OpenID Csatlakozás-szolgáltató beállítása azonosítóval Microsoft Entra
Microsoft Entra az egyik OpenID Connect identitásszolgáltató, amellyel hitelesítheti webhelye látogatóit Power Pages . Az azonosító, a több-bérlős azonosító és a B2C mellett bármely más szolgáltatót is használhat, Microsoft Entra amely megfelel az Microsoft Entra Open ID Connect specifikációnak Azure AD . ...
Ez a cikk az alábbi lépéseket ismerteti:
- Beállítás Microsoft Entra helye Power Pages
- Alkalmazásregisztráció létrehozása az Azure alkalmazásban
- Webhelybeállítások megadása a Power Pages szolgáltatásban
- Több-bérlős Microsoft Entra hitelesítés engedélyezése
Feljegyzés
A hitelesítési beállítások módosítása eltarthat néhány percig, amíg megjelenik a webhelyen. Ha azonnal meg szeretné jeleníteni a változtatásokat, indítsa újra a webhelyet a felügyeleti központban.
Beállítás Microsoft Entra helye Power Pages
Állítsa be Microsoft Entra a webhely identitásszolgáltatójaként.
Válassza a Power Pages webhelyén a Beállítás>Identitásszolgáltatók lehetőséget.
Ha egyetlen identitásszolgáltató sem jelenik meg, ellenőrizze, hogy a webhelye általános hitelesítési beállításaibanBe értékre van állítva a Külső bejelentkezés.
Válassza a + Új szolgáltató lehetőséget.
A Bejelentkezési szolgáltató kiválasztása lehetőségnél válassza az Egyéb értéket.
A Protokoll lehetőségnél válassza az OpenID Connect értékét.
Adja meg a szolgáltató nevét; Például,ID Microsoft Entra .
A szolgáltató neve az a szöveg a gombon, amelyet a felhasználók akkor látnak, amikor a bejelentkezési oldalon kiválasztják az identitásszolgáltatójukat.
Válassza a Következő lehetőséget.
Válassza a Válasz URL-cím alatt a Másolás lehetőséget.
Ne zárja be a Power Pages böngészőlapot. Hamarosan vissza kell ide térnie.
Alkalmazásregisztráció létrehozása az Azure alkalmazásban
Alkalmazásregisztráció létrehozása az Azure Portalban a webhely URL-címét átirányítási URI-ként használva.
Jelentkezzen be az Azure portálba.
Keresse meg és válassza ki a Azure Active Directory elemet.
A Kezelés területen válassza az Alkalmazásregisztrációk lehetőséget.
Válassza az Új regisztráció lehetőséget.
Adjon meg egy nevet.
Válassza ki azt a Támogatott fióktípust, amely leginkább jellemzi a szervezete követelményeit.
Az Átirányítási URI beállításnál válassza a Web lehetőséget platformként, majd adja meg a webhely válasz URL-címét.
- Ha a webhely alapértelmezett URL-jét használja, illessze be a másolt válasz URL-t.
- Ha egyéni tartománynevet használ, akkor írja be az egyéni URL-címet. Használja ugyanazt az egyéni URL-címet az átirányítási URL-címhez a webhely identitásszolgáltatójának beállításaiban.
Válassza a Regisztrálás lehetőséget.
Másolja ki az Alkalmazás (ügyfél) azonosítót.
Az Ügyfél hitelesítő adatai mellett válassza a Tanúsítvány vagy titkos kód hozzáadása lehetőséget.
Válassza a + Új titkos ügyfélkód elemet.
Adja meg az opcionális leírást, válasszon ki egy lejárati dátumot, majd kattintson a Hozzáadás gombra.
A Titkos kód azonosítója alatt válassza a Másolás vágólapra ikont.
Az oldal tetején válassza a Végpontok lehetőséget.
Keresse meg az OpenID Connect metaadat-dokumentum URL-címét, majd kattintson a Másolás ikonra.
A bal oldali panelen, a Kezelés menüben válassza a Hitelesítés lehetőséget.
Az Implicit engedély részben válassza a Azonosító jogkivonatok (implicit és hibrid folyamatokhoz használt) lehetőséget.
Válassza a Mentés parancsot.
Webhelybeállítások megadása a Power Pages szolgáltatásban
Térjen vissza a Power Pages szolgáltatás korábban elhagyott Identitásszolgáltató konfigurálása oldalára, és írja be a következő értékeket. Szükség szerint módosítsa a további beállításokat. Ha végzett, válassza a Megerősítés lehetőséget.
