Κοινή χρήση μέσω


Ρύθμιση παραμέτρων της υπηρεσίας παροχής OpenID Connect για πύλες

Σημείωση

Από τις 12 Οκτωβρίου 2022, οι πύλες του Power Apps είναι Power Pages. Περισσότερες πληροφορίες: Το Microsoft Power Pages είναι πλέον γενικά διαθέσιμο (ιστολόγιο)
Σύντομα θα μετεγκαταστήσουμε και θα συγχωνεύσουμε την τεκμηρίωση των πυλών Power Apps με την τεκμηρίωση Power Pages.

Οι εξωτερικές υπηρεσίες παροχής ταυτότητας OpenID Connect είναι υπηρεσίες που τηρούν τις προδιαγραφές Open ID Connect. Το OpenID Connect εισαγάγει την έννοια ενός Διακριτικού αναγνωριστικού, το οποίο είναι ένα διακριτικό ασφαλείας που επιτρέπει στο πρόγραμμα-πελάτη να επαληθεύει την ταυτότητα του χρήστη. Το διακριτικό αναγνωριστικού λαμβάνει επίσης βασικές πληροφορίες προφίλ σχετικά με τον χρήστη—κοινώς γνωστές ως αξιώσεις.

Αυτό το άρθρο περιγράφει τον τρόπο με τον οποίο μια υπηρεσία παροχής ταυτότητας που υποστηρίζει το OpenId Connect μπορεί να ενσωματωθεί στις πύλες Power Apps. Ορισμένα παραδείγματα υπηρεσιών παροχής OpenID Connect για πύλες: Azure Active Directory (Azure AD) B2C, Azure AD, Azure AD με πολλούς μισθωτές.

Υποστηριζόμενες και μη υποστηριζόμενες ροές ελέγχου σε πύλες

  • Έμμεση εκχώρηση
    • Αυτή η ροή είναι η προεπιλεγμένη μέθοδος ελέγχου ταυτότητας που χρησιμοποιείται από τις πύλες.
  • Κωδικός εξουσιοδότησης
    • Οι πύλες χρησιμοποιούν τη μέθοδο client_secret_post για επικοινωνία με το τελικό σημείο διακριτικού του διακομιστή ταυτοτήτων.
    • Η μέθοδος private_key_jwt για έλεγχο ταυτότητας με τελικό σημείο διακριτικού δεν υποστηρίζεται.
  • Υβριδική (περιορισμένη υποστήριξη)
    • Οι πύλες απαιτούν id_token στην απόκριση, επομένως, η τιμή response_type ως διακριτικό κώδικα δεν υποστηρίζεται.
    • Η υβριδική ροή στις πύλες ακολουθεί την ίδια ροή με την έμμεση εκχώρηση και χρησιμοποιεί το id_token για την απευθείας σύνδεση των χρηστών.
  • Οι πύλες δεν υποστηρίζουν τεχνικές βασισμένες σε PKCE (αποδεικτικό κλειδί για την ανταλλαγή κώδικα)–για τον έλεγχο ταυτότητας των χρηστών.

Σημείωση

Οι αλλαγές στις ρυθμίσεις ελέγχου ταυτότητας μπορεί να χρειαστούν μερικά λεπτά για να εμφανιστούν στην πύλη. Επανεκκινήστε την πύλη χρησιμοποιώντας τις ενέργειες της πύλης εάν θέλετε να εμφανιστούν οι αλλαγές αμέσως.

Ρύθμιση παραμέτρων υπηρεσίας παροχής OpenID Connect

Παρόμοια με όλες τις άλλες υπηρεσίες παροχής, πρέπει να συνδεθείτε στο Power Apps για να ρυθμίσετε τις παραμέτρους της υπηρεσίας παροχής OpenID Connect.

  1. Επιλέξτε Προσθήκη παροχέα για την πύλη σας.

  2. Για την Υπηρεσία παροχής σύνδεσης επιλέξτε Άλλο.

  3. Επιλέξτε Πρωτόκολλο ως OpenID Connect.

