Sdílet prostřednictvím

Nastavení zprostředkovatele OpenID Connect

Poskytovatelé identity OpenID Connect jsou služby, které odpovídají specifikaci Open ID Connect. OpenID Connect zavádí koncept tokenu ID. Token ID je token zabezpečení, který umožňuje klientovi ověřit identitu uživatele. Získá také základní informace o profilu uživatele, též označované jako deklarace identity.

Poskytovatelé OpenID Connect Azure AD B2C, Microsoft Entra ID a Microsoft Entra ID s více tenanty jsou integrováni do Power Pages. Tento článek vysvětluje, jak na váš web Power Pages přidat další poskytovatele identity OpenID Connect.

Podporované a nepodporované autentizační toky v Power Pages

  • Implicitní udělení
    • Tento tok je výchozí metodou ověřování používanou pro weby Power Pages.
  • Autorizační kód
    • Power Pages používá metodu client_secret_post ke komunikaci s koncovým bodem tokenu serveru identity.
    • Metoda private_key_jwt ověřování pomocí koncového bodu tokenu není podporována.
  • Hybridní (omezená podpora)
    • Power Pages vyžaduje, aby byl id_token přítomen v odpovědi, takže hodnota response_type = token kódu není podporována.
    • Hybridní tok v Power Pages sleduje stejný tok jako tok implicitního udělení oprávnění a používá id_token pro přímé přihlášení uživatelů.
  • Proof Key for Code Exchange (PKCE)
    • Techniky založené na PKCE pro ověřování uživatelů nejsou podporovány.

Poznámka:

Změny nastavení ověřování webu mohou trvat několik minut, než se na portálu projeví. Pokud chcete změny zobrazit hned, restartujte web v centru pro správu.

Nastavení zprostředkovatele OpenID Connect v Power Pages

  1. Na vašem webu Power Pages vyberte Zabezpečení>Poskytovatelé identity.

    Pokud se nezobrazí žádní zprostředkovatelé identity, zkontrolujte, jestli je Externí přihlášení je nastaveno na Zapnuto v obecném nastavení ověřování.

  2. Vyberte + Nový zprostředkovatel.

  3. V části Vybrat zprostředkovatele přihlášení vyberte Ostatní.

  4. Jako Protokol vyberte OpenID Connect.

  5. Zadejte název pro zprostředkovatele.

    Název zprostředkovatele je text na tlačítku, které se uživatelům zobrazí při výběru zprostředkovatele identity na přihlašovací stránce.

  6. Vyberte Další.

  7. V části Adresa URL odpovědi vyberte Kopírovat.

    Nezavírejte kartu prohlížeče Power Pages. Brzy se k ní vrátíte.

Vytvoření registrace aplikace u poskytovatele identity

  1. Vytvořte a zaregistrujte aplikaci u svého poskytovatele identity pomocí adresy URL odpovědi, kterou jste zkopírovali.

  2. Zkopírujte ID aplikace nebo klienta a tajný klíč klienta.

  3. Vyhledejte koncové body aplikace a zkopírujte adresu URL dokumentu metadat OpenID Connect.

  4. Změňte další nastavení poskytovatele identity podle potřeby.

Zadání nastavení webu v Power Pages

Vraťte se na stránku Konfigurace poskytovatele identity Power Pages, kterou jste opustili dříve, a zadejte následující hodnoty. Podle potřeby můžete změnit další nastavení. Až budete hotovi, vyberte Potvrdit.

  • Autorita: Zadejte adresu URL autority v následujícím formátu: https://login.microsoftonline.com/<Directory (tenant) ID>/, kde <ID adresáře (tenanta)> je ID adresáře (tenanta) aplikace, kterou jste vytvořili. Například pokud je ID adresáře (tenanta) na Azure Portal aaaabbbb-0000-cccc-1111-dddd2222eeee, pak je adresa URL autority je https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • ID klienta​: Zadejte ID aplikace nebo klienta aplikace, kterou jste vytvořili.

  • URL přesměrování: Pokud váš web používá vlastní název domény, zadejte vlastní adresu URL; jinak ponechte výchozí hodnotu. Ujistěte se, že hodnota je přesně stejná jako URI přesměrování aplikace, kterou jste vytvořili.

  • Adresa metadat: Vložte adresu URL dokumentu metadat OpenID Connect, kterou jste zkopírovali.

  • Rozsah: Zadejte mezerami oddělený seznam rozsahů používajících parametr scope OpenID Connect. Výchozí hodnota je openid.

    Hodnota openid je povinná. Přečtěte si o dalších nárocích, které můžete přidat.

  • Typ odpovědi: Zadejte hodnotu parametru response_type OpenID Connect. Možné hodnoty zahrnují code, code id_token, id_token, id_token token a code id_token token. Výchozí hodnota je code id_token.

