Portaalien OpenID Connect -palvelun määrittäminen

  • Artikkeli

Huomautus

Power Apps -portaaleja kutsutaan 12. lokakuuta 2022 alkaen nimellä Power Pages. Lisätietoja: Microsoft Power Pages on nyt yleisesti saatavilla (blogi)
Siirrämme ja yhdistämme Power Apps -portaalien dokumentaation pian Power Pagesin dokumentaatioon.

Ulkoiset OpenID Connect -käyttäjätietopalvelut noudattavat OpenID Connect -määrityksiä. OpenID Connect ottaa käyttöön ID-tunnuksen käsitteen Se on suojaustunnus, jonka avulla asiakas voi tarkistaa käyttäjän käyttäjätiedot. ID-tunnus hakee myös käyttäjän perusprofiilitiedot eli väitteet.

Tämä artikkeli käsittelee tapaa, jolla OpenId Connectia tukeva käyttäjätietopalvelu voidaan integroida Power Apps -portaaleihin. Esimerkkejä portaalien OpenID Connect -palveluista: Azure Active Directory (Azure AD) B2C, Azure AD ja Azure AD, jossa useita vuokraajia.

Portaalien tuetut ja tukemattomat todennusvirrat

  • Implisiittinen myöntäminen
    • Tämä virtaus on portaalien käyttämä oletustodennusmenetelmä.
  • Käyttöoikeuksien tarkistuskoodi
    • Portaalit käyttävät client_secret_post-menetelmää yhteydenpitoon käyttäjätietopalvelun tunnuspäätepisteen kanssa.
    • Tunnuksen päätepisteen todentamista private_key_jwt -menetelmällä ei tueta.
  • Yhteiskäyttö (rajoitettu tuki)
    • Portaalit edellyttävät, että id_token on vastauksessa, joten response_type-arvo ei voi olla code token.
    • Portaalien yhteiskäyttötyönkulku toimii samoin kuin implisiittisen myöntämisen työnkulku, ja käyttäjien suora kirjautuminen on mahdollista, koska id_token on käytössä.
  • Portaalit eivät tue PKCE (Proof Key for Code Exchange) -pohjaisia tekniikoita käyttäjien todentamisessa.

Huomautus

Voi kestää muutaman minuutin, ennen kuin todennusasetusten muutokset näkyvät portaalissa. Käynnistä portaali uudelleen portaalitoimintojen avulla, jos haluat, että muutokset näkyvät heti.

OpenID Connect -palvelun määrittäminen

Muiden palveluntarjoajien tapaan sinun täytyy kirjautua sisään Power Appsiin, jotta voit määrittää OpenID Connect -palveluntarjoajan.

  1. Valitse portaalissa Lisää palveluntajoaja.

  2. Valitse kirjautumisen toimittajaksi Muu.

  3. Valitse protokollaksi OpenID Connect.

  4. Kirjoita toimittajan nimi.

    Toimittajan nimi.

  5. Valitse Seuraava.

  6. Luo sovellus ja määritä asetukset käyttäjätietopalvelun kanssa.

    Sovelluksen luominen.

    Huomautus

    Sovelluksen käyttämä vastauksen URL-osoite ohjaa käyttäjät portaaliin, kun todennus on onnistunut. Jos portaali käyttää mukautettua toimialueen nimeä, sinulla voi olla eri URL-osoite kuin tässä.

  7. Kirjoita portaalin määritykselle seuraavat sivustoasetukset.

    OpenID-sivustoasetusten määrittäminen.

    Huomautus

    Varmista, että tarkistat oletusarvot ja muutat niitä tarvittaessa.