  4. Πληκτρολογήστε ένα όνομα παροχέα.

    Όνομα παρόχου.

  5. Επιλέξτε Επόμενο.

  6. Δημιουργήστε την εφαρμογή και διαμορφώστε τις ρυθμίσεις με τον παροχέα ταυτοτήτων σας.

    Δημιουργία εφαρμογής.

    Σημείωση

    Η διεύθυνση URL απάντησης χρησιμοποιείται από την εφαρμογή για την ανακατεύθυνση χρηστών στην πύλη μετά την επιτυχία του ελέγχου ταυτότητας. Εάν η πύλη σας χρησιμοποιεί ένα προσαρμοσμένο όνομα τομέα, μπορεί να έχετε μια διαφορετική διεύθυνση URL από αυτήν που παρέχεται εδώ.

  7. Καταχωρίστε τις παρακάτω ρυθμίσεις τοποθεσίας για τη ρύθμιση παραμέτρων της πύλης.

    Διαμόρφωση ρυθμίσεων τοποθεσίας OpenID.

    Σημείωση

    Βεβαιωθείτε ότι έχετε αναθεωρήσει—και, εάν είναι απαραίτητο, αλλάξτε—τις προεπιλεγμένες τιμές.

    Ονομασία Περιγραφή
    Εξουσία Η διεύθυνση URL της αρχής (ή του εκδότη) που σχετίζεται με την υπηρεσία παροχής ταυτότητας.
    Παράδειγμα (Azure AD) : https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/
    Αναγνωριστικό προγράμματος-πελάτη Το αναγνωριστικό της εφαρμογής που δημιουργήθηκε με την υπηρεσία παροχής ταυτότητας και θα χρησιμοποιηθεί στην πύλη.
    Διεύθυνση URL ανακατεύθυνσης Η θέση στην οποία η υπηρεσία παροχής ταυτότητας θα στείλει την απόκριση ελέγχου ταυτότητας.
    Παράδειγμα: https://contoso-portal.powerappsportals.com/signin-openid_1
    Σημείωση: Εάν χρησιμοποιείτε την προεπιλεγμένη διεύθυνση URL της πύλης, μπορείτε να αντιγράψετε και να επικολλήσετε τη Διεύθυνση URL απάντησης όπως φαίνεται στο βήμα Δημιουργία και ρύθμιση παραμέτρων της υπηρεσίας παροχής OpenID Connect. Καταχωρίστε τη διεύθυνση URL μη αυτόματα εάν χρησιμοποιείτε ένα προσαρμοσμένο όνομα τομέα. Βεβαιωθείτε ότι η τιμή που καταχωρείται εδώ είναι ακριβώς η ίδια με την τιμή που πληκτρολογήσατε ως URI ανακατεύθυνσης για την εφαρμογή στη ρύθμιση παραμέτρων υπηρεσίας παροχής ταυτοτήτων (όπως η πύλη Azure).
    Διεύθυνση μετα-δεδομένων Το τελικό σημείο εντοπισμού για τη λήψη μετα-δεδομένων. Συνήθης μορφή: [Authority URL]/.well-known/openid-configuration.
    Παράδειγμα (Azure AD) : https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/v2.0/.well-known/openid-configuration
    Εμβέλεια Μια λίστα πεδίων διαχωρισμένη με διαστήματα για αίτηση μέσω της παραμέτρου πεδίου OpenID Connect.
    Προεπιλεγμένη τιμή: openid
    Παράδειγμα (Azure AD) : openid profile email
    Περισσότερες πληροφορίες: Ρύθμιση παραμέτρων επιπλέον ισχυρισμών κατά τη χρήση του OpenID Connect για πύλες με Azure AD
    Τύπος απόκρισης Η τιμή για την παράμετρο response_type του OpenID Connect.
    Πιθανές τιμές:
    • code
    • code id_token
    • id_token
    • id_token token
    • code id_token token

