Sdílet prostřednictvím

Nastavení zprostředkovatele OpenID Connect

  • Článek

Poskytovatelé identity OpenID Connect jsou služby, které odpovídají specifikaci Open ID Connect. OpenID Connect zavádí koncept tokenu ID. Token ID je token zabezpečení, který umožňuje klientovi ověřit identitu uživatele. Získá také základní informace o profilu uživatele, též označované jako deklarace identity.

Poskytovatelé OpenID Connect Azure AD B2C, Microsoft Entra ID a Microsoft Entra ID s více tenanty jsou integrováni do Power Pages. Tento článek vysvětluje, jak na váš web Power Pages přidat další poskytovatele identity OpenID Connect.

Podporované a nepodporované autentizační toky v Power Pages

  • Implicitní udělení
    • Tento tok je výchozí metodou ověřování používanou pro weby Power Pages.
  • Autorizační kód
    • Power Pages používá metodu client_secret_post ke komunikaci s koncovým bodem tokenu serveru identity.
    • Metoda private_key_jwt ověřování pomocí koncového bodu tokenu není podporována.
  • Hybridní (omezená podpora)
    • Power Pages vyžaduje, aby byl id_token přítomen v odpovědi, takže hodnota response_type = token kódu není podporována.
    • Hybridní tok v Power Pages sleduje stejný tok jako tok implicitního udělení oprávnění a používá id_token pro přímé přihlášení uživatelů.
  • Proof Key for Code Exchange (PKCE)
    • Techniky založené na PKCE pro ověřování uživatelů nejsou podporovány.

Poznámka:

Změny nastavení ověřování webu mohou trvat několik minut, než se na portálu projeví. Chcete-li změny okamžitě vidět, restartujte web v centru pro správu.

Nastavení zprostředkovatele OpenID Connect v Power Pages

  1. Na vašem webu Power Pages vyberte Zabezpečení>Poskytovatelé identity.

    Pokud se nezobrazují žádní poskytovatelé identity, ujistěte se, že Externí přihlášení je nastaveno na Zapnuto v obecných nastaveních ověřování vašeho webu.

  2. Vyberte + Nový zprostředkovatel.

  3. V části Vybrat zprostředkovatele přihlášení vyberte Ostatní.

  4. Jako Protokol vyberte OpenID Connect.

  5. Zadejte název pro zprostředkovatele.

    Název zprostředkovatele je text na tlačítku, který se uživatelům zobrazí při výběru zprostředkovatele identity na přihlašovací stránce.

  6. Vyberte Další.

  7. V části Adresa URL odpovědi vyberte Kopírovat.

    Nezavírejte kartu prohlížeče Power Pages. Brzy se k ní vrátíte.

Vytvoření registrace aplikace u poskytovatele identity

  1. Vytvořte a zaregistrujte aplikaci u svého poskytovatele identity pomocí adresy URL odpovědi, kterou jste zkopírovali.

  2. Zkopírujte ID aplikace nebo klienta a tajný klíč klienta.

  3. Vyhledejte koncové body aplikace a zkopírujte adresu URL dokumentu metadat OpenID Connect.

  4. Změňte další nastavení poskytovatele identity podle potřeby.

Zadání nastavení webu v Power Pages

Vraťte se na stránku Konfigurace poskytovatele identity Power Pages, kterou jste opustili dříve, a zadejte následující hodnoty. Podle potřeby můžete změnit další nastavení. Až budete hotovi, vyberte Potvrdit.

  • Autorita: Zadejte adresu URL autority v následujícím formátu: https://login.microsoftonline.com/<Directory (tenant) ID>/, kde <ID adresáře (tenanta)> je ID adresáře (tenanta) aplikace, kterou jste vytvořili. Například pokud je ID adresáře (tenanta) na Azure Portal 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, pak je adresa URL autority je https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • ID klienta​: Zadejte ID aplikace nebo klienta aplikace, kterou jste vytvořili.

  • URL přesměrování: Pokud váš web používá vlastní název domény, zadejte vlastní adresu URL; jinak ponechte výchozí hodnotu. Ujistěte se, že hodnota je přesně stejná jako URI přesměrování aplikace, kterou jste vytvořili.

  • Adresa metadat: Vložte adresu URL dokumentu metadat OpenID Connect, kterou jste zkopírovali.

  • Rozsah: Zadejte mezerami oddělený seznam rozsahů používajících parametr scope OpenID Connect. Výchozí hodnota je openid.

    Hodnota openid je povinná. Přečtěte si o dalších nárocích, které můžete přidat.

  • Typ odpovědi: Zadejte hodnotu parametru response_type OpenID Connect. Možné hodnoty zahrnují code, code id_token, id_token, id_token token a code id_token token. Výchozí hodnota je code id_token.

