Share via

OpenID Connect-Anbieter einrichten mit Microsoft Entra ID

  • Artikel

Microsoft Entra ist einer der OpenID Connect-Identitätsanbieter, mit denen Sie Besucher Ihrer Power Pages-Website authentifizieren können. Zusammen mit Microsoft Entra ID, mehrinstanzfähigem Microsoft Entra ID und Azure AD B2C können Sie jeden anderen Anbieter nutzen, der die Open ID-Verbindungsspezifikation bestätigt.

In diesem Artikel werden folgende Schritte behandelt:

Anmerkung

Es kann einige Minuten dauern bis die Änderungen an den Authentifizierungseinstellungen auf Ihrer Website wiedergegeben werden. Um die Änderungen sofort zu sehen, starten Sie die Website im Admin Center neu.

Microsoft Entra in Power Pages einrichten

Legen Sie Microsoft Entra als Identitätsanbieter für Ihre Website fest.

  1. Wählen Sie auf Ihrer Power Pages-Website die Option Einrichten>Identitätsanbieter aus.

    Wenn keine Identitätsanbieter angezeigt werden, stellen Sie sicher, dass Externe Anmeldung auf Ein in den allgemeinen Authentifizierungseinstellungen Ihrer Website festgelegt ist.

  2. Wählen Sie + Neuer Anbieter aus.

  3. Unter Anmeldungsanbieter auswählen wählen Sie Sonstige aus.

  4. Unter Protokoll wählen Sie OpenID Connect aus.

  5. Benennen Sie den Anbieter, beispielswiese Microsoft Entra ID.

    Der Anbietername ist der Text auf der Schaltfläche, die Benutzer sehen, wenn sie ihren Identitätsanbieter auf der Anmeldeseite auswählen.

  6. Wählen Sie Weiter.

  7. Wählen Sie unter Antwort-URL die Option Kopieren aus.

    Schließen Sie nicht Ihre Power Pages-Browserregisterkarte. Sie werden bald dazu zurückkehren.

Eine App-Registrierung in Azure erstellen

Erstellen Sie eine App-Registrierung im Azure-Portal mit der Antwort-URL Ihrer Website als Umleitungs-URI.

  1. Melden Sie sich am Azure-Portal an.

  2. Suchen Sie nach und wählen Sie Azure Active Directory.

  3. Klicken Sie unter Verwalten auf App-Registrierungen.

  4. Wählen Sie Neue Registrierung aus.

  5. Geben Sie einen Namen ein.

  6. Wählen Sie einen der unterstützten Kontotypen aus, der die Anforderungen Ihrer Organisation am besten widerspiegelt.

  7. Wählen Sie unter Umleitungs-URIWeb als Plattform aus und geben Sie dann die Antwort-URL für Ihre Website ein.

    • Wenn Sie die Standard-URL Ihrer Website verwenden, fügen Sie die Antwort-URL ein, die Sie kopiert haben.
    • Wenn Sie einen benutzerdefinierten Domänennamen verwenden, geben Sie die benutzerdefinierte URL ein. Stellen Sie sicher, dass Sie dieselbe URL für die Umleitungs-URL in den Einstellungen für den Indentitäsanbieter auf Ihrer Website verwenden.

  8. Wählen Sie Registrieren aus.

  9. Kopieren Sie die Anwendungs- (Client-)ID.

  10. Wählen Sie rechts neben Client-AnmeldeinformationenZertifikat oder Geheimnis hinzufügen aus.

  11. Wählen Sie + Neuer geheimer Clientschlüssel aus.

  12. Geben Sie eine optionale Beschreibung ein, wählen Sie ein Ablaufdatum aus, und klicken Sie dann auf Hinzufügen.

  13. Wählen Sie unter Geheimnis-ID das Symbol In Zwischenablage kopieren aus.

  14. Wählen Sie oben auf der Seite Endpunkte aus.

  15. Suchen Sie die URL des OpenID Connect Metadaten-Dokument und wählen Sie das Kopiersymbol aus.

  16. Wählen Sie im linken Seitenbereich unter VerwaltenAuthentifizierung aus.

  17. Wählen Sie unter Implizite Genehmigung das ID-Token (für implizite und Hyprid-Flows verwendet) aus.

  18. Wählen Sie Speichern.

Website-Einstellungen in Power Pages eingeben

Kehren Sie zur Seite Power Pages Identitätsanbieter konfigurieren zurück, die Sie zuvor verlassen haben, und geben Sie die folgenden Werte ein. Ändern Sie optional die zusätzlichen Einstellungen nach Bedarf. Wählen Sie Bestätigen aus, wenn Sie fertig sind.

  • Behörde: Geben Sie die Autoritäts-URL im folgenden Format ein: https://login.microsoftonline.com/<Directory (tenant) ID>/, wobei <Verzeichnis-(Mandanten-)ID> das Verzeichnis ist ( Mandant) ID der Anwendung die Sie erstellt haben. Wenn die Verzeichnis-ID (Mandanten) im Azure-Portal beispielsweise 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb ist, ist die Autoritäts-URL https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • Client-ID: Geben Sie in der Anwendung oder der Client-ID der Anwendung ein, die Sie erstellt haben.

  • Umleitungs-URL: Wenn Ihre Website einen benutzerdefinierten Domänennamen verwendet, geben Sie die benutzerdefinierte URL ein. Andernfalls lassen Sie den Standardwert. Stellen Sie sicher, dass der Wert genau mit der Umleitungs-URl der von Ihnen erstellten Anwendung übereinstimmt.

  • Metadatenadresse: Fügen Sie die OpenID Connect Metadaten-URL ein, die Sie kopiert haben.

  • Umfang: openid email eingeben.

    Der openid-Wert ist obligatorisch. Der email-Wert ist optional. ER stellt sicher, dass die E-Mail-Adresse des Benutzers automatisch ausgefüllt und auf der Profil-Seite angezeigt wird, nachdem sich der Benutzer angemeldet hat. Erfahren Sie mehr über weitere Ansprüche, die Sie hinzufügen können.

  • Antworttyp: code id_token auswählen.

  • Geheimer Clientschlüssel: Fügen Sie den geheimen Clientschlüssel aus der von Ihnen erstellten Anwendung ein. Diese Einstellung ist erforderlich, wenn der ausgewählte Antworttyp code ist.

  • Antwortmodusform_post auswählen.

  • Externe Abmeldung: Diese Einstellung legt fest, ob Ihre Website die verbundbasierten Abmeldung verwendet. Wenn Benutzer sich mit der Verbundabmeldung von einer Anwendung oder Website abmelden, werden sie auch von allen Anwendungen und Websites abgemeldet, die denselben Identitätsanbieter verwenden. Aktivieren Sie ihn, um Benutzer zur verbundbasierten Abmeldeoberfläche weiterzuleiten, wenn sie sich vom Ihrer Website abmelden. Deaktivieren Sie ihn, um Benutzer von Ihrer Website abzumelden.

  • Umleitungs-URL nach Abmeldung: Geben Sie die URL an, auf die der Identitätsanbieter den Benutzer nach der Abmeldung umleiten sollte. Dieser Speicherort sollte auch in der Konfiguration des Identitätsanbieters entsprechend festgelegt werden.

  • RP initiierte Abmeldung: Diese Einstellung steuert, ob die vertrauende Seite – die OpenID Connect-Clientanwendung – den Benutzer abmelden kann. Um diese Einstellung verwenden zu können, muss die Externe Abmeldung aktiviert werden.

Zusätzliche Einstellungen in Power Pages

Mit den zusätzlichen Einstellungen können Sie genauer steuern, wie sich Benutzer bei Ihrem Microsoft Entra Identitätsanbieter authentifizieren. Sie müssen keinen dieser Werte festlegen. Sie sind völlig optional.

  • Aussteller-FilterDiese Websiteeinstellung ist ein Platzhalter-basierter Filter, der auf alle Aussteller über alle Mandanten passt, beispielsweise https://sts.windows.net/*/.

  • Zielruppe validieren: Aktivieren Sie diese Einstellung, um die Zielgruppe während der Token-Validierung zu validieren.

  • Gültige Zielgruppe: Eine durch Komma getrennte Liste mit Zielgruppen-URLs.

  • Aussteller validieren: Aktivieren Sie diese Einstellung, um die Aussteller während der Token-Validierung zu validieren.

  • Gültige Aussteller: Eine durch Komma getrennte Liste mit Ausstellungs-URLs.

  • Zuordnung von Registrierungsansprüchen​ und Zuordnung von Anmeldeansprüchen: Bei der Benutzerauthentifizierung handelt es sich bei einem Anspruch um Informationen, die die Identität eines Benutzers beschreiben, wie z.B. eine E-Mail-Adresse oder ein Geburtsdatum. Wenn Sie sich bei einer Anwendung oder einer Website anmelden, wird ein Token erstellt. Ein Token enthält Informationen über Ihre Identität, einschließlich aller damit verbundenen Ansprüche. Token werden zur Authentifizierung Ihrer Identität verwendet, wenn Sie auf andere Teile der Anwendung oder Website oder auf andere Anwendungen und Websites zugreifen, die mit demselben Identitätsanbieter verbunden sind. Die Anspruchszuordnung ist eine Möglichkeit, die in einem Token enthaltenen Informationen zu ändern. Er kann verwendet werden, um die für die Anwendung oder Website verfügbaren Informationen anzupassen und den Zugriff auf Funktionen oder Daten zu steuern. Die Registrierungsanspruchszuordnung ändert die Ansprüche, die ausgegeben werden, wenn Sie sich für eine Anwendung oder eine Website registrieren. Die Anmeldeanspruchszuordnung ändert die Ansprüche, die ausgegeben werden, wenn Sie sich bei einer Anwendung oder einer Website anmelden. Weitere Informationen zu Anspruchszuordnungsrichtlinien.

  • Nonce-Lebensdauer: Geben Sie die Lebensdauer des Nonce-Werts in Minuten ein. Der Standardwert ist 10 Minuten

  • Token-Lebensdauer nutzen: Diese Einstellung steuert, ob die Gültigkeitsdauer der Authentifizierungssitzung z. B. Cookies, mit der des Authentifizierungstokens übereinstimmen muss. Wenn aktiviert, überschreibt dieser Wert den Wert für den Gültigkeitszeitraum des Anwendungscookies in der Authentication/ApplicationCookie/ExpireTimeSpan Websiteeinstellung.

  • Zuordnung von Kontakt und E-Mail-Adresse: Diese Einstellung legt fest, ob Kontakte einer entsprechenden E-Mail-Adresse zugeordnet werden, wenn sie sich anmelden.

    • An: Ordnet einen eindeutigen Kontaktdatensatz einer entsprechenden E-Mail-Adresse zu und weist den externen Identitätsanbieter automatisch dem Kontakt zu, wenn der Benutzer sich erfolgreich anmeldet.
    • Deaktiviert

Anmerkung

Der Anfrageparameter UI_Locales wird automatisch in der Authentifizierungsanfrage gesendet und wird auf die im Portal ausgewählte Sprache festgelegt.

Zusätzliche Ansprüche einrichten

  1. Aktivieren Sie optionale Ansprüche in Microsoft Entra ID.

  2. Stellen Sie den Umfang ein, um die zusätzlichen Ansprüche aufzunehmen, beispielsweise openid email profile.

  3. Legen Sie die Anspruchregistrierungszuordnung für zusätzliche Websiteeinstellung fest, beispielsweise firstname=given_name,lastname=family_name.

  4. Legen Sie die Anspruchregistrierungszuordnung für zusätzliche Websiteeinstellung fest, beispielsweise firstname=given_name,lastname=family_name.

In diesen Beispielen wird Vorname, Nachname und E-Mail-Adressen, die beispielsweise mit den zusätzlichen Ansprüchen bereitgestellt werden, zu Standardwerten auf der Profilseite auf der Website.

Anmerkung

Die Anspruchszuordnung wird für Text und boolesche Datentypen unterstützt.

Mehrinstanzenfähige Microsoft Entra Authentifizierung zulassen

Um Microsoft Entra Benutzern die Authentifizierung von jedem Mandanten in Azure und nicht nur von einem bestimmten Mandanten aus zu ermöglichen, ändern Sie die Microsoft Entra Anwendungsregistrierung zu Multi-Mandant.

Außerdem müssen Sie den Ausstellungsfilter Ihres Anbieters in den zusätzlichen Einstellungen festlegen.

Siehe auch

Häufig gestellte Fragen zu OpenID Connect