  • Tajný kód klienta: Vložte tajný klíč klienta z aplikace poskytovatele. To může být také označováno také jako tajný klíč aplikace nebo tajný klíč uživatele. Toto nastavení je vyžadováno, pokud je typ odpovědi code.

  • Režim odpovědi: Zadejte hodnotu parametru response_mode OpenID Connect. Hodnota je query, pokud je typem odpovědi code. Výchozí hodnota je form_post.

  • Externí odhlášení: Toto nastavení řídí, zda váš web používá federované odhlášení. Díky federovanému odhlášení, když se uživatelé odhlásí z aplikace nebo webu, jsou také odhlášeni ze všech aplikací a webů, které používají stejného poskytovatele identity. Zapněte pro přesměrování uživatelů při odhlášení z webu na federované prostředí odhlášení. Vypněte, pokud chcete uživatele odhlásit pouze ze svého webu.

  • Adresa URL přesměrování po odhlášení: Zadejte adresu URL, kam zprostředkovatel identity přesměruje uživatele po odhlášení. Toto umístění musí být správně nastaveno v konfiguraci zprostředkovatele identity.

  • Odhlášení zahájené RP: Toto nastavení řídí, zda přijímající strana – klientská aplikace OpenID Connect – může odhlásit uživatele. Chcete-li použít toto nastavení, zapněte Externí odhlášení.

Další nastavení v Power Pages

Další nastavení vám poskytují jemnější kontrolu nad tím, jak se uživatelé ověřují u poskytovatele identity OpenID Connect. Nemusíte nastavovat žádnou z těchto hodnot. Jsou zcela volitelné.

  • Filtr vydavatele: Zadejte filtr založený na zástupném znaku, který vyhledá všechny vydavatele napříč všemi klienty, např. https://sts.windows.net/*/. Pokud používáte zprostředkovatele ověřování Microsoft Entra ID, filtr adresy URL vydavatele by byl https://login.microsoftonline.com/*/v2.0/.

  • Ověřit cílovou skupinu: Zapnutím tohoto nastavení ověříte cílovou skupinu během ověřování tokenu.

  • Platné cílové skupiny: Zadejte čárkami oddělený seznam adres URL cílových skupin.

  • Ověřit vydavatele: Zapnutím tohoto nastavení ověříte vydavatele během ověřování tokenu.

  • Platní vydavatelé: Zadejte čárkami oddělený seznam adres URL vydavatele.

  • Mapování nároků na registraci​ a Mapování nároků na přihlášení: Při ověřování uživatele jsou nárok informace, které popisují identitu uživatele, jako je e-mailová adresa nebo datum narození. Když se přihlásíte do aplikace nebo webové stránky, vytvoří se token. Token obsahuje informace o vaší identitě, včetně jakýchkoli nároků, které jsou s ním spojeny. Tokeny se používají k ověření vaší identity, když přistupujete k jiným částem aplikace nebo webu nebo jiným aplikacím a webům, které jsou připojeny ke stejnému poskytovateli identity. Mapování nároků je způsob, jak změnit informace obsažené v tokenu. Lze ho použít k přizpůsobení informací, které má aplikace nebo web k dispozici, a ke kontrole přístupu k funkcím nebo datům. Mapování nároků registrací upravuje nároky, které se vydávají při registraci pro aplikaci nebo web. Mapování nároků přihlašování upravuje nároky, které se vydávají při přihlašování k aplikaci nebo webu. Další informace o zásadách mapování nároků.

    Uživatelské informace lze zadat dvěma způsoby:

    • Nároky tokenu ID – Základní atributy uživatele, jako je křestní jméno nebo e-mail, jsou v tokenu.
    • Koncový bod UserInfo – Zabezpečené rozhraní API, které po ověření vrací podrobné informace o uživateli.

    Pokud chcete použít koncový bod UserInfo, vytvořte nastavení webu s názvem Authentication/OpenIdConnect/{ProviderName}/UseUserInfoEndpointforClaims a nastavte hodnotu na true.

    Případně vytvořte nastavení webu s názvem Authentication/OpenIdConnect/{ProviderName}/UserInfoEndpoint a nastavte hodnotu na adresu URL koncového bodu UserInfo. Pokud toto nastavení nezadáte, Power Pages se pokusí najít koncový bod z metadat OIDC.

    Zpracování chyb:

    • Pokud adresa URL koncového bodu není nastavená a Power Pages ji nemůže najít v metadatech, přihlášení pokračuje a zaprotokoluje upozornění.
    • Pokud je adresa URL nastavená, ale není přístupná, přihlášení pokračuje s upozorněním.
    • Pokud koncový bod vrátí chybu ověřování (například 401 nebo 403), přihlášení pokračuje upozorněním, které obsahuje chybovou zprávu.

    Syntaxe mapování:

    Chcete-li použít deklarace identity UserInfo v mapování deklarací identity přihlášení nebo registrace, použijte tento formát:

    fieldName = userinfo.claimName

    Pokud UseUserInfoEndpointforClaims není povolená, mapování, která používají předponu userinfo., se ignorují.

