Sdílet prostřednictvím

Nastavení zprostředkovatele OpenID Connect s Microsoft Entra ID

  • Článek

Microsoft Entra je jedním z poskytovatelů identity OpenID Connect, které můžete použít k ověření návštěvníků na váš web Power Pages. Vedle Microsoft Entra ID, vícetenantového Microsoft Entra ID a Azure AD B2C můžete použít jakéhokoli jiného poskytovatele, který dodržuje specifikace Open ID Connect.

Tento článek popisuje následující kroky:

Poznámka:

Změny nastavení ověřování webu mohou trvat několik minut, než se na portálu projeví. Chcete-li změny okamžitě vidět, restartujte web v centru pro správu.

Nastavení Microsoft Entra v Power Pages

Nastavte Microsoft Entra jako poskytovatele identity pro svůj web.

  1. Na vašem webu Power Pages vyberte Zabezpečení>Poskytovatelé identity.

    Pokud se nezobrazují žádní poskytovatelé identity, ujistěte se, že Externí přihlášení je nastaveno na Zapnuto v obecných nastaveních ověřování vašeho webu.

  2. Vyberte + Nový zprostředkovatel.

  3. V části Vybrat zprostředkovatele přihlášení vyberte Ostatní.

  4. Jako Protokol vyberte OpenID Connect.

  5. Zadejte název pro poskytovatele, např. Microsoft Entra ID.

    Název zprostředkovatele je text na tlačítku, který se uživatelům zobrazí při výběru zprostředkovatele identity na přihlašovací stránce.

  6. Vyberte Další.

  7. V části Adresa URL odpovědi vyberte Kopírovat.

    Nezavírejte kartu prohlížeče Power Pages. Brzy se k ní vrátíte.

Vytvoření registrace aplikace v Azure

Vytvořte registraci aplikace na webu Azure Portal s adresou URL odpovědi vašeho webu jako URI přesměrování.

  1. Přihlaste se k portálu Azure.

  2. Vyhledejte a vyberte Azure Active Directory.

  3. Pod Spravovat vyberte Registrace aplikací.

  4. Vyberte Nová registrace.

  5. Zadejte název.

  6. Vyberte jeden z typů podporovaných účtů, který nejlépe odpovídá požadavkům vaší organizace.

  7. V části Adresa URI přesměrování vyberte jako platformu Web a poté zadejte adresu URL odpovědi pro svůj web.

    • Pokud používáte výchozí adresu URL svého webu, vložte adresu URL odpovědi, kterou jste zkopírovali.
    • Pokud používáte vlastní název domény, zadejte vlastní adresu URL. Nezapomeňte použít stejnou vlastní adresu URL pro adresu URL přesměrování v nastavení poskytovatele identity na vašem webu.

  8. Vyberte Zaregistrovat.

  9. Zkopírujte ID aplikace (klienta).

  10. Napravo od Přihlašovací údaje klienta vyberte Přidat certifikát nebo tajný klíč.

  11. Vyberte + Nový tajný kód klienta.

  12. Zadejte volitelný popis, vyberte vypršení platnosti a pak vyberte Přidat.

  13. V části ID tajného klíče vyberte ikonu Kopírovat do schránky.

  14. V horní části stránky vyberte Koncové body.

  15. Vyhledejte adresu URL dokumentu metadat OpenID Connect a vyberte ikonu kopírování.

  16. V levém panelu pod Spravovat vyberte Ověření.

  17. V sekci Implicitní udělení oprávnění vyberte Tokeny ID (použité pro implicitní a hybridní toky).

  18. Zvolte Uložit.

Zadání nastavení webu v Power Pages

Vraťte se na stránku Konfigurace poskytovatele identity Power Pages, kterou jste opustili dříve, a zadejte následující hodnoty. Podle potřeby můžete změnit další nastavení. Až budete hotovi, vyberte Potvrdit.

  • Autorita: Zadejte adresu URL autority v následujícím formátu: https://login.microsoftonline.com/<Directory (tenant) ID>/, kde <ID adresáře (tenanta)> je ID adresáře (tenanta) aplikace, kterou jste vytvořili. Například pokud je ID adresáře (tenanta) na Azure Portal 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, pak je adresa URL autority je https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • ID klienta​: Zadejte ID aplikace nebo klienta aplikace, kterou jste vytvořili.

  • URL přesměrování: Pokud váš web používá vlastní název domény, zadejte vlastní adresu URL; jinak ponechte výchozí hodnotu. Ujistěte se, že hodnota je přesně stejná jako URI přesměrování aplikace, kterou jste vytvořili.

  • Adresa metadat: Vložte adresu URL dokumentu metadat OpenID Connect, kterou jste zkopírovali.

  • Rozsah: Zadejte openid email.

    Hodnota openid je povinná. Hodnota email je volitelná, zajišťuje, že e-mailová adresa uživatele je automaticky vyplněna a zobrazena na stránce Profil po přihlášení uživatele. Přečtěte si o dalších nárocích, které můžete přidat.

  • Typ odpovědi: Vyberte code id_token.

  • Tajný kód klienta: Vložte tajný kód klienta z aplikace, kterou jste vytvořili. Toto nastavení je vyžadováno, pokud je typ odpovědi code.

  • Režim odpovědi: Vyberte form_post.

  • Externí odhlášení: Toto nastavení řídí, zda váš web používá federované odhlášení. Díky federovanému odhlášení, když se uživatelé odhlásí z aplikace nebo webu, jsou také odhlášeni ze všech aplikací a webů, které používají stejného poskytovatele identity. Zapněte pro přesměrování uživatelů při odhlášení z webu na federované prostředí odhlášení. Vypněte, pokud chcete uživatele odhlásit pouze ze svého webu.

  • Adresa URL přesměrování po odhlášení: Zadejte adresu URL, kam zprostředkovatel identity přesměruje uživatele po odhlášení. Toto umístění musí být správně nastaveno v konfiguraci zprostředkovatele identity.

  • Odhlášení zahájené RP: Toto nastavení řídí, zda přijímající strana – klientská aplikace OpenID Connect – může odhlásit uživatele. Chcete-li použít toto nastavení, zapněte Externí odhlášení.

Další nastavení v Power Pages

Další nastavení vám poskytují jemnější kontrolu nad tím, jak se uživatelé ověřují u poskytovatele identity Microsoft Entra. Nemusíte nastavovat žádnou z těchto hodnot. Jsou zcela volitelné.

  • Filtr vydavatele: Zadejte filtr založený na zástupném znaku, který vyhledá všechny vydavatele napříč všemi klienty, např. https://sts.windows.net/*/.

  • Ověřit cílovou skupinu: Zapnutím tohoto nastavení ověříte cílovou skupinu během ověřování tokenu.

  • Platné cílové skupiny: Zadejte čárkami oddělený seznam adres URL cílových skupin.

  • Ověřit vydavatele: Zapnutím tohoto nastavení ověříte vydavatele během ověřování tokenu.

  • Platní vydavatelé: Zadejte čárkami oddělený seznam adres URL vydavatele.

  • Mapování nároků na registraci​ a Mapování nároků na přihlášení: Při ověřování uživatele jsou nárok informace, které popisují identitu uživatele, jako je e-mailová adresa nebo datum narození. Když se přihlásíte do aplikace nebo webové stránky, vytvoří se token. Token obsahuje informace o vaší identitě, včetně jakýchkoli nároků, které jsou s ním spojeny. Tokeny se používají k ověření vaší identity, když přistupujete k jiným částem aplikace nebo webu nebo jiným aplikacím a webům, které jsou připojeny ke stejnému poskytovateli identity. Mapování nároků je způsob, jak změnit informace obsažené v tokenu. Lze ho použít k přizpůsobení informací, které má aplikace nebo web k dispozici, a ke kontrole přístupu k funkcím nebo datům. Mapování nároků registrací upravuje nároky, které se vydávají při registraci pro aplikaci nebo web. Mapování nároků přihlašování upravuje nároky, které se vydávají při přihlašování k aplikaci nebo webu. Další informace o zásadách mapování nároků.

  • Životnost nonce: Zadejte dobu trvání hodnoty nonce v minutách. Výchozí hodnota je 10 minut.

  • Použít životnost tokenu: Toto nastavení řídí, zda se životnost relace ověřování, například soubory cookie, shoduje s životností ověřovacího tokenu. Pokud možnost zapnete, tato hodnota přepíše hodnotu časového rozpětí platnosti souboru cookie v nastavení webu Authentication/ApplicationCookie/ExpireTimeSpan.

  • Mapování kontaktů pomocí e-mailu: Toto nastavení určuje, zda jsou kontakty mapovány na příslušnou e-mailovou adresu, když se přihlásí.

    • Zapnuto: Přiřadí jedinečný záznam kontaktu k odpovídající e-mailové adrese a poté automaticky přiřadí externího poskytovatele identit ke kontaktu poté, co se uživatel úspěšně přihlásí.
    • Vyp

Poznámka:

Parametr požadavku UI_Locales je automaticky odeslán v požadavku na ověření a je nastaven na jazyk vybraný na portálu.

Nastavení dalších nároků

  1. Povolte volitelné deklarace identity v Microsoft Entra ID.

  2. Nastavte Rozsah, aby zahrnoval další nároky, například openid email profile.

  3. Nastavte další nastavení webu Mapování nároků registrace, např. firstname=given_name,lastname=family_name.

  4. Nastavte další nastavení webu Mapování nároků přihlášení, např. firstname=given_name,lastname=family_name.

V těchto příkladech jméno, příjmení a e-mailové adresy dodávané s dalšími nároky se stanou výchozími hodnotami na stránce profilu na webu.

Poznámka:

Mapování nároků je podporováno pro datové typy text a logická hodnota.

Zapnutí ověřování vícetenantovým Microsoft Entra

Chcete-li umožnit uživatelům Microsoft Entra autentizaci od libovolného tenanta v Azure, nejen od konkrétního tenanta, změňte registraci aplikace Microsoft Entra na více tenantů.

Musíte také nastavit Filtr vydavatele v dalších nastaveních poskytovatele.

Viz také

Nejčastější dotazy k OpenID Connect