  • Tajný kód klienta: Vložte tajný klíč klienta z aplikace poskytovatele. To může být také označováno také jako tajný klíč aplikace nebo tajný klíč uživatele. Toto nastavení je vyžadováno, pokud je typ odpovědi code.

  • Režim odpovědi: Zadejte hodnotu parametru response_mode OpenID Connect. Hodnota je query, pokud je typem odpovědi code. Výchozí hodnota je form_post.

  • Externí odhlášení: Toto nastavení řídí, zda váš web používá federované odhlášení. Díky federovanému odhlášení, když se uživatelé odhlásí z aplikace nebo webu, jsou také odhlášeni ze všech aplikací a webů, které používají stejného poskytovatele identity. Zapněte pro přesměrování uživatelů při odhlášení z webu na federované prostředí odhlášení. Vypněte, pokud chcete uživatele odhlásit pouze ze svého webu.

  • Adresa URL přesměrování po odhlášení: Zadejte adresu URL, kam zprostředkovatel identity přesměruje uživatele po odhlášení. Toto umístění musí být správně nastaveno v konfiguraci zprostředkovatele identity.

  • Odhlášení zahájené RP: Toto nastavení řídí, zda přijímající strana – klientská aplikace OpenID Connect – může odhlásit uživatele. Chcete-li použít toto nastavení, zapněte Externí odhlášení.

Další nastavení v Power Pages

Další nastavení vám poskytují jemnější kontrolu nad tím, jak se uživatelé ověřují u poskytovatele identity OpenID Connect. Nemusíte nastavovat žádnou z těchto hodnot. Jsou zcela volitelné.

  • Filtr vydavatele: Zadejte filtr založený na zástupném znaku, který vyhledá všechny vydavatele napříč všemi klienty, např. https://sts.windows.net/*/. Pokud používáte zprostředkovatele ověřování Microsoft Entra ID, filtr adresy URL vydavatele by byl https://login.microsoftonline.com/*/v2.0/.

  • Ověřit cílovou skupinu: Zapnutím tohoto nastavení ověříte cílovou skupinu během ověřování tokenu.

  • Platné cílové skupiny: Zadejte čárkami oddělený seznam adres URL cílových skupin.

  • Ověřit vydavatele: Zapnutím tohoto nastavení ověříte vydavatele během ověřování tokenu.

  • Platní vydavatelé: Zadejte čárkami oddělený seznam adres URL vydavatele.

  • Mapování nároků na registraci​ a Mapování nároků na přihlášení: Při ověřování uživatele jsou nárok informace, které popisují identitu uživatele, jako je e-mailová adresa nebo datum narození. Když se přihlásíte do aplikace nebo webové stránky, vytvoří se token. Token obsahuje informace o vaší identitě, včetně jakýchkoli nároků, které jsou s ním spojeny. Tokeny se používají k ověření vaší identity, když přistupujete k jiným částem aplikace nebo webu nebo jiným aplikacím a webům, které jsou připojeny ke stejnému poskytovateli identity. Mapování nároků je způsob, jak změnit informace obsažené v tokenu. Lze ho použít k přizpůsobení informací, které má aplikace nebo web k dispozici, a ke kontrole přístupu k funkcím nebo datům. Mapování nároků registrací upravuje nároky, které se vydávají při registraci pro aplikaci nebo web. Mapování nároků přihlašování upravuje nároky, které se vydávají při přihlašování k aplikaci nebo webu. Další informace o zásadách mapování nároků.

  • Životnost nonce: Zadejte dobu trvání hodnoty nonce v minutách. Výchozí hodnota je 10 minut.

  • Použít životnost tokenu: Toto nastavení řídí, zda se životnost relace ověřování, například soubory cookie, shoduje s životností ověřovacího tokenu. Pokud možnost zapnete, tato hodnota přepíše hodnotu časového rozpětí platnosti souboru cookie v nastavení webu Authentication/ApplicationCookie/ExpireTimeSpan.

  • Mapování kontaktů pomocí e-mailu: Toto nastavení určuje, zda jsou kontakty mapovány na příslušnou e-mailovou adresu, když se přihlásí.

    • Zapnuto: Přiřadí jedinečný záznam kontaktu k odpovídající e-mailové adrese a poté automaticky přiřadí externího poskytovatele identit ke kontaktu poté, co se uživatel úspěšně přihlásí.
    • Vyp

Poznámka:

Parametr požadavku UI_Locales je automaticky odeslán v požadavku na ověření a je nastaven na jazyk vybraný na portálu.

Viz také

Nastavení zprostředkovatele OpenID Connect s Azure Active Directory (Azure AD) B2C
Nastavení zprostředkovatele OpenID Connect s Microsoft Entra ID
Nejčastější dotazy k OpenID Connect