    Nimi Kuvaus
    Valtuudet Tunnistetietojen toimittajaan liitetty myöntäjän URL-osoite.
    Esimerkki (Azure AD): https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/
    Asiakkaan tunnus Sen sovelluksen tunnus, joka on luotu portaalissa käytettävän käyttäjätietopalvelun kanssa.
    Uudelleenohjauksen URL-osoite Sijainti, johon tunnistetietojen toimittaja lähettää todennuksen vastauksen.
    Esimerkki: https://contoso-portal.powerappsportals.com/signin-openid_1
    Huomautus: Jos käytät oletusarvoista portaalin URL-osoitetta, voit kopioida ja liittää vastauksen URL-osoitteen vaiheessa OpenID Connect -palvelun asetusten luominen ja määrittäminen kuvatulla tavalla. Jos käytät mukautettua toimialuenimeä, anna URL manuaalisesti. Varmista, että tässä määritetty arvo on täsmälleen sama kuin se sovelluksen Uudelleenohjauksen URI-osoite -arvo käyttäjätietopalvelussa (kuten Azure-portaalissa).
    Metatietojen osoite Metatietojen hankinnan etsimisen päätepiste. Yleinen muoto: [myöntäjän URL-osoite]/.well-known/openid-configuration.
    Esimerkki (Azure AD): https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/v2.0/.well-known/openid-configuration
    Käyttöalue Välilyönnein eroteltu luettelo vaikutusalueista, joita voi pyytää OpenID Connect -vaikutusalueparametrin avulla.
    Oletusarvo: openid
    Esimerkki (Azure AD): openid profile email
    Lisätietoja: Lisäaatimusten määrittäminen käytettäessä OpenID Connectia portaaleille Azure AD:n avulla
    Vastauksen tyyppi OpenID Connectin response_type -parametrin arvo.
    Mahdolliset arvot:
    • code
    • code id_token
    • id_token
    • id_token token
    • code id_token token

    Oletusarvo: code id_token
    Asiakasohjelman salainen koodi Asiakkaan piilokoodi -arvo toimittajan sovelluksesta. Tätä voidaan kutsua myös sovelluksen salaiseksi koodiksi tai kuluttajan salaiseksi koodiksi. Tämä asetus on pakollinen, jos valittu vastaustyyppi on code.
    Vastaustila OpenID Connectin response_mode -parametrin arvo. Arvon on oltava query, jos valittu vastaustyyppi on code. Oletusarvo: form_post.

  8. Määritä käyttäjien uloskirjautumisen asetukset.

    Uloskirjautumisen asetukset.

    Nimi Kuvaus
    Ulkoinen uloskirjautuminen Ottaa käyttöön ulkoisen tilin uloskirjautumisen tai poistaa sen käytöstä. Kun on käytössä, käyttäjät ohjataan ulkoiseen uloskirjautumisen käyttökokemukseen, kun he kirjautuvat ulos portaalista. Kun ei käytössä, käyttäjät kirjataan ulos vain portaalista.
    Uloskirjautumisen jälkeinen uudelleenohjauksen URL-osoite ​Sijainti, johon käyttäjätietopalvelun uudelleenohjaa käyttäjän ulkoisen uloskirjautumisen jälkeen. Tämä sijainti on määritettävä oikein käyttäjätietopalvelun määrityksessä.
    RP:n käynnistämä uloskirjautuminen Ottaa luottavan osapuolen käynnistämän uloskirjauksen käyttöön tai poistaa sen käytöstä. Ulkoinen uloskirjautuminen on otettava käyttöön, ennen kuin tätä asetusta voi käyttää.

  9. (Valinnainen) Lisäasetusten määrittäminen.

    Lisäasetukset.

