Comparteix a través de

Preguntes més freqüents sobre l'ús d'OpenID Connect als portals

  • Article

Nota

Des del 12 d'octubre de 2022, els portals del Power Apps són Power Pages. Més informació: Microsoft Power Pages ara està disponible de manera general (bloc)
Ben aviat migrarem i combinarem la documentació dels portals del Power Apps amb la documentació del Power Pages.

Aquest article inclou informació sobre els escenaris de portals del Power Apps i les preguntes més freqüents per utilitzar un proveïdor d'autenticació que s'ajusta a l'especificació de l'OpenID Connect.

Necessito un document de descobriment automàtic de l'OpenId Connect per a la integració amb portals?

Sí. El document de descobriment automàtic (conegut també com a /.well-known/openid-configuration) és necessari per a la integració amb els portals. La informació present en aquest document és utilitzada pels portals per crear sol·licituds d'autorització i validar els testimonis d'autenticació.

Si el vostre proveïdor d'identitat no proporciona aquest document, podeu crear-lo manualment i allotjar-lo en qualsevol ubicació pública (incloent-hi el portal).

Nota

De manera similar al document de descobriment, els portals també requereixen que el proveïdor d'identitat proporcioni un extrem públic URI de JWKS on les claus públiques estiguin disponibles per verificar la signatura del testimoni d'identificació. Cal especificar aquest extrem al document de descobriment com a clau jwks_uri.

Els portals admeten els paràmetres de sol·licitud acr_values a les sol·licituds d'autenticació?

No. Els portals no admeten els paràmetres de sol·licitud acr_values a les sol·licituds d'autorització. No obstant això, la característica de portals admet tots els paràmetres de sol·licitud obligatoris i recomanats definits a l'Especificació de l'OpenId Connect.

S'admeten els següents paràmetres opcionals:

  • Response_mode
  • Nonce
  • UI_Locales

Els portals admeten paràmetres d'àmbit personalitzats en sol·licituds d'autenticació?

Sí. Els paràmetres d'àmbit personalitzats es poden especificar mitjançant l'opció d'àmbit durant la configuració.

Per què el valor del nom d'usuari al registre d'un contacte o una identitat externa al Dataverse mostra un valor diferent en comparació amb el que l'usuari ha introduït a la pàgina d'inici de sessió?

El camp de nom d'usuari en un registre de contacte i un registre d'identitat externa mostrarà el valor enviat a la subdeclaració o declaració d'identificador d'objecte (OID) (només per a proveïdors basats en l'Azure AD). Això es deu al fet que la subdeclaració representa l'identificador de l'usuari final i el proveïdor d'identitat garanteix que és única. La declaració OID (on l'ID d'objecte és un identificador únic per a tots els usuaris en un inquilí) s'admet quan s'utilitza amb proveïdors basats en l'Azure AD amb un únic inquilí.

Els portals admeten el tancament de la sessió del proveïdor basat en l'OpenId Connect?

Sí. La característica de portals admet la tècnica de tancament de la sessió del canal frontal per sortir de l'aplicació i els proveïdors basats en l'OpenId Connect.

Els portals admeten el tancament de la sessió únic?

No. Els portals no admeten la tècnica de tancament de la sessió únic per als proveïdors basats en l'OpenID Connect.

Els portals requereixen cap declaració específica en un testimoni d'identificador?

A part de totes les declaracions necessàries, la característica de portals requereix una declaració que representi l'adreça de correu electrònic dels usuaris al testimoni d'identificador. Aquesta reclamació s'ha d'anomenar email, emails o upn.

A part de totes les declaracions necessàries, els portals requereixen una declaració que representi l'adreça de correu electrònic dels usuaris a id_token. Aquesta declaració s'ha d'anomenar "email", "emails" o "upn".

Aquestes declaracions es processen en el següent ordre de prioritat per establir-les com a Adreça de correu electrònic principal del registre de contacte al Dataverse:

  1. correu
  2. correus electrònics
  3. upn

Quan està en ús, "emailclaimsmapping" també s'utilitza per cercar un contacte existent (camp Adreça de correu electrònic principal al Dataverse).

Puc accedir als testimonis (ID o accés) mitjançant JavaScript?

No. El testimoni d'identificador proporcionat pel proveïdor d'identitat no està disponible a través de cap tècnica estàndard al costat del client i només s'utilitza per a l'autenticació. No obstant això, si esteu utilitzant el flux de concessió implícita, podeu utilitzar els mètodes proporcionats pel vostre proveïdor d'identitat per accedir a l'ID o els testimonis d'accés.

Per exemple, l'Azure AD proporciona la Biblioteca d'autenticació del Microsoft per aconseguir aquest escenari en els clients.

Puc utilitzar un proveïdor de l'OpenId Connect personalitzat, en lloc de l'Azure AD?

Sí. Els portals admeten qualsevol proveïdor de l'OpenID Connect que admeti l'especificació de l'OpenID Connect estàndard.

Consulteu també

Configurar un proveïdor de l'OpenID Connect per a portals

Nota

Ens podeu dir quines són les vostres preferències d'idioma per a la documentació? Responeu una breu enquesta. (tingueu en compte que l'idioma de l'enquesta és l'anglès)

Trigareu uns set minuts a completar l'enquesta. No es recopilen dades personals (declaració de privadesa).