Sdílet prostřednictvím

Nastavení zprostředkovatele OpenID Connect s Azure AD B2C

  • Článek

Azure Active Directory (Azure AD) B2C je jedním z poskytovatelů identity OpenID Connect, které můžete použít k ověření návštěvníků na váš web Power Pages. Můžete použít jakéhokoli poskytovatele, který je v souladu se specifikací Open ID Connect.

Tento článek popisuje následující kroky:

Poznámka:

Změny nastavení ověřování webu mohou trvat několik minut, než se na portálu projeví. Chcete-li změny okamžitě vidět, restartujte web v centru pro správu.

Nastavení Azure AD B2C v Power Pages

Nastavte Azure AD B2C jako poskytovatele identity pro svůj web.

  1. Na vašem webu Power Pages vyberte Zabezpečení>Poskytovatelé identity.

    Pokud se nezobrazují žádní poskytovatelé identity, ujistěte se, že Externí přihlášení je nastaveno na Zapnuto v obecných nastaveních ověřování vašeho webu.

  2. Napravo od Azure Active Directory B2C vyberte Další příkazy () >Konfigurovat nebo vyberte název poskytovatele.

  3. Ponechte název poskytovatele tak, jak je, nebo ho změňte, pokud chcete.

    Název zprostředkovatele je text na tlačítku, který se uživatelům zobrazí při výběru zprostředkovatele identity na přihlašovací stránce.

  4. Vyberte Další.

  5. V části Adresa URL odpovědi vyberte Kopírovat.

  6. Vyberte Otevřít Azure.

    Nezavírejte kartu prohlížeče Power Pages. Brzy se k ní vrátíte.

Vytvoření registrace aplikace

Vytvořte tenanta pro Azure AD B2C a zaregistrujte aplikaci s adresou URL odpovědi vašeho webu jako URI přesměrování.

  1. Vytvoření klienta Azure AD B2C.

  2. Vyhledejte a vyberte Azure AD B2C.

  3. Pod Spravovat vyberte Registrace aplikací.

  4. Vyberte Nová registrace.

  5. Zadejte název.

  6. Vyberte jeden z typů podporovaných účtů, který nejlépe odpovídá požadavkům vaší organizace.

  7. V části Adresa URI přesměrování vyberte jako platformu Web a poté zadejte adresu URL odpovědi pro svůj web.

    • Pokud používáte výchozí adresu URL svého webu, vložte adresu URL odpovědi, kterou jste zkopírovali.
    • Pokud používáte vlastní název domény, zadejte vlastní adresu URL. Nezapomeňte použít stejnou vlastní adresu URL pro adresu URL přesměrování v nastavení poskytovatele identity na vašem webu.

  8. Vyberte Zaregistrovat.

  9. Zkopírujte ID aplikace (klienta).

  10. V levém panelu pod Spravovat vyberte Ověření.

  11. V sekci Implicitní udělení oprávnění vyberte Přístupové tokeny (použité pro implicitní toky).

  12. Zvolte Uložit.

  13. Nakonfigurujte kompatibilitu tokenů pomocí Nároku vydavatele (iss) URL, která obsahuje tfp. Další informace o kompatibilitě tokenů.

Vytváření uživatelských toků

  1. Vytvořte tok uživatele pro registraci a přihlášení.

  2. (Volitelně) Vytvořte tok uživatele pro resetování hesla.

Získání adresy URL vydavatele z uživatelských toků

  1. Otevřete tok uživatele pro registraci a přihlašování, který jste vytvořili.

  2. Na Azure Portal přejděte na tenanta Azure AD B2C.

  3. Vyberte Spustit tok uživatele.

  4. Otevřete adresu URL konfigurace OpenID Connect v nové kartě prohlížeče.

    Adresa URL odkazuje na Konfigurační dokument zprostředkovatele identity OpenID Connect, také známý jako Koncový bod známé konfigurace OpenID.

  5. Zkopírujte adresu URL vydavatele z panelu adresy. Nezahrnujte uvozovky. Zajistěte, aby adresa URL Nárok vydavatele (iss) zahrnovala tfp.

  6. Otevřete uživatelský postup pro resetování hesla, pokud jste ho vytvořili, a opakujte kroky 2–5.

Zadání nastavení webu a nastavení resetování hesla v Power Pages

  1. Vraťte se na stránku Konfigurace poskytovatele identity Power Pages, kterou jste opustili dříve.

  2. V sekci Konfigurace nastavení webu zadejte následující hodnoty:

    • Oprávnění: Vložte adresu URL vydavatele, kterou jste zkopírovali.​

    • ID klienta​: Vložte ID aplikace (klienta) aplikace Azure AD B2C, kterou jste vytvořili.