    Προεπιλεγμένη τιμή: code id_token
    Μυστικός κωδικός προγράμματος-πελάτη Η τιμή μυστικού πελάτη από την εφαρμογή της υπηρεσίας παροχής. Αυτό ενδέχεται επίσης να αναφέρεται ως μυστικό εφαρμογής ή μυστικό καταναλωτή. Αυτή η ρύθμιση απαιτείται εάν ο επιλεγμένος τύπος απόκρισης είναι code.
    Λειτουργία απόκρισης Η τιμή για την παράμετρο response_mode του OpenID Connect. Η τιμή πρέπει να είναι query εάν ο επιλεγμένος τύπος απόκρισης είναι code. Προεπιλεγμένη τιμή: form_post.
  8. Ρυθμίστε τις παραμέτρους για την έξοδο των χρηστών.

    Ρυθμίσεις αποσύνδεσης.

    Ονομασία Περιγραφή
    Εξωτερική αποσύνδεση Ενεργοποιεί ή απενεργοποιεί την έξοδο από εξωτερικό λογαριασμό. Όταν ενεργοποιηθεί, οι χρήστες ανακατευθύνονται στην εμπειρία χρήστη εξωτερικής εξόδου, όταν πραγματοποιούν έξοδο από την πύλη. Όταν απενεργοποιηθεί, οι χρήστες πραγματοποιούν έξοδο μόνο από την πύλη.
    Διεύθυνση URL ανακατεύθυνσης μετά την αποσύνδεση Η θέση στην οποία θα ανακατευθύνει η υπηρεσία παροχής ταυτότητας έναν χρήστη μετά από εξωτερική αποσύνδεση. Αυτή η θέση θα πρέπει επίσης να ρυθμιστεί σωστά από τις ρυθμίσεις παραμέτρων της υπηρεσίας παροχής ταυτότητας.
    Το RP ξεκίνησε την αποσύνδεση Ενεργοποιεί ή απενεργοποιεί μια σύνδεση που έχει ξεκινήσει από την ομάδα αποδεκτών. Για να χρησιμοποιήσετε αυτήν τη ρύθμιση, η Εξωτερική αποσύνδεση θα πρέπει να ενεργοποιηθεί πρώτα.
  9. (Προαιρετικά) Ρύθμιση παραμέτρων πρόσθετων ρυθμίσεων.

    Πρόσθετες ρυθμίσεις.