    Nimi Kuvaus
    Myöntäjän suodatin Yleismerkkiin perustuva suodatin, joka määrittää kaikkien vuokraajien kaikkien myöntäjien vastaavuudet.
    Esimerkki: https://sts.windows.net/*/
    Vahvista käyttäjäryhmä Jos tämä on käytössä, käyttäjäryhmä vahvistetaan tunnuksen vahvistuksen yhteydessä.
    Sallitut käyttäjäryhmät Käyttäjäryhmän URL-osoitteiden pilkuilla eroteltu luettelo.
    Vahvista myöntäjät Jos tämä on käytössä, myöntäjä vahvistetaan tunnuksen vahvistuksen yhteydessä.
    Hyväksytyt myöntäjät Myöntäjien URL-osoitteiden pilkuilla eroteltu luettelo.
    Rekisteröintivaatimusten yhdistämismääritys Luettelo loogisista nimi-väite-pareista, joilla yhdistetään rekisteröitymisen yhteydessä palvelusta palautettavat väitearvot yhteyshenkilötietueen määritteisiin.
    Muoto: field_logical_name=jwt_attribute_name, missä field_logical_name on kentän looginen nimi portaaleissa ja jwt_attribute_name on määrite, jonka arvon tunnistetietojen tarjoaja palauttaa.
    Esimerkki: firstname=given_name,lastname=family_name käytettäessä Scope-arvoa profile Azure AD:lle. Tässä esimerkissä firstname ja lastname ovat portaalien profiilikenttien loogiset nimet, kun taas given_name ja family_name ovat määritteet, joissa on käyttäjätietopalvelun palauttamat kyseisten kenttien arvot.
    Kirjautumisvaatimusten yhdistämismääritys Luettelo loogisten name-claim-pareista, jotka yhdistävät palvelulta palautetut claim-arvot jokaisen kirjautumisen yhteydessä yhteyshenkilötietueen määritteeseen.
    Muoto: field_logical_name=jwt_attribute_name, missä field_logical_name on kentän looginen nimi portaaleissa ja jwt_attribute_name on määrite, jonka arvon tunnistetietojen tarjoaja palauttaa.
    Esimerkki: firstname=given_name,lastname=family_name käytettäessä Scope-arvoa profile Azure AD:lle. Tässä esimerkissä firstname ja lastname ovat portaalien profiilikenttien loogiset nimet, kun taas given_name ja family_name ovat määritteet, joissa on käyttäjätietopalvelun palauttamat kyseisten kenttien arvot.
    Satunnaisluvun elinkaari Satunnaislukuarvon elinkaari minuutteina. Oletusarvo: 10 minuuttia.
    Käytä tunnuksen elinkaarta Osoittaa, että todennusistunnon elinkaaren (esimerkiksi evästeiden) on vastattava todennustunnuksen elinkaarta. Jos tämä on määritetty, tämä arvo korvaa sovelluksen evästeen vanhentumisen kesto -arvon sivustoasetuksessa Authentication/ApplicationCookie/ExpireTimeSpan.
    Yhteyshenkilön yhdistämismääritys ja sähköposti Määritä, onko yhteyshenkilöt yhdistetty vastaavaan viestiin.
    Jos asetukseksi on määritetty Käytössä, yksilöllinen tietue yhdistetään sitä vastaavaan sähköpostiosoitteeseen ja sitten osoittaa ulkoisen tunnistetarjoajan yhteyshenkilöön sen jälkeen, kun käyttäjä on onnistuneesti kirjautunut sisään.

    Huomautus

    UI_Locales-pyyntöparametri lähetetään nyt automaattisesti todentamispyynnössä, ja se määritetään portaalissa valitulle kielelle.

OpenID Connect -palvelun muokkaaminen

Lisätietoja määritetyn OpenID Connect - tarjoajan muokkaamisesta on kohdassa Palveluntarjoajan muokkaaminen.

Katso myös

Portaalien OpenID Connect -palvelun määrittäminen Azure AD:n avulla
Usein kysyttyjä kysymyksiä OpenID Connectin käytöstä portaaleissa

Huomautus

Voitko kertoa meille dokumentaatiota koskevan kielimäärityksesi? Vastaa lyhyeen kyselyyn. (Huomaa, että tämä kysely on englanninkielinen.)

Kyselyyn vastaaminen kestää noin seitsemän minuuttia. Henkilökohtaisia tietoja ei kerätä (tietosuojatiedot).