Zure ataria barruan OAuth 2.0 implicit eman fluxua erabili
Oharra
2022ko urriaren 12tik aurrera, Power Pages izango da Power Apps atarien izen berria. Informazio gehiago: Microsoft Power Pages erabilgarri dago modu orokorrean (bloga)
Laster migratuko eta konbinatuko dugu Power Apps atarien dokumentazioa Power Pages dokumentazioarekin.
Eginbide hau onartzen, Apiak kanpoko bezero alderdiko deiak egiteko bezero eta segurua OAuth implicit erabiliz horiek eman fluxua. Amaiera-puntu bat eskaintzen du sarbide-token seguruak lortzeko. Token horiek kanpoko APIak arabera OAuth 2.0 eman fluxua jarraitzen baimen izango duen sarbidea segurua tokenak lortzeko amaiera-puntua bat eskaintzen du. Saioa hasitako erabiltzaile baten identitate-informazioa modu seguruan pasatzen da kanpoko AJAX deietara, eta horrek garatzaileei autentifikazio-testuingurua pasatzen laguntzen die eta erabiltzaileei beren APIak ziurtatzen lagunduko die.
OAuth 2.0 inplizituak eman fluxua onartzen ditu tokena amaiera-puntua bat bezeroaren deia dezakezu IDA tokenaren lortu den.
Ziurtagiri pertsonalizatuak
Ziurtagiri lehenetsia erabiltzen ari da OAuth 2.0 inplizituaren onartutako fluxua zaharkituta dago. Ziurtagiri pertsonalizatu bat erabili beharko duzu OAuth 2.0 amaierako puntua erabiltzen duzun bitartean. Erabili Power Platform administrazio zentroa ziurtagiri pertsonalizatua igotzeko. Ziurtagiri pertsonalizatua kargatu ondoren, gunearen ezarpenak eguneratu behar dituzu jarraian bezala:
Joan atariaren ezarpenak atalera, eta hautatu Gunearen ezarpenak.
Ezarpen berri bat gehitzeko, sakatu Berria.
Lehendik dagoen ezarpena editatzeko: hautatu saretan zerrendatuta lehendik dagoen gunearen ezarpena.
Zehaztu balioak:
- Izena: CustomCertificates/ImplicitGrantflow
- Webgunea: Erlazionatutako webgunea
- Balioa: Kopiatu kargatutako ziurtagiri pertsonalizatuaren aztarna Kudeatu ziurtagiri pertsonalizatua pantailatik eta itsatsi hemen. Balioak adieraziko du zein ziurtagiri erabiliko den diru-laguntzen fluxu inplizituan.
Hautatu Gorde eta itxi.
Amaiera-puntua tokenaren xehetasunak
Eskura dezakezu token bat ondorengo eskaera eginez, /token amaiera-puntua. URLa amaiera-puntua eman tokena da: <portal_url>/_services/auth/token. Amaiera-puntuaren tokena hurrengo parametroak onartzen ditu:
| Parametroa | Beharrezkoa da? | Azalpena |
|---|---|---|
| client_id | Ez | Amaiera-puntuaren authorize deiak duzunean pasa duen katea. Duzu behar dela ziurtatzeko IDA da bezeroaren ataria, erregistratuta. Bestela, errore bat bistaratuko da. Bezeroaren IDA gisa tokena erreklamazioetan gehituko da aud gisa well gisa appid parametro erabil dezakeen bezeroak balioztatu itzulitako tokena dela beren aplikazio- eta.Gehienezko luzera 36 karaktere da. Alfazenbakizko karaktereak eta marratxorik soilik onartzen dira. |
| redirect_uri | Ez | Non autentifikazio erantzunak dezakezu da bidaltzen eta jasotzen ataria URLA. Egin behar da erregistratutako jakin, client_id deia erabiltzen eta beharreko balio bera guztiz erregistratu bezala. |
| egoera | Ez | Aplikazioan ere itzuliko tokenaren erantzun eskaera balio bat. Erabili nahi duzun edukia kate bat izan daiteke. Normalean, ausaz sortutako, esklusiboa balioa erabiltzen da, baimentzean-gune-eskaera forgery attacks eragotzi. Gehienezko luzera 20 karaktere da. |
| nonce | Ez | Bidali bat erreklamazioa gisa IDA tokena xehatuan aplikazioan sartutako bezeroak katearen balioa. Bezero-balio hau tokenaren replay attacks mitigate ondoren, egiaztatu dezakezu. Gehienezko luzera 20 karaktere da. |
| response_type | No | Parametro honek token soilik onartzen du balio gisa eta, horri esker, aplikazioa berehala jasotzeko onarpenaren amaiera-puntuaren, sarbide-tokena eskaera bigarren onarpenaren amaiera-puntuaren egin gabe. |
Oharra
Nahiz eta client_id, redirect_uri, state, eta nonce parametroak hautazkoak dira, oso gomendagarria da erabiltzeko direla integrations zure segurua ahal izateko.