  • Životnost nonce: Zadejte dobu trvání hodnoty nonce v minutách. Výchozí hodnota je 10 minut.

  • Použít životnost tokenu: Toto nastavení řídí, zda se životnost relace ověřování, například soubory cookie, shoduje s životností ověřovacího tokenu. Pokud možnost zapnete, tato hodnota přepíše hodnotu časového rozpětí platnosti souboru cookie v nastavení webu Authentication/ApplicationCookie/ExpireTimeSpan.

  • Mapování kontaktů pomocí e-mailu: Toto nastavení určuje, zda jsou kontakty mapovány na příslušnou e-mailovou adresu, když se přihlásí.

    • Zapnuto: Přiřadí jedinečný záznam kontaktu k odpovídající e-mailové adrese a poté automaticky přiřadí externího poskytovatele identit ke kontaktu poté, co se uživatel úspěšně přihlásí.
    • Vyp

Poznámka:

Parametr požadavku UI_Locales je automaticky odeslán v požadavku na ověření a je nastaven na jazyk vybraný na portálu.

Další parametry autorizace

Použijte následující parametry autorizace, ale nenastavujte je v rámci zprostředkovatele OpenID Connect v Power Pages:

  • acr_values: Parametr acr_values umožňuje zprostředkovatelům identity vynucovat úrovně záruky zabezpečení, jako je vícefaktorové ověřování (MFA). Umožňuje aplikaci označit požadovanou úroveň ověřování.

    Pokud chcete použít parametr acr_values, vytvořte nastavení webu s názvem Authentication/OpenIdConnect/{ProviderName}/AcrValues a nastavte hodnotu, kterou potřebujete. Když nastavíte tuto hodnotu, Power Pages zahrne parametr acr_values do žádosti o autorizaci.

  • Dynamické parametry autorizace: Dynamické parametry umožňují přizpůsobit žádost o autorizaci pro různé kontexty použití, jako jsou vložené aplikace nebo scénáře s více klienty.

    • Parameter výzvy:

      Tento parametr určuje, jestli se zobrazí přihlašovací stránka nebo obrazovka pro vyjádření souhlasu. Pokud ho chcete použít, přidejte přizpůsobení, které ho odešle jako parametr řetězce dotazu do koncového bodu ExternalLogin.

      Podporované hodnoty:

      • žádný
      • přihlásit
      • souhlas
      • select_account

      Formát adresy URL:

      {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&prompt={value}

      Power Pages odešle tuto hodnotu zprostředkovateli identity v parametru výzvy.

    • Parametr nápovědy pro přihlášení:

      Tento parametr umožňuje předat známý identifikátor uživatele, jako je e-mail, k předvyplnění nebo obejití přihlašovacích obrazovek. Pokud ho chcete použít, přidejte přizpůsobení, které ho odešle jako parametr řetězce dotazu do koncového bodu ExternalLogin.

      Formát adresy URL:

      {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&login_hint={value}

      To pomáhá v případě, že jsou uživatelé již přihlášeni prostřednictvím jiné identity, jako je Microsoft Entra ID nebo účet Microsoft (MSA), ve stejné relaci.

  • Vlastní parametry autorizace: Někteří zprostředkovatelé identity podporují vlastnické parametry pro konkrétní chování autorizace. Power Pages umožňuje tvůrcům tyto parametry bezpečně nastavit a předat. Pokud chcete tyto parametry použít, přidejte vlastní nastavení, které je odešle jako parametry řetězce dotazu do koncového bodu ExternalLogin.

    Vytvořte nastavení webu s názvem Authentication/OpenIdConnect/{Provider}/AllowedDynamicAuthorizationParameters a nastavte hodnotu na čárkami oddělený seznam názvů parametrů, například param1,param2,param3.

    Ukázkový formát adresy URL:

    {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&param1=value&param2=value&param3=value

    Pokud některý z parametrů (param1, param2 nebo param3) není v seznamu povolených parametrů, Power Pages jej ignoruje.

    Toto nastavení definuje seznam vlastních parametrů, které je možné odeslat v žádosti o autorizaci.

    Chování

    • Předejte parametry v řetězci dotazu koncového bodu ExternalLogin.
    • Power Pages zahrnuje pouze parametry v seznamu v žádosti o autorizaci.
    • Výchozí parametry, jako jsou prompt, login_hint a ReturnUrl, jsou vždy povolené a není nutné je uvádět.

    Ukázkový formát adresy URL:

    {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&custom_param=value

    Pokud custom_param není v seznamu povolených parametrů, Power Pages jej ignoruje.

Viz také

Nastavení zprostředkovatele OpenID Connect s Azure Active Directory (Azure AD) B2C
Nastavení zprostředkovatele OpenID Connect s Microsoft Entra ID
Nejčastější dotazy k OpenID Connect