使用 Microsoft Entra ID 設定 OpenID Connect 提供者
Microsoft Entra 是可用於對 Power Pages 網站驗證訪客身分的 OpenID Connect 識別提供者之一。 除了 Microsoft Entra ID、多租戶 Microsoft Entra ID 和 Azure AD B2C 之外,您還可以使用符合 Open ID Connect 規範的任何其他提供者。
本文說明下列步驟:
注意
變更網站的驗證設定可能需要幾分鐘的時間才能反應在網站上。 若要立即查看變更,請在系統管理中心重新開啟網站。
在 Power Pages 中設定 Microsoft Entra
將 Microsoft Entra 設定為您網站的識別提供者
在您的 Power Pages 網站中,選取設定>識別提供者。
如果未出現任何識別提供者,請確認在您的網站的一般驗證設定中,有將外部登入設定為開啟。
選取 + 新提供者。
在選取登入提供者底下,選取其他。
在通訊協定底下,選取 OpenID Connect。
輸入提供者的名稱,例如 Microsoft Entra ID。
提供者名稱是使用者在登入頁面上選取識別提供者時,會在按鈕上看到的文字。
選取下一步。
在回覆 URL 底下,選取複製。
不要關閉 Power Pages 瀏覽器索引標籤。您很快就要返回此頁面。
在 Azure 中建立應用程式註冊
在 Azure 入口網站中建立應用程式註冊,並將網站回覆 URL 做為重新導向 URI。
登入 Azure 入口網站。
搜尋並選取 Azure Active Directory。
選取管理下的應用程式註冊。
選取新增註冊。
輸入名稱。
選取最能反映您組織需求的支援帳戶類型。
在重新導向 URI 底下,選取 Web 作為平台,然後輸入網站的回覆 URL。
- 如果您使用網站的預設 URL,請貼上您複製的回覆 URL。
- 如果您使用的是自訂網域名稱,請輸入自訂 URL。 請務必在網站上的識別提供者設定中,使用相同的自訂 URL 作為重新導向 URL。
選取註冊。
複製應用程式 (用戶端) 識別碼。
在用戶端認證右邊,選取新增憑證或密碼。
選取 + 新增用戶端密碼。
輸入選擇性的描述、選取到期期間,然後選取新增。
在密碼識別碼底下,選取複製至剪貼簿圖示。
選取頁面頂端的端點。
尋找 OpenID connect 中繼資料文件 URL,然後選取複製圖示。
在左側邊面板中,在管理下選取驗證。
在隱含授與底下,選取識別碼權杖 (用於隱含流程和混合流程)。
選取儲存。
在 Power Pages 中輸入網站設定
返回先前離開的 Power Pages 設定識別提供者頁面,然後輸入以下值。 或者,視需要變更其他設定。 完成後,選取確認。
授權單位:按照以下格式輸入授權 URL:
https://login.microsoftonline.com/<Directory (tenant) ID>/,其中<目錄 (租用戶) 識別碼>是您建立應用程式的目錄 (租用戶) 識別碼。 例如,如果 Azure 入口網站中的目錄 (租用戶) 識別碼是7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb,則授權 URL 為https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/。用戶端識別碼:貼上您建立應用程式的應用程式或用戶端識別碼。
重新導向 URL:如果您的網站自訂網域名稱,請輸入自訂 URL,否則請保留預設值。 請確定該值與您建立應用程式的重新導向 URI 完全相同。
中繼資料位址:貼上您複製的 OpenID connect 中繼資料文件 URL。
範圍:輸入
openid email。openid值是必要的。email值是選擇性的,其可確保使用者登入後自動填入使用者的電子郵件地址,並顯示在設定檔頁面上。 瞭解其他可以新增的宣告。回覆類型:選取
code id_token。用戶端密碼:貼上您建立應用程式的用戶端密碼。 若回覆類型為
code,則需要此設定。回覆模式:選取
form_post。外部登出:此設定可控制您的網站是否使用同盟登出。透過同盟登出,當使用者登出應用程式或網站時,他們也會登出所有使用相同識別提供者的應用程式和網站。 打開此項可以在使用者從您的網站登出時,將其重新導向至同盟登出體驗。 關閉此項可讓使用者只登出您的網站。
登出後重新導向 URL:輸入識別提供者在使用者登出後應重新導向到的 URL。此位置應適當設定於識別提供者設定中。
RP 發起登出:此設定可控制信賴憑證者 (OpenID Connect 用戶端應用程式) 是否可以登出使用者。 若要使用此設定,請開啟外部登出。
Power Pages 中的其他設定
其他設定可讓您更好地控制使用者如何透過您的 Microsoft Entra 識別提供者進行驗證。 您不一定要設定這些值。 它們都是選用的。
簽發者篩選:輸入於所有租用戶中比對所有簽發者的萬用字元型篩選,例如
https://sts.windows.net/*/。驗證對象:打開此設定可在權杖驗證期間驗證對象。
有效對象:輸入以逗點分隔的對象 URL 清單。
驗證簽發者:打開此設定可在權杖驗證期間驗證簽發者。
有效簽發者:輸入以逗點分隔的簽發者 URL 清單。
註冊宣告對應與登入宣告對應 :在使用者驗證中,宣告是描述使用者身分識別的資訊,如電子郵件地址或出生日期。 當您登入應用程式或網站時,它會建立權杖。 權杖包含身分識別的資訊,包括與其關聯的任何宣告。 當您存取應用程式或網站的其他部分,或連線到相同識別提供者的其他應用程式和網站時,會使用權杖來驗證您的身分。 宣告對應是變更權杖所包含資訊的方式。 它可以用來自訂應用程式或網站可用的資訊,並控對制功能或資料的存取。 註冊宣告對應可修改您註冊應用程式或網站時發出的宣告。 登入宣告對應可修改您登入應用程式或網站時發出的宣告。 深入了解宣告對應原則。
隨機數存留期:輸入隨機數值的存留期 (以分鐘為單位)。 預設值為 10 分鐘。
使用權杖存留期:此設定控制驗證工作階段存留期 (例如 Cookie) 是否應與驗證權杖的存留期相符。 如果您將打開此項,此值將覆寫 Authentication/ApplicationCookie/ExpireTimeSpan 網站設定中的應用程式 Cookie 到期時間範圍值。
電子郵件的連絡人對應:此設定決定連絡人登入時,是否要對應至相對的電子郵件地址。
- 開啟:將唯一的連絡人記錄關連至相符的電子郵件位址,然後在使用者成功登入後,自動指派外部識別提供者給連絡人。
- 關閉
注意
UI_Locales要求參數會自動在驗證要求中傳送,並設定為在入口網站上選取的語言。
設定其他宣告
設定範圍以包括其他宣告,例如
openid email profile。設定註冊宣告對應其他網站設定,例如
firstname=given_name,lastname=family_name。設定登入宣告對應其他網站設定,例如
firstname=given_name,lastname=family_name。
在這些範例中,其他宣告所提供的名字、姓氏和電子郵件地址會成為網站設定檔頁面中的預設值。
注意
文字和布林值資料類型支援宣告對應。
允許多租戶 Microsoft Entra 驗證
若要讓 Microsoft Entra 使用者可以從 Azure 中的任何租用戶進行驗證,而不只是從特定租用戶進行驗證,請將 Microsoft Entra 應用程式註冊變更為多租用戶。
您也必須在提供者的其他設定中設定簽發者篩選。