Behar bezala osatutako erantzuna
Amaiera-puntuaren tokenaren ematen egoera eta expires_in erantzun goiburuak eta inprimakiaren gorputzean tokena gisa.
Errore-erantzuna
Eman tokena errorearen amaiera-puntua gisa balio hauek JSON dokumentuak itzulitako:
- Errore IDa: Errorearen identifikatzaile esklusiboa.
- Errore-mezua: lagun berariazko errore-mezu Bat autentifikazio-errore-erroko gero identifikatzeko.
- Korrelazio ID: Bat GUID arazketa komunikazioetarako erabiltzen da. Diagnostikorako hasieratzea gaitu badituzu korrelazio ID izan behar luke zerbitzariaren errore egunkariak aurki daitezkeela.
- Denbora-zigilua: Errorea sortu zen data eta ordua.
Errore-mezua hasita erabiltzailearen hizkuntza lehenetsia bistaratuko da. Erabiltzailea ez da erregistratzen, saioa hasteko orrian bistaratuko da erabiltzaileari, hasi saioa. Adibidez, errore-erantzun bezala bilatzen honela:
{"ErrorId": "PortalSTS0001", "ErrorMessage": "Client Id provided in the request is not a valid client Id registered for this portal. Please check the parameter and try again.", "Timestamp": "4/5/2019 10:02:11 AM", "CorrelationId": "7464eb01-71ab-44bc-93a1-f221479be847" }
Eman baimena amaiera-puntua xehetasunak
Oharra
Onarpenaren amaiera-puntua zaharkituta dago. Erabili Token amaierako POST eskaera ID tokena lortzeko.]
URLa amaiera-puntua eman baimena da: <portal_url>/_services/auth/authorize. Amaiera-puntuaren authorize hurrengo parametroak onartzen ditu:
| Parametroa | Beharrezkoa da? | Azalpena |
|---|---|---|
| client_id | Bai | Amaiera-puntuaren authorize deiak duzunean pasa duen katea. Duzu behar dela ziurtatzeko IDA da bezeroaren ataria, erregistratuta. Bestela, errore bat bistaratuko da. Bezeroaren IDA gisa tokena erreklamazioetan gehituko da aud gisa well gisa appid parametro erabil dezakeen bezeroak balioztatu itzulitako tokena dela beren aplikazio- eta.Gehienezko luzera 36 karaktere da. Alfazenbakizko karaktereak eta marratxorik soilik onartzen dira. |
| redirect_uri | Bai | Non autentifikazio erantzunak dezakezu da bidaltzen eta jasotzen ataria URLA. Egin behar da erregistratutako jakin, client_id deia erabiltzen eta beharreko balio bera guztiz erregistratu bezala. |
| egoera | Ez | Aplikazioan ere itzuliko tokenaren erantzun eskaera balio bat. Erabili nahi duzun edukia kate bat izan daiteke. Normalean, ausaz sortutako, esklusiboa balioa erabiltzen da, baimentzean-gune-eskaera forgery attacks eragotzi. Gehienezko luzera 20 karaktere da. |
| nonce | Ez | Bidali bat erreklamazioa gisa IDA tokena xehatuan aplikazioan sartutako bezeroak katearen balioa. Bezero-balio hau tokenaren replay attacks mitigate ondoren, egiaztatu dezakezu. Gehienezko luzera 20 karaktere da. |
| response_type | No | Parametro honek token soilik onartzen du balio gisa eta, horri esker, aplikazioa berehala jasotzeko onarpenaren amaiera-puntuaren, sarbide-tokena eskaera bigarren onarpenaren amaiera-puntuaren egin gabe. |
Behar bezala osatutako erantzuna
Amaiera-puntuaren authorize ematen balio hauek erantzun URLA gisa fragment bat:
- tokenaren: Tokena gisa bat JSON Web Tokenaren (JWT) digitally saioa eta atarian pribatua gakoa arabera itzuliko.
- egoera: egoera parametroen aurki eskaeraren, balio bera behar agertuko erantzuna. Aplikazioa eskaera eta erantzun egoera-balio berdinak dira egiaztatu behar.
- expires_in: luzera sarbide-tokena (segundoetan) aplikazioan baliozkoak dagoen denbora.
Adibidez, erantzun bezala bilatzen honela:
GET https://aadb2cplayground.azurewebsites.net/#token=eyJ0eXAiOiJKV1QiLCJhbGciOI1NisIng1dCI6Ik5HVEZ2ZEstZnl0aEV1Q&expires_in=3599&state=arbitrary_data_you_sent_earlier
Errore-erantzuna
Eman baimena errorearen amaiera-puntua gisa balio hauek JSON dokumentuak itzulitako:
- Errore IDa: Errorearen identifikatzaile esklusiboa.
- Errore-mezua: lagun berariazko errore-mezu Bat autentifikazio-errore-erroko gero identifikatzeko.
- Korrelazio ID: Bat GUID arazketa komunikazioetarako erabiltzen da. Diagnostikorako hasieratzea gaitu badituzu korrelazio ID izan behar luke zerbitzariaren errore egunkariak aurki daitezkeela.