Hitelesítésszolgáltató: Adja meg a hitelesítésszolgáltató URL-címét a következő formátumban:
https://login.microsoftonline.com/<Directory (tenant) ID>/
, ahol a <Címtár (bérlő) azonosítója> annak az alkalmazásnak a címtár (bérlő) azonosítója, amelyet létrehozott. Ha például az Azure portálon a címtár (bérlő) azonosítója7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb
, akkor a hitelesítésszolgáltató URL-címehttps://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/
.Ügyfélazonosító: Illessze be annak az alkalmazásnak az alkalmazás- vagy ügyfélazonosítóját, amelyet létrehozott.
Átirányítási URL: Ha a webhelye egyéni tartománynevet használ, adja meg az egyéni URL-címet; ellenkező esetben hagyja meg az alapértelmezett értéket. Ellenőrizze, hogy az érték pontosan ugyanaz-e, mint a létrehozott alkalmazás átirányítási URI-ja.
Metaadatcím: Illessze be annak az OpenID Connect metaadat-dokumentumnak az URL-címét, amelyet kimásolt.
Hatókör: Adja meg a következő értéket:
openid email
.A(z)
openid
érték megadása kötelező. A(z)email
érték nem kötelező; az érték biztosítja, hogy a felhasználó e-mail-címe automatikusan ki legyen töltve, és megjelenjen a profiloldalon, miután a felhasználó bejelentkezik. Ismerje meg a további hozzáadható jogcímeket.Választípus: Válassza ki a(z)
code id_token
lehetőséget.Titkos ügyfélkód: Illessze be a titkos ügyfélkódot a létrehozott alkalmazásból. Ez a beállítás akkor szükséges, ha a válasz típusa
code
.Válasz módja: Válassza a(z)
form_post
lehetőséget.Külső kijelentkezés: Ezzel a beállítással megadhatja, hogy a webhely összevont kijelentkezést alkalmazzon-e. Az összevont kijelentkezéssel, amikor a felhasználó kijelentkezik egy alkalmazásból vagy a webhelyről, az azonos identitásszolgáltatót használó összes alkalmazásból és webhelyről is kijelentkezik. Kapcsolja be a lehetőséget a felhasználók átirányításához az összevont kijelentkezési felhasználói élményre, amikor kijelentkeznek a webhelyről. Kapcsolja ki a lehetőséget, ha azt szeretné, hogy a felhasználók csak a webhelyről jelentkezzenek ki.
Kijelentkezés utáni átirányítási URL-cím: Adja meg azt az URL-címet, amelyre az identitásszolgáltató átirányítja a felhasználókat a kijelentkezés után. Ezt a helyet be kell állítani az identitásszolgáltató konfigurációjában.
RP által kezdeményezett kijelentkezés: Ez a beállítás azt szabályozza, hogy a jogcímfelhasználó – az OpenID Connect ügyfélalkalmazás – ki tudja-e jelentkeztetni a felhasználókat. A beállítás használatához kapcsolja be a Külső kijelentkezés funkciót.
További beállítások a Power Pages szolgáltatásban
A további beállításokkal finomabban szabályozhatja, hogy a felhasználók hogyan hitelesítik magukat az Microsoft Entra identitásszolgáltatóval. Ezen értékek egyikét sem kell beállítania. Nem kötelező megadnia az értékeket.
Kiállítószűrő: Adjon meg egy helyettesítőalapú szűrőt, amely megfelel az összes kibocsátónak, minden bérlő esetében; például:
https://sts.windows.net/*/
.Célközönség ellenőrzése: A beállítás bekapcsolával ellenőrizheti a célközönséget a jogkivonat ellenőrzése során.
Érvényes célközönségek:: Vesszővel elválasztva adja meg a célközönség URL-címeinek listáját.
Kiállítók ellenőrzése: A beállítás bekapcsolával ellenőrizheti a kiállítókat a jogkivonat ellenőrzése során.
Érvényes kiállítók:: Vesszővel elválasztva adja meg a kiállítók URL-címeinek listáját.
Regisztrációs jogcímek leképezése és Bejelentkezési jogcímek leképezése: A felhasználói hitelesítésben a jogcím a felhasználó azonosságát leíró információ, például egy e-mail-cím vagy a születési dátum. Amikor bejelentkezik egy alkalmazásba vagy webhelyre, a rendszer egy jogkivonatot hoz létre. A jogkivonatok az Ön identitására vonatkozó információkat tartalmaznak, beleértve a hozzá társított összes jogcímet is. A jogkivonatok az identitás hitelesítésére használatosak az alkalmazás vagy a webhely más részeinek, illetve az azonos identitásszolgáltatóhoz kapcsolt egyéb alkalmazásoknak és webhelyeknek az elérésekor. Jogcímek leképezése: ez egy módja annak, hogy módosítsa a jogkivonatban szereplő információkat. Ezzel testreszabhatja az alkalmazás vagy a webhely számára elérhető adatokat, valamint szabályozhatja a szolgáltatásokhoz és adatokhoz való hozzáférést. Regisztrációs jogcímek leképