Compartir por

Configurar un fornecedor de OpenID Connect

  • Artigo

Os provedores de identidade de OpenID Connect son servizos que se axustan á especificación de Open ID Connect. OpenID Connect presenta o concepto de token de ID. Un token de ID é un token de seguridade que permite ao cliente verificar a identidade do usuario. Tamén obtén información básica do perfil sobre os usuarios, coñecido como reclamacións.

Provedores de OpenID Connect Azure AD B2C, Microsoft Entra ID e Microsoft Entra ID con varios inquilinos están incorporados en Power Pages. Este artigo explica como engadir outros fornecedores de identidade de OpenID Connect ao seu Power Pages sitio.

Fluxos de autenticación admitidos e non admitidos en Power Pages

  • Concesión implícita
    • Este fluxo é o método de autenticación predeterminado para sitios de Power Pages.
  • Código de autorización
    • Power Pages usa o método client_secret_post para comunicarse co extremo do token do servidor de identidades.
    • O método private_key_jwt non se admite para autenticarse cos extremos de token.
  • Híbrido (soporte restrinxido)
    • Power Pages require que id_token estea presente na resposta, así que non se admite ter o valor response_type = token de código.
    • O fluxo híbrido en Power Pages segue o mesmo fluxo que concesión implícita e usa id_token para iniciar sesión directamente nos usuarios.
  • Clave de proba para o intercambio de código (PKCE)
    • As técnicas baseadas en PKCE para autenticar usuarios non son compatibles.

Nota

Os cambios na configuración de autenticación do seu sitio poden tardar uns minutos en reflectirse no sitio. Para ver os cambios inmediatamente, reinicie o sitio no centro de administración.

Configurar o fornecedor de OpenID Connect en Power Pages

  1. No teu Power Pages sitio, selecciona Seguridade>Proveedores de identidade.

    Se non aparece ningún fornecedor de identidade, asegúrese de que Inicio de sesión externo está configurado como Activado na configuración xeral de autenticación do seu sitio.

  2. Seleccione + Novo fornecedor.

  3. En Seleccionar fornecedor de inicio de sesión, seleccione Outro.

  4. En Protocolo, seleccione OpenID Connect.

  5. Escribir un nome para o fornecedor.

    O nome do fornecedor é o texto que aparece no botón que ven os usuarios cando seleccionan o seu fornecedor de identidade na páxina de inicio de sesión.

  6. Seleccione Seguinte.

  7. En URL de resposta, seleccione Copiar.

    Non peche o separador do explorador Power Pages. Pronto volverá a el.

Crear un rexistro de aplicación no fornecedor de identidade

  1. Cree e rexistre unha aplicación co seu provedor de identidade mediante o URL de resposta que copiou.

  2. Copie a aplicación ou ID do cliente e o segredo do cliente.

  3. Busque os extremos da aplicación e copie o URL do documento de metadatos de OpenID Connect.

  4. Cambie outros axustes segundo sexa necesario para o seu fornecedor de identidade.

Introduza a configuración do sitio en Power Pages

Volva á páxina Power Pages Configurar o provedor de identidade que deixou anteriormente e introduza os seguintes valores. Opcionalmente, cambie as configuracións adicionais se fose necesario. Seleccione Confirmar cando finalice.

  • Autoridade: introduza o URL de autoridade no seguinte formato: https://login.microsoftonline.com/<Directory (tenant) ID>/, onde <ID do directorio (inquilino)> é o directorio ( inquilino) ID da aplicación creou. Por exemplo, se o ID de directorio (arrendatario) no portal Azure é 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, o URL de autoridade é https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • ID de cliente​: pega a aplicación ou ID de cliente da aplicación que creaches.

  • URL de redirección: se o teu sitio usa un nome de dominio personalizado, introduce o URL personalizado; en caso contrario, deixe o valor predeterminado. Asegúrese de que o valor sexa exactamente o mesmo que o URI de redireccionamento da aplicación que creou.

  • Enderezo de metadatos: pega o URL do documento de metadatos de OpenID Connect que copiaches.

  • Ámbito: introduza unha lista de ámbitos separados por espazos para solicitar mediante o parámetro OpenID Connect scope . O valor predefinido é openid.

    O valor openid é obrigatorio. Obtén información sobre outras reclamacións que podes engadir.

  • resposta type: introduza o valor do parámetro OpenID Connect response_type . Os valores posibles inclúen code, code id_token, id_token, id_token token e code id_token token. O valor predefinido é code id_token.