- Denbora-zigilua: Errorea sortu zen data eta ordua.
Errore-mezua hasita erabiltzailearen hizkuntza lehenetsia bistaratuko da. Erabiltzailea ez da erregistratzen, saioa hasteko orrian bistaratuko da erabiltzaileari, hasi saioa. Adibidez, errore-erantzun bezala bilatzen honela:
{"ErrorId": "PortalSTS0001", "ErrorMessage": "Client Id provided in the request is not a valid client Id registered for this portal. Please check the parameter and try again.", "Timestamp": "4/5/2019 10:02:11 AM", "CorrelationId": "7464eb01-71ab-44bc-93a1-f221479be847" }
Balidatu tokena IDA
ID bat tokena bakarrik erabiltzen ez da nahikoa ikuskapenaz autentifikatzeko erabiltzaile; ere-tokena sinadura balidatu eta egin behar duzu zure aplikazioa eskakizunak oinarri harturik tokena aplikazioan erreklamazioetan egiaztatu. Publiko tokenaren amaiera-puntuaren hobetsia ataria-tokena sinadura balidatu erabil daiteke, atariko publiko gakoa eskaintzen du. URLa amaiera-puntua eman token publikoa da: <portal_url>/_services/auth/publickey.
Eman implicit fluxua aktibatu edo desaktibatu
Modu lehenetsian, implicit eman fluxua gaituta. Eman implicit fluxua desaktibatu nahi baduzu baten balioa ezarri, Konektorea/ImplicitGrantFlowEnabled ezarpen gunearen Faltsua.
Gune ezarpena erabilgarri badago atarian, gune ezarpen berria sortu behar duzu dagokion balioarekin.
Tokenaren baliozkotasun konfiguratu
Modu lehenetsian, tokena baliozkoa den 15 minutu pasa arte. Tokenaren baliozkotasun aldatu nahi baduzu baten balioa ezarri, ImplicitGrantFlow/TokenExpirationTime gunearen beharrezko balio ezarpena. Balioa segundoetan zehaztu behar da. Gehienezko balioa daitezke 1 ordu eta gutxieneko balioa izan behar du 1 minutu. Okerreko balioa (esaterako, alfazenbakizko karaktereak) zehazten bada, 15 minutu balio lehenetsia erabiltzen da. Gehienezko balioa baino gehiago bezalakoa edo eskasagoa gutxieneko balioa balio zehaztuz gutxieneko eta gehienezko balioak erabiltzen dira hurrenez, modu lehenetsian.
Adibidez, ezarri tokenaren baliozkotasun-30 minutu, baten balioa ezarri, ImplicitGrantFlow/TokenExpirationTime ezarpen gunearen 1800. Ezarri tokenaren baliozkotasun-1 ordu, baten balioa ezarri, ImplicitGrantFlow/TokenExpirationTime ezarpen gunearen 3600.
Erregistratu implicit eman fluxua bezeroaren IDA
Bezeroaren IDA erregistratu behar fluxu hau onartzen duen ataria batekin. Bezeroaren IDA erregistratu gune ezarpenak hurrengo sortu behar duzu:
| Web-orriaren ezarpena | Value |
|---|---|
| ImplicitGrantFlow/RegisteredClientId | Baliozko bezeroaren ID balioak ataria hau onartzen den. Balioak puntu eta koma bidez bereizita behar eta alfazenbakizko karaktereak eta marratxorik izan ditzake. Gehienezko luzera 36 karaktere da. |
| ImplicitGrantFlow/{ClientId}/RedirectUri | Baliozko redirect URIs dira onartzen bezero jakin batean ida. Balioak puntu eta koma bidez bereizita behar da. Emandako URLAK baliozkoa atariko web-orri bat izan behar dute. |
Adibide-kodea
Honako adibide-kodea erabil dezakezu Oauth 2.0 fluxu-baimen inplizitua Power Apps atariak APIekin erabiltzen hasteko.
Erabili Oauth ataria tokena kanpoko web API batekin
Lagin hau ASP.NET-en oinarritutako proiektua da, eta Power Apps atariek igorri duen ID tokena baliozkotzeko erabiltzen da. Lagin osoa hemen aurki dezakezu: Erabili Oauth ataria tokena kanpoko web API batekin.
Token-aren amaiera-puntua lagina
Lagin honek getAuthenticationToken funtzioa nola erabili erakusten du Token-aren amaiera-puntua erabiliz ID tokena eskuratzeko Power Apps atarietan. Lagina hemen aurki daiteke: Token-aren amaiera-puntuaren lagina.
Oharra
Esan diezagukezu dokumentazioa zein hizkuntzatan jaso nahi duzun? Egin inkesta labur bat. (kontuan izan inkesta hau ingelesez dagoela)
Inkestak zazpi minutu inguru iraungo du. Ez da datu pertsonalik biltzen (pribatutasun-adierazpena).