Partager via


Configurer un fournisseur OpenID Connect

Les fournisseurs d’identité OpenID Connect sont des services compatibles avec la spécification Open ID Connect. OpenID Connect introduit le concept de jeton d’ID. Un jeton d’ID est un jeton de sécurité qui permet à un client de vérifier l’identité d’un utilisateur. Il obtient également des informations de profil de base sur les utilisateurs, communément appelées des revendications.

Les fournisseurs OpenID Connect Azure AD B2C, Microsoft Entra ID et Microsoft Entra ID avec plusieurs locataires sont intégrés dans Power Pages. Cet article explique comment ajouter d’autres fournisseurs d’identité OpenID Connect à votre site Power Pages.

Flux d’authentification pris en charge et non pris en charge dans Power Pages

  • Octroi implicite
    • Ce flux est la méthode d’authentification par défaut pour les sites Power Pages.
  • Code d’autorisation
    • Power Pages utilise la méthode client_secret_post pour communiquer avec le point de terminaison du jeton du serveur d’identité.
    • La méthode private_key_jwt pour l’authentification avec le point de terminaison du jeton n’est pas prise en charge.
  • Hybride (prise en charge restreinte)
    • Power Pages nécessite que id_token soit présent dans la réponse, response_type = jeton de code n’est donc pas pris en charge.
    • Le flux hybride dans Power Pages suit le même flux que l’octroi implicite et utilise id_token pour connecter directement les utilisateurs.
  • Clé de preuve pour l’échange de code (PKCE)
    • Les techniques basées sur PKCE pour authentifier les utilisateurs ne sont pas prises en charge.

Note

Les modifications des paramètres d’authentification de votre site peuvent prendre quelques minutes pour se refléter sur le site. Pour voir les modifications immédiatement, redémarrez le site dans le centre d’administration.

Configurer le fournisseur OpenID Connect dans Power Pages

  1. Dans votre site Power Pages, sélectionnez Sécurité>Fournisseurs d’identité.

    Si aucun fournisseur d’identité n’apparaît, assurez-vous que Connexion externe est défini sur Activé dans les paramètres d’authentification généraux de votre site.

  2. Sélectionnez + Nouveau fournisseur.

  3. Sous Sélectionner un fournisseur de connexion, sélectionnez Autre.

  4. Sous Protocole, sélectionnez OpenID Connect.

  5. Entrez un nom pour le fournisseur.

    Le nom du fournisseur est le texte du bouton que les utilisateurs voient lorsqu’ils sélectionnent leur fournisseur d’identité sur la page de connexion.

  6. Sélectionnez Suivant.

  7. Sous URL de réponse, sélectionnez Copier.

    Ne fermez pas l’onglet de votre navigateur Power Pages. Vous y reviendrez bientôt.

Créer un enregistrement d’application dans le fournisseur d’identité

  1. Créez et enregistrez une application auprès de votre fournisseur d’identité à l’aide de l’URL de réponse que vous avez copiée.

  2. Copiez l’ID d’application ou de client et la clé secrète client.

  3. Recherchez les points de terminaison de l’application et copiez l’URL du Document de métadonnées OpenID Connect.

  4. Modifiez les autres paramètres selon les besoins de votre fournisseur d’identité.

Saisir les paramètres du site dans Power Pages

Retournez à la page Configurer le fournisseur d’identité de Power Pages que vous avez quittée précédemment et saisissez les valeurs suivantes. Modifiez éventuellement les paramètres supplémentaires selon vos besoins. Sélectionnez Confirmer lorsque vous avez terminé.

  • Autorité : saisissez l’URL de l’autorité au format suivant : https://login.microsoftonline.com/<Directory (tenant) ID>/, où <ID de répertoire (locataire)> est l’ID de répertoire (locataire) de l’application que vous avez créée. Par exemple, si l’ID de répertoire (locataire) dans le portail Azure est 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, alors l’URL de l’autorité est https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • ID client : collez l’ID d’application ou de client de l’application que vous avez créée.

  • URL de redirection : si votre site utilise un nom de domaine personnalisé, saisissez l’URL personnalisée ; sinon, laissez la valeur par défaut. Assurez-vous que la valeur est exactement la même que l’URI de redirection de l’application que vous avez créée.

  • Adresse des métadonnées : collez l’URL du document de métadonnées OpenID Connect que vous avez copiée.

  • Étendue : saisissez une liste séparée par des espaces des étendues à demander à l’aide du paramètre scope d’OpenID Connect. La valeur par défaut est openid.

    La valeur openid est obligatoire. En savoir plus sur les autres revendications que vous pouvez ajouter.

  • Type de réponse : saisissez la valeur du paramètre response_type d’OpenID Connect. Les valeurs possibles comprennent code, code id_token, id_token, id_token token et code id_token token La valeur par défaut est code id_token.

  • Clé secrète client : collez la clé secrète client de l’application du fournisseur. Elle peut également être appelée secret d’application ou secret consommateur. Ce paramètre est obligatoire si le type de réponse est code.

  • Mode de réponse : saisissez la valeur du paramètre response_mode d’OpenID Connect. Elle devrait être query si le type de réponse est code. La valeur par défaut est form_post.

  • Déconnexion externe : ce paramètre contrôle si votre site utilise la déconnexion fédérée. Avec la déconnexion fédérée, lorsque les utilisateurs se déconnectent d’une application ou d’un site, ils sont également déconnectés de toutes les applications et de tous les sites qui utilisent le même fournisseur d’identité. Activez ce paramètre pour rediriger les utilisateurs vers l’expérience de déconnexion fédérée lorsqu’ils se déconnectent de votre site Web. Désactivez ce paramètre pour déconnecter les utilisateurs de votre site Web uniquement.

  • URL de redirection post-déconnexion : saisissez l’URL où le fournisseur d’identité doit rediriger les utilisateur après leur déconnexion. Cet emplacement doit également être défini de manière appropriée dans la configuration du fournisseur d’identité.

  • Déconnexion initiée par une partie de confiance : ce paramètre contrôle si la partie de confiance (l’application cliente OpenID Connect) peut déconnecter les utilisateurs. Pour utiliser ce paramètre, activez Déconnexion externe.

Paramètres supplémentaires dans Power Pages

Les paramètres supplémentaires fournissent un contrôle plus précis sur la façon dont les utilisateurs s’authentifient auprès de votre fournisseur d’identité OpenID Connect. Il n’est pas nécessaire de définir l’une de ces valeurs. Elles sont entièrement facultatives.

  • Filtre de l’émetteur : saisissez un filtre basé sur des caractères génériques qui associe tous les émetteurs dans tous les locataires ; par exemple https://sts.windows.net/*/. Si vous utilisez un Microsoft Entra fournisseur d’authentification d’ID, le filtre d’URL de l’émetteur serait https://login.microsoftonline.com/*/v2.0/.

  • Valider l’audience : activez ce paramètre pour valider l’audience lors de la validation du jeton.

  • Audiences valides : saisissez une liste séparée par des virgules des URL d’audience.

  • Valider les émetteurs : activez ce paramètre pour valider l’émetteur lors de la validation du jeton.

  • Émetteurs valides : saisissez une liste séparée par des virgules des URL d’émetteur.

  • Mappage des demandes d’inscription et Mappage des demandes de connexion : dans l’authentification de l’utilisateur, une revendication est une information qui décrit l’identité d’un utilisateur, comme une adresse e-mail ou une date de naissance. Lorsque vous vous connectez à une application ou à un site Web, un jeton est créé. Un jeton contient des informations sur votre identité, y compris toutes les revendications qui lui sont associées. Les jetons sont utilisés pour authentifier votre identité lorsque vous accédez à d’autres parties de l’application ou du site ou à d’autres applications et sites connectés au même fournisseur d’identité. Le Mappage des revendications est une façon de modifier les informations incluses dans un jeton. Il peut être utilisé pour personnaliser les informations disponibles pour l’application ou le site et pour contrôler l’accès aux fonctionnalités ou aux données. Le Mappage des demandes d’inscription modifie les revendications émises lorsque vous vous inscrivez à une application ou à un site. Le Mappage des demandes de connexion modifie les revendications émises lorsque vous vous connectez à une application ou à un site. En savoir plus sur les stratégies de mappage des revendications.

  • Durée de vie de Nonce : saisissez la durée de vie de la valeur Nonce, en minutes. La valeur par défaut est de 10 minutes.

  • Utiliser la durée de vie du jeton : ce paramètre contrôle si la durée de vie de la session d’authentification, comme les cookies, doit correspondre à celle du jeton d’authentification. Si vous l’activez, cette valeur remplace la valeur Délai d’expiration des cookies de l’application dans le paramètre de site Authentication/ApplicationCookie/ExpireTimeSpan.

  • Mappage des contacts avec l’e-mail : ce paramètre détermine si les contacts sont mappés à une adresse e-mail correspondante lorsqu’ils se connectent.

    • Activé : associe un enregistrement de contact unique à une adresse e-mail correspondante et attribue automatiquement le fournisseur d’identité externe au contact une fois que l’utilisateur se connecte avec succès.
    • Désactivée

Note

Le paramètre de requête UI_Locales est envoyé automatiquement dans la requête d’authentification et est défini sur la langue sélectionnée dans le portail.

Voir aussi

Configurer un fournisseur OpenID Connect avec Azure Active Directory (Azure AD) B2C
Configurer un fournisseur OpenID Connect avec Microsoft Entra ID
FAQ sur OpenID Connect