  • Segredo do cliente: pega o segredo do cliente desde a aplicación do provedor. Tamén se pode denominar segredo de aplicación ou segredo de consumidor. Esta configuración é necesaria se o tipo de resposta é code.

  • resposta mode: introduza o valor do parámetro OpenID Connect response_mode . Debería ser query se o tipo de resposta é code. O valor predefinido é form_post.

  • Pecha de sesión externa: esta configuración controla se o teu sitio usa o peche federado. Coa pechadura federada, cando os usuarios pechan sesión nunha aplicación ou sitio, tamén se pechan de todas as aplicacións e sitios que usan o mesmo fornecedor de identidade. Actíveo para redireccionar aos usuarios á experiencia de usuario de peche de sesión federada cando pechan a sesión no seu sitio web. Desactíveo para pechar a sesión dos usuarios só do seu sitio web.

  • URL de redirección de saída da publicación: insira o URL onde o fornecedor de identidade debe redirixir aos usuarios despois de pechar a sesión. Esta localización debe establecerse adecuadamente na configuración do provedor de identidade.

  • Pecha de sesión iniciada por RP: esta configuración controla se a parte de confianza (a aplicación cliente de OpenID Connect) pode pechar a sesión dos usuarios. Para usar esta configuración, active Peche de sesión externo.

Configuración adicional en Power Pages

As configuracións adicionais ofrécenlle un control máis fino sobre como se autentican os usuarios co fornecedor de identidades de OpenID Connect. Non precisa establecer ningún destes valores. Son totalmente opcionais.

  • Filtro de emisor: introduza un filtro baseado en comodíns que coincida con todos os emisores de todos os arrendatarios; por exemplo, https://sts.windows.net/*/. Se estás a usar un Microsoft Entra proveedor de autenticación de ID, o filtro de URL do emisor sería https://login.microsoftonline.com/*/v2.0/.

  • Validar audiencia: activa esta configuración para validar a audiencia durante a validación do token.

  • Públicos válidos: introduce unha lista de URL separados por comas.

  • Validar emisores: activa esta configuración para validar o emisor durante a validación do token.

  • Emisores válidos: insira unha lista de URL dos emisores separados por comas.

  • Asignación de reclamacións de rexistro​ e Mapeado de reclamacións de inicio de sesión: na autenticación de usuarios, unha reclamación é información que describe a identidade dun usuario, como un enderezo de correo electrónico ou unha data de nacemento. Cando inicia sesión nunha aplicación ou nun sitio web, crea un token. Un token contén información sobre a súa identidade, incluídas as reclamacións que estean asociadas a el. Os tokens utilízanse para autenticar a súa identidade cando accede a outras partes da aplicación ou do sitio ou a outras aplicacións e sitios que están conectados ao mesmo provedor de identidade. A asignación de reclamacións é unha forma de cambiar a información que se inclúe nun token. Pódese usar para personalizar a información que está dispoñible para a aplicación ou o sitio e para controlar o acceso a funcións ou datos. A cartografía de reclamacións de rexistro modifica as reclamacións que se emiten cando te rexistras nunha aplicación ou nun sitio. A asignación de reclamacións de inicio de sesión modifica as reclamacións que se emiten cando inicias sesión nunha aplicación ou nun sitio. Obtén máis información sobre as políticas de asignación de reclamacións.

  • Nonce lifetime: introduza a duración do valor nonce, en minutos. O valor predefinido é 10 minutos.

  • Use token lifetime: esta configuración controla se a duración da sesión de autenticación, como as cookies, debe coincidir coa do token de autenticación. Se o activa, este valor substitúe o valor de TimeSpan de caducidade da cookie da aplicación na configuración do sitio Authentication/ApplicationCookie/ExpireTimeSpan.

  • Asignación de contactos con correo electrónico: esta configuración determina se os contactos se asignan a un enderezo de correo electrónico correspondente cando inician sesión.

    • On: asocia un rexistro de contacto único cun enderezo de correo electrónico coincidente e asigna automaticamente o provedor de identidade externo ao contacto despois de que o usuario inicie sesión correctamente.
    • Desactivado

Nota

O parámetro de solicitude de UI_Locales agora se envía automaticamente na solicitude de autenticación e establécese no idioma seleccionado no portal.

Consulte tamén

Configura un provedor de OpenID Connect con Azure Active Directory (Azure AD) B2C
Configura un provedor de OpenID Connect con Microsoft Entra ID
Preguntas frecuentes sobre OpenID Connect