入宣告對應可修改您登入應用程式或網站時發出的宣告。 深入了解宣告對應原則

    • 若您使用電子郵件名字姓氏屬性,則不需要輸入這些設定的值。 如果是其他屬性,請輸入邏輯名稱/值組的清單。 以 field_logical_name=jwt_attribute_name 格式輸入,其中 field_logical_name 是 Power Pages 中欄位的邏輯名稱,而 jwt_attribute_name 是具有從識別提供者傳回的值的屬性。 這些值組可用來將宣告值 (在登入或登入期間建立並從 Azure AD B2C 傳回) 對應至連絡人記錄中的屬性。

      例如,您可以使用職稱 (jobTitle)郵遞區號 (postalCode) 做為使用者流程中的使用者屬性。 您想更新對應 Contact 資料表欄位職稱 (jobtitle)地址 1:郵遞區號 (address1_postalcode)。 在此案例中,請輸入宣告對應為 jobtitle=jobTitle,address1_postalcode=postalCode

  • 外部登出:此設定可控制您的網站是否使用同盟登出。透過同盟登出,當使用者登出應用程式或網站時,他們也會登出所有使用相同識別提供者的應用程式和網站。 例如,如果您使用 Microsoft 帳戶登入網站,然後登出您的 Microsoft 帳戶,則同盟登出可確保您也從該網站登出。

    • 開啟:當使用者從您的網站登出時,會重新導向至同盟登出體驗。
    • 關閉:只讓使用者登出您的網站。

  • 電子郵件的連絡人對應:此設定決定連絡人登入時,是否要對應至相對的電子郵件地址。

    • 開啟:將唯一的連絡人記錄關連至相符的電子郵件位址,然後在使用者成功登入後,自動指派外部識別提供者給連絡人。
    • 關閉:連絡人記錄與識別提供者不相符。 這是此設定的預設選項。

  • 已啟用註冊:此設定可控制使用者是否可以在您的網站上註冊。

    • 開啟:顯示註冊頁面,讓使用者在您的網站上建立帳戶。
    • 關閉:停用並隱藏外部註冊帳戶頁面。

另請參閱

設定網站驗證
將身分識別提供者移轉至 Azure AD B2C