    • Adresa URI přesměrování: Pokud váš web používá vlastní název domény, zadejte vlastní adresu URL, jinak ponechte výchozí hodnotu, kterou by měla být adresa URL odpovědi vašeho webu.

  3. V sekci Nastavení resetování hesla zadejte následující hodnoty:

    • Výchozí ID zásady: Zadejte název toku uživatele pro registraci a přihlašování, které jste vytvořili. Název má předponu B2C_1.

    • ID zásady resetování hesla: Pokud jste vytvořili tok uživatele pro resetování hesla, zadejte jeho název. Název má předponu B2C_1.

    • Platní vydavatelé: Zadejte čárkami oddělený seznam URL vydavatelů, který obsahuje uživatelský tok registrace a přihlašování a uživatelský tok resetování hesla, který jste vytvořili.

  4. (Volitelné) Rozbalte Další nastavení a změňte nastavení podle potřeby.

  5. Vyberte Potvrdit.

Další nastavení v Power Pages

Další nastavení vám poskytují jemnější kontrolu nad tím, jak se uživatelé ověřují u poskytovatele identity Azure ADB2C. Nemusíte nastavovat žádnou z těchto hodnot. Jsou zcela volitelné.

  • Mapování nároků na registraci​ a Mapování nároků na přihlášení: Při ověřování uživatele jsou nárok informace, které popisují identitu uživatele, jako je e-mailová adresa nebo datum narození. Když se přihlásíte do aplikace nebo webové stránky, vytvoří se token. Token obsahuje informace o vaší identitě, včetně jakýchkoli nároků, které jsou s ním spojeny. Tokeny se používají k ověření vaší identity, když přistupujete k jiným částem aplikace nebo webu nebo jiným aplikacím a webům, které jsou připojeny ke stejnému poskytovateli identity. Mapování nároků je způsob, jak změnit informace obsažené v tokenu. Lze ho použít k přizpůsobení informací, které má aplikace nebo web k dispozici, a ke kontrole přístupu k funkcím nebo datům. Mapování nároků registrací upravuje nároky, které se vydávají při registraci pro aplikaci nebo web. Mapování nároků přihlašování upravuje nároky, které se vydávají při přihlašování k aplikaci nebo webu. Další informace o zásadách mapování nároků.

    • Hodnoty pro tato nastavení nemusíte zadávat, pokud používáte atributy e-mail, jméno nebo příjmení. Pro ostatní atributy zadejte seznam logických párů název/hodnota. Zadejte je ve formátu field_logical_name=jwt_attribute_name, kde field_logical_name je logický název pole v Power Pages a jwt_attribute_name je atribut s hodnotou vrácenou od poskytovatele identity. Tyto páry se používají k mapování hodnot nároků (vytvořených během registrace nebo přihlášení a vrácených z Azure AD B2C) na atributy v záznamu kontaktu.

      Například použijete JobTitle (jobTitle) a PSČ (postalCode) jako Atributy uživatele ve vašem toku uživatelů. Chcete aktualizovat odpovídající pole tabulky Contact Název práce (jobtitle) a Adresa 1: PSČ (address1_postalcode). V tomto případě zadejte mapování nároků jako jobtitle=jobTitle,address1_postalcode=postalCode.

  • Externí odhlášení: Toto nastavení řídí, zda váš web používá federované odhlášení. Díky federovanému odhlášení, když se uživatelé odhlásí z aplikace nebo webu, jsou také odhlášeni ze všech aplikací a webů, které používají stejného poskytovatele identity. Pokud se například přihlásíte k webu pomocí svého účtu Microsoft a pak se ze svého účtu Microsoft odhlásíte, federované odhlášení zajistí, že jste odhlášeni i z webu.

    • Zapnuto: Přesměruje uživatele při odhlášení z webu na federované prostředí odhlášení.
    • Vypnuto: Odhlásí uživatele pouze z vašeho webu.

  • Mapování kontaktů pomocí e-mailu: Toto nastavení určuje, zda jsou kontakty mapovány na příslušnou e-mailovou adresu, když se přihlásí.

    • Zapnuto: Přiřadí jedinečný záznam kontaktu k odpovídající e-mailové adrese a poté automaticky přiřadí externího poskytovatele identit ke kontaktu poté, co se uživatel úspěšně přihlásí.
    • Vypnuto: Záznam kontaktu neodpovídá poskytovateli identity. Toto je výchozí možnost pro toto nastavení.

  • Registrace povolena: Toto nastavení řídí, zda se uživatelé mohou registrovat na vašem webu.

    • Zapnuto: Zobrazí přihlašovací stránku, kde si uživatelé mohou vytvořit účet na vašem webu.
    • Vypnuto: Deaktivuje a skryje stránku externí registrace účtu.

Viz také

Nastavení ověřování webu
Migrace poskytovatelů identity na Azure AD B2C