Partager via


Configurer un fournisseur OpenID Connect avec Microsoft Entra ID

Microsoft Entra est l’un des fournisseurs d’identité OpenID Connect que vous pouvez utiliser pour authentifier les visiteurs sur votre site Power Pages. Avec Microsoft Entra ID, Microsoft Entra ID multilocataire et Azure AD B2C, vous pouvez utiliser n’importe quel autre fournisseur qui est conforme à la spécification OpenID Connect.

Cet article décrit les étapes suivantes :

Note

Les modifications des paramètres d’authentification de votre site peuvent prendre quelques minutes pour se refléter sur le site. Pour voir les modifications immédiatement, redémarrez le site dans le centre d’administration.

Configurer Microsoft Entra dans Power Pages

Définissez Microsoft Entra comme fournisseur d’identité pour votre site.

  1. Dans votre site Power Pages, sélectionnez Sécurité>Fournisseurs d’identité.

    Si aucun fournisseur d’identité n’apparaît, assurez-vous que Connexion externe est défini sur Activé dans les paramètres d’authentification généraux de votre site.

  2. Sélectionnez + Nouveau fournisseur.

  3. Sous Sélectionner un fournisseur de connexion, sélectionnez Autre.

  4. Sous Protocole, sélectionnez OpenID Connect.

  5. Entrez un nom pour le fournisseur ; par exemple Microsoft Entra ID.

    Le nom du fournisseur est le texte du bouton que les utilisateurs voient lorsqu’ils sélectionnent leur fournisseur d’identité sur la page de connexion.

  6. Sélectionnez Suivant.

  7. Sous URL de réponse, sélectionnez Copier.

    Ne fermez pas l’onglet de votre navigateur Power Pages. Vous y reviendrez bientôt.

Créer un enregistrement d’application dans Azure

Créez un enregistrement d’application dans le portail Azure avec l’URL de réponse de votre site comme URI de redirection.

  1. Connectez-vous au portail Azure.

  2. Recherchez et sélectionnez Azure Active Directory.

  3. Sous Gérer, sélectionnez Enregistrements d’application.

  4. Sélectionnez Nouvelle inscription.

  5. Entrez un nom.

  6. Sélectionnez l’un des Types de compte pris en charge qui reflète le mieux les exigences de votre organisation.

  7. Sous URI de redirection, sélectionnez Web comme plateforme, puis saisissez l’URL de réponse de votre site.

    • Si vous utilisez l’URL par défaut de votre site, collez l’URL de réponse que vous avez copiée.
    • Si vous utilisez un nom de domaine personnalisé, saisissez l’URL personnalisée. Veillez à utiliser la même URL personnalisée pour l’URL de redirection dans les paramètres du fournisseur d’identité sur votre site.
  8. Sélectionnez Inscrire.

  9. Copiez l’ID de l’application (client).

  10. À droite de Informations d’identification du client, sélectionnez Ajouter un certificat ou un secret.

  11. Sélectionnez + Nouveau secret client.

  12. Saisissez une description facultative, sélectionnez une expiration, puis sélectionnez Ajouter.

  13. Sous ID secret, sélectionnez l’icône Copier dans le Presse-papiers.

  14. Sélectionnez Points de terminaison en haut de la page.

  15. Recherchez l’URL du Document de métadonnées OpenID Connect et sélectionnez l’icône de copie.

  16. Dans le volet de gauche, sous Gérer, sélectionnez Authentification.

  17. Sous Octroi implicite, sélectionnez Jetons d’ID (utilisés pour les flux implicites et hybrides).

  18. Sélectionnez Enregistrer.

Saisir les paramètres du site dans Power Pages

Retournez à la page Configurer le fournisseur d’identité de Power Pages que vous avez quittée précédemment et saisissez les valeurs suivantes. Modifiez éventuellement les paramètres supplémentaires selon vos besoins. Sélectionnez Confirmer lorsque vous avez terminé.

  • Autorité : saisissez l’URL de l’autorité au format suivant : https://login.microsoftonline.com/<Directory (tenant) ID>/, où <ID de répertoire (locataire)> est l’ID de répertoire (locataire) de l’application que vous avez créée. Par exemple, si l’ID de répertoire (locataire) dans le portail Azure est 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, alors l’URL de l’autorité est https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • ID client : collez l’ID d’application ou de client de l’application que vous avez créée.

  • URL de redirection : si votre site utilise un nom de domaine personnalisé, saisissez l’URL personnalisée ; sinon, laissez la valeur par défaut. Assurez-vous que la valeur est exactement la même que l’URI de redirection de l’application que vous avez créée.

  • Adresse des métadonnées : collez l’URL du document de métadonnées OpenID Connect que vous avez copiée.

  • Étendue : saisissez openid email.

    La valeur openid est obligatoire. La valeur email est facultative ; elle garantit que l’adresse e-mail de l’utilisateur est automatiquement remplie et affichée sur la page de profil après la connexion de l’utilisateur. En savoir plus sur les autres revendications que vous pouvez ajouter.

  • Type de réponse : sélectionnez code id_token.

  • Clé secrète client : collez la clé secrète client de l’application que vous avez créée. Ce paramètre est obligatoire si le type de réponse est code.

  • Mode de réponse : sélectionnez form_post.

  • Déconnexion externe : ce paramètre contrôle si votre site utilise la déconnexion fédérée. Avec la déconnexion fédérée, lorsque les utilisateurs se déconnectent d’une application ou d’un site, ils sont également déconnectés de toutes les applications et de tous les sites qui utilisent le même fournisseur d’identité. Activez ce paramètre pour rediriger les utilisateurs vers l’expérience de déconnexion fédérée lorsqu’ils se déconnectent de votre site Web. Désactivez ce paramètre pour déconnecter les utilisateurs de votre site Web uniquement.

  • URL de redirection post-déconnexion : saisissez l’URL où le fournisseur d’identité doit rediriger les utilisateur après leur déconnexion. Cet emplacement doit également être défini de manière appropriée dans la configuration du fournisseur d’identité.

  • Déconnexion initiée par une partie de confiance : ce paramètre contrôle si la partie de confiance (l’application cliente OpenID Connect) peut déconnecter les utilisateurs. Pour utiliser ce paramètre, activez Déconnexion externe.

Paramètres supplémentaires dans Power Pages

Les paramètres supplémentaires fournissent un contrôle plus précis sur la façon dont les utilisateurs s’authentifient auprès de votre fournisseur d’identité Microsoft Entra. Il n’est pas nécessaire de définir l’une de ces valeurs. Elles sont entièrement facultatives.

  • Filtre de l’émetteur : saisissez un filtre basé sur des caractères génériques qui associe tous les émetteurs dans tous les locataires ; par exemple https://sts.windows.net/*/.

  • Valider l’audience : activez ce paramètre pour valider l’audience lors de la validation du jeton.

  • Audiences valides : saisissez une liste séparée par des virgules des URL d’audience.

  • Valider les émetteurs : activez ce paramètre pour valider l’émetteur lors de la validation du jeton.

  • Émetteurs valides : saisissez une liste séparée par des virgules des URL d’émetteur.

  • Mappage des demandes d’inscription et Mappage des demandes de connexion : dans l’authentification de l’utilisateur, une revendication est une information qui décrit l’identité d’un utilisateur, comme une adresse e-mail ou une date de naissance. Lorsque vous vous connectez à une application ou à un site Web, un jeton est créé. Un jeton contient des informations sur votre identité, y compris toutes les revendications qui lui sont associées. Les jetons sont utilisés pour authentifier votre identité lorsque vous accédez à d’autres parties de l’application ou du site ou à d’autres applications et sites connectés au même fournisseur d’identité. Le Mappage des revendications est une façon de modifier les informations incluses dans un jeton. Il peut être utilisé pour personnaliser les informations disponibles pour l’application ou le site et pour contrôler l’accès aux fonctionnalités ou aux données. Le Mappage des demandes d’inscription modifie les revendications émises lorsque vous vous inscrivez à une application ou à un site. Le Mappage des demandes de connexion modifie les revendications émises lorsque vous vous connectez à une application ou à un site. En savoir plus sur les stratégies de mappage des revendications.

  • Durée de vie de Nonce : saisissez la durée de vie de la valeur Nonce, en minutes. La valeur par défaut est de 10 minutes.

  • Utiliser la durée de vie du jeton : ce paramètre contrôle si la durée de vie de la session d’authentification, comme les cookies, doit correspondre à celle du jeton d’authentification. Si vous l’activez, cette valeur remplace la valeur Délai d’expiration des cookies de l’application dans le paramètre de site Authentication/ApplicationCookie/ExpireTimeSpan.

  • Mappage des contacts avec l’e-mail : ce paramètre détermine si les contacts sont mappés à une adresse e-mail correspondante lorsqu’ils se connectent.

    • Activé : associe un enregistrement de contact unique à une adresse e-mail correspondante et attribue automatiquement le fournisseur d’identité externe au contact une fois que l’utilisateur se connecte avec succès.
    • Désactivée

Note

Le paramètre de requête UI_Locales est envoyé automatiquement dans la requête d’authentification et est défini sur la langue sélectionnée dans le portail.

Configurer les revendications supplémentaires

  1. Activez les revendications facultatives dans Microsoft Entra ID.

  2. Définissez l’Étendue pour inclure les revendications supplémentaires ; par exemple openid email profile

  3. Définissez le paramètre de site supplémentaire Mappage des demandes d’inscription ; par exemple firstname=given_name,lastname=family_name.

  4. Définissez le paramètre de site supplémentaire Mappage des demandes de connexion ; par exemple firstname=given_name,lastname=family_name.

Dans ces exemples, les prénom, nom et adresse e-mail fournis avec les revendications supplémentaires deviennent les valeurs par défaut dans la page de profil du site Web.

Note

Le mappage des revendications est pris en charge pour les types de données Texte et Booléen.

Autoriser l’authentification Microsoft Entra multilocataire

Pour permettre aux utilisateurs Microsoft Entra de s’authentifier à partir de n’importe quel locataire dans Azure, et pas seulement à partir d’un locataire spécifique, modifiez l’enregistrement d’application Microsoft Entra en multilocataire.

Vous devez également définir le Filtre de l’émetteur dans les paramètres supplémentaires de votre fournisseur.

Voir aussi

FAQ sur OpenID Connect