    Ονομασία Περιγραφή
    Φίλτρο εκδότη Ένα φίλτρο με χαρακτήρα μπαλαντέρ που ταιριάζει με όλους τους εκδότες σε όλους τους μισθωτές.
    Παράδειγμα: https://sts.windows.net/*/
    Επικύρωση κοινού ​Εάν ενεργοποιηθεί, το κοινό θα επικυρωθεί κατά την επικύρωση του διακριτικού.
    Έγκυρα κοινά Λίστα διευθύνσεων URL κοινού διαχωρισμένη με κόμματα.
    Επικύρωση εκδοτών Εάν ενεργοποιηθεί, ο εκδότης θα επικυρωθεί κατά την επικύρωση του διακριτικού.
    Έγκυροι εκδότες Λίστα διευθύνσεων URL εκδότη διαχωρισμένη με κόμματα.
    Αντιστοίχιση αξιώσεων καταχώρησης Λίστα με τα ζεύγη λογικό όνομα-ισχυρισμός για αντιστοίχιση τιμών ισχυρισμών που επιστρέφονται από την υπηρεσία παροχής κατά τη διάρκεια της εγγραφής για τα χαρακτηριστικά της καρτέλας επαφής.
    Τύπος: field_logical_name=jwt_attribute_name όπου field_logical_name είναι το λογικό όνομα του πεδίου στις πύλες και jwt_attribute_name είναι το χαρακτηριστικό με την τιμή που επιστρέφεται από την υπηρεσία παροχής ταυτοτήτων.
    Παράδειγμα: firstname=given_name,lastname=family_name όταν χρησιμοποιείτε το Πεδίο ως profile για το Azure AD. Σε αυτό το παράδειγμα, τα firstname και lastname είναι τα λογικά ονόματα για τα πεδία προφίλ στις πύλες ενώ τα given_name και family_name είναι τα χαρακτηριστικά που έχουν τις τιμές που επιστρέφονται από την υπηρεσία παροχής ταυτότητας για τα αντίστοιχα πεδία.
    Αντιστοίχιση απαιτήσεων σύνδεσης Λίστα λογικών ζευγών ονόματος-απαίτησης για αντιστοίχιση τιμών απαίτησης που επιστρέφονται από τον πάροχο κατά τη διάρκεια κάθε σύνδεσης στα χαρακτηριστικά της καρτέλας επαφής.
    Τύπος: field_logical_name=jwt_attribute_name όπου field_logical_name είναι το λογικό όνομα του πεδίου στις πύλες και jwt_attribute_name είναι το χαρακτηριστικό με την τιμή που επιστρέφεται από την υπηρεσία παροχής ταυτοτήτων.
    Παράδειγμα: firstname=given_name,lastname=family_name όταν χρησιμοποιείτε το Πεδίο ως profile για το Azure AD. Σε αυτό το παράδειγμα, τα firstname και lastname είναι τα λογικά ονόματα για τα πεδία προφίλ στις πύλες ενώ τα given_name και family_name είναι τα χαρακτηριστικά που έχουν τις τιμές που επιστρέφονται από την υπηρεσία παροχής ταυτότητας για τα αντίστοιχα πεδία.
    Διάρκεια ζωής μοναδικού αριθμού Διάρκεια ζωής μοναδικού αριθμού, σε λεπτά. Προεπιλογή: 10 λεπτά.
    Χρήση διάρκειας ζωής διακριτικού Υποδεικνύει ότι η διάρκεια ζωής της περιόδου λειτουργίας ελέγχου ταυτότητας (όπως τα cookie) θα πρέπει να αντιστοιχεί με αυτήν του διακριτικού ελέγχου ταυτότητας. Εάν καθορίζεται, αυτή η τιμή θα παρακάμψει την τιμή Χρονικό όριο λήξης cookie εφαρμογής στη ρύθμιση τοποθεσίας Authentication/ApplicationCookie/ExpireTimeSpan.
    Αντιστοίχιση επαφών με μήνυμα ηλεκτρονικού ταχυδρομείου Καθορίζει εάν οι επαφές έχουν αντιστοιχιστεί με ένα αντίστοιχο μήνυμα ηλεκτρονικού ταχυδρομείου.
    Όταν οριστεί σε Ενεργοποίηση, μια μοναδική καρτέλα επαφής συσχετίζεται με μια αντίστοιχη διεύθυνση ηλεκτρονικού ταχυδρομείου και, στη συνέχεια, αναθέτει την υπηρεσία παροχής εξωτερικής ταυτότητας στην επαφή αφού ο χρήστης έχει πραγματοποιήσει επιτυχή είσοδο.

    Σημείωση

    Η παράμετρος αίτησης UI_Locales θα αποστέλλεται τώρα αυτόματα στην αίτηση ελέγχου ταυτότητας και θα οριστεί στη γλώσσα που επιλέχθηκε στην πύλη.

Επεξεργασία υπηρεσίας παροχής OpenID Connect

Για να επεξεργαστείτε μια ρυθμισμένη υπηρεσία παροχής OpenID Connect, ανατρέξτε στο θέμα Επεξεργασία υπηρεσίας παροχής.

Δείτε επίσης

Ρύθμιση παραμέτρων της υπηρεσίας παροχής OpenID Connect για πύλες με το Azure AD
Συνήθεις ερωτήσεις για τη χρήση του OpenID Connect σε πύλες

Σημείωση

Μπορείτε να μας πείτε ποια γλώσσα προτιμάτε για την τεκμηρίωση; Πάρτε μέρος σε μια σύντομη έρευνα. (σημειώνεται ότι αυτή η έρευνα είναι στα Αγγλικά)

Η έρευνα θα διαρκέσει περίπου επτά λεπτά. Δεν συλλέγονται προσωπικά δεδομένα (δήλωση προστασίας προσωπικών δεδομένων).