Freigeben über

OpenID Connect-Anbieter einrichten

  • Artikel

OpenID Connect-Identitätsanbieter sind Dienste, die den OpenID Connect-Spezifikationen entsprechen. OpenID Connect führt das Konzept eines ID-Tokens ein. Ein ID-Token ist ein Sicherheitstoken, mit dem der Client die Identität eines Benutzers überprüfen kann. Es erhält auch grundlegende Profilinformationen über den Benutzer, auch Ansprüche genannt.

OpenID Connect-Anbieter Azure AD B2C, Microsoft Entra ID und Microsoft Entra ID mit mehreren Mandanten sind in Power Pages eingebaut. In diesem Artikel wird erläutert, wie Sie Ihrer Power Pages Site weitere OpenID Connect-Identitätsanbieter hinzufügen.

Unterstützte und nicht unterstützte Authentifizierungsflows in Power Pages

  • Implizite Genehmigung
    • Bei diesem Flow handelt es sich um die Standardauthentifizierungsmethode für Power Pages Websites.
  • Autorisierungscode
    • Power Pages verwendet die client_secret_post-Methode zur Kommunikation mit dem Token-Endpunkt des Identitätsservers.
    • Die private_key_jwt-Methode zur Authentifizierung mit dem Token-Endpunkt wird nicht unterstützt.
  • Hybrid (eingeschränkte Unterstützung)
    • Power Pages erfordert id_Token in der Antwort, Antworttyp = Code-Token wird nicht unterstützt.
    • Der Hybridflow in Power Pages folgt demselben Flow wie die implizite Genehmigungund verwendet id_token, um die Benutzer direkt anzumelden.
  • Beweis-Schlüssel für Code-Austausch (PKCE)
    • PKCE-basierte Techniken zur Authentifizierung von Benutzern werden nicht unterstützt.

Anmerkung

Es kann einige Minuten dauern bis die Änderungen an den Authentifizierungseinstellungen auf Ihrer Website wiedergegeben werden. Um die Änderungen sofort zu sehen, starten Sie die Website im Admin Center neu.

Den OpenID Connect-Anbieter in Power Pages konfigurieren

  1. Wählen Sie auf Ihrer Power Pages-Website die Option Einrichten>Identitätsanbieter aus.

    Wenn keine Identitätsanbieter angezeigt werden, stellen Sie sicher, dass Externe Anmeldung auf Ein in den allgemeinen Authentifizierungseinstellungen Ihrer Website festgelegt ist.

  2. Wählen Sie + Neuer Anbieter aus.

  3. Unter Anmeldungsanbieter auswählen wählen Sie Sonstige aus.

  4. Unter Protokoll wählen Sie OpenID Connect aus.

  5. Benennen Sie den Anbieter.

    Der Anbietername ist der Text auf der Schaltfläche, die Benutzer sehen, wenn sie ihren Identitätsanbieter auf der Anmeldeseite auswählen.

  6. Wählen Sie Weiter.

  7. Wählen Sie unter Antwort-URL die Option Kopieren aus.

    Schließen Sie nicht Ihre Power Pages-Browserregisterkarte. Sie werden bald dazu zurückkehren.

Erstellen Sie eine App-Registrierung beim Identitätsanbieter

  1. Erstellen und registrieren Sie eine Anwendung bei Ihrem Identitätsanbieter unter Verwendung der Antwort-URL, die Sie kopiert haben.

  2. Die Anwendungs-ID oder Client-ID und den geheimen Clientschlüssel kopieren.

  3. Suchen Sie den Anwendungsendpunkt und kopieren Sie die URL OpenID Connect Metadatendokument.

  4. Ändern Sie nach Bedarf weitere Einstellungen für Ihren Identitätsanbieter.

Website-Einstellungen in Power Pages eingeben

Kehren Sie zur Seite Power Pages Identitätsanbieter konfigurieren zurück, die Sie zuvor verlassen haben, und geben Sie die folgenden Werte ein. Ändern Sie optional die zusätzlichen Einstellungen nach Bedarf. Wählen Sie Bestätigen aus, wenn Sie fertig sind.

  • Behörde: Geben Sie die Autoritäts-URL im folgenden Format ein: https://login.microsoftonline.com/<Directory (tenant) ID>/, wobei <Verzeichnis-(Mandanten-)ID> das Verzeichnis ist ( Mandant) ID der Anwendung die Sie erstellt haben. Wenn die Verzeichnis-ID (Mandanten) im Azure-Portal beispielsweise 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb ist, ist die Autoritäts-URL https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • Client-ID: Geben Sie in der Anwendung oder der Client-ID der Anwendung ein, die Sie erstellt haben.

  • Umleitungs-URL: Wenn Ihre Website einen benutzerdefinierten Domänennamen verwendet, geben Sie die benutzerdefinierte URL ein. Andernfalls lassen Sie den Standardwert. Stellen Sie sicher, dass der Wert genau mit der Umleitungs-URl der von Ihnen erstellten Anwendung übereinstimmt.

  • Metadatenadresse: Fügen Sie die OpenID Connect Metadaten-URL ein, die Sie kopiert haben.

  • Umfang: Eine durch Leerzeichen getrennte Liste von Bereichen, die mit dem OpenID Connect scope Parameter anzufordern sind. Der Standardwert ist openid.

    Der openid-Wert ist obligatorisch. Erfahren Sie mehr über weitere Ansprüche, die Sie hinzufügen können.

  • Antworttyp: Der Wert des OpenID Connect response_type Parameters. Mögliche Werte umfassen code, code id_token, id_token, id_token token und code id_token token. Der Standardwert ist code id_token.

  • Geheimer Clientschlüssel: Fügen Sie den geheimen Clientschlüssel aus der von Ihnen erstellten Anwendung ein. Er wird möglicherweise auch als App-Geheimnis oder als Verbraucher-Geheimnis bezeichnet. Diese Einstellung ist erforderlich, wenn der ausgewählte Antworttyp code ist.

  • Antwortmodus: Geben Sie den Wert des OpenID Connect Antwortmodus-Paramters ein. Er sollte query sein, wenn der ausgewählte Antworttyp code ist. Der Standardwert ist form_post.

  • Externe Abmeldung: Diese Einstellung legt fest, ob Ihre Website die verbundbasierten Abmeldung verwendet. Wenn Benutzer sich mit der Verbundabmeldung von einer Anwendung oder Website abmelden, werden sie auch von allen Anwendungen und Websites abgemeldet, die denselben Identitätsanbieter verwenden. Aktivieren Sie ihn, um Benutzer zur verbundbasierten Abmeldeoberfläche weiterzuleiten, wenn sie sich vom Ihrer Website abmelden. Deaktivieren Sie ihn, um Benutzer von Ihrer Website abzumelden.

  • Umleitungs-URL nach Abmeldung: Geben Sie die URL an, auf die der Identitätsanbieter den Benutzer nach der Abmeldung umleiten sollte. Dieser Speicherort sollte auch in der Konfiguration des Identitätsanbieters entsprechend festgelegt werden.

  • RP initiierte Abmeldung: Diese Einstellung steuert, ob die vertrauende Seite – die OpenID Connect-Clientanwendung – den Benutzer abmelden kann. Um diese Einstellung verwenden zu können, muss die Externe Abmeldung aktiviert werden.

Zusätzliche Einstellungen in Power Pages

Mit den zusätzlichen Einstellungen können Sie genauer steuern, wie sich Benutzer mit Ihrem OpenID Connect-Identitätsanbieter authentifizieren. Sie müssen keinen dieser Werte festlegen. Sie sind völlig optional.

  • Aussteller-FilterDiese Websiteeinstellung ist ein Platzhalter-basierter Filter, der auf alle Aussteller über alle Mandanten passt, beispielsweise https://sts.windows.net/*/. Wenn Sie einen Microsoft Entra ID-Authentifizierungsanbieter verwenden, wäre der Aussteller-URL-Filter https://login.microsoftonline.com/*/v2.0/.

  • Zielruppe validieren: Aktivieren Sie diese Einstellung, um die Zielgruppe während der Token-Validierung zu validieren.

  • Gültige Zielgruppe: Eine durch Komma getrennte Liste mit Zielgruppen-URLs.

  • Aussteller validieren: Aktivieren Sie diese Einstellung, um die Aussteller während der Token-Validierung zu validieren.

  • Gültige Aussteller: Eine durch Komma getrennte Liste mit Ausstellungs-URLs.

  • Zuordnung von Registrierungsansprüchen​ und Zuordnung von Anmeldeansprüchen: Bei der Benutzerauthentifizierung handelt es sich bei einem Anspruch um Informationen, die die Identität eines Benutzers beschreiben, wie z.B. eine E-Mail-Adresse oder ein Geburtsdatum. Wenn Sie sich bei einer Anwendung oder einer Website anmelden, wird ein Token erstellt. Ein Token enthält Informationen über Ihre Identität, einschließlich aller damit verbundenen Ansprüche. Token werden zur Authentifizierung Ihrer Identität verwendet, wenn Sie auf andere Teile der Anwendung oder Website oder auf andere Anwendungen und Websites zugreifen, die mit demselben Identitätsanbieter verbunden sind. Die Anspruchszuordnung ist eine Möglichkeit, die in einem Token enthaltenen Informationen zu ändern. Er kann verwendet werden, um die für die Anwendung oder Website verfügbaren Informationen anzupassen und den Zugriff auf Funktionen oder Daten zu steuern. Die Registrierungsanspruchszuordnung ändert die Ansprüche, die ausgegeben werden, wenn Sie sich für eine Anwendung oder eine Website registrieren. Die Anmeldeanspruchszuordnung ändert die Ansprüche, die ausgegeben werden, wenn Sie sich bei einer Anwendung oder einer Website anmelden. Weitere Informationen zu Anspruchszuordnungsrichtlinien.

  • Nonce-Lebensdauer: Geben Sie die Lebensdauer des Nonce-Werts in Minuten ein. Der Standardwert ist 10 Minuten

  • Token-Lebensdauer nutzen: Diese Einstellung steuert, ob die Gültigkeitsdauer der Authentifizierungssitzung z. B. Cookies, mit der des Authentifizierungstokens übereinstimmen muss. Wenn aktiviert, überschreibt dieser Wert den Wert für den Gültigkeitszeitraum des Anwendungscookies in der Authentication/ApplicationCookie/ExpireTimeSpan Websiteeinstellung.

  • Zuordnung von Kontakt und E-Mail-Adresse: Diese Einstellung legt fest, ob Kontakte einer entsprechenden E-Mail-Adresse zugeordnet werden, wenn sie sich anmelden.

    • An: Ordnet einen eindeutigen Kontaktdatensatz einer entsprechenden E-Mail-Adresse zu und weist den externen Identitätsanbieter automatisch dem Kontakt zu, wenn der Benutzer sich erfolgreich anmeldet.
    • Deaktiviert

Anmerkung

Der Anfrageparameter UI_Locales wird automatisch in der Authentifizierungsanfrage gesendet und wird auf die im Portal ausgewählte Sprache festgelegt.

Siehe auch

OpenID Connect-Anbieter einrichten mit Azure Active Directory (Azure AD) B2C
OpenID Connect-Anbieter einrichten mit Microsoft Entra ID
Häufig gestellte Fragen zu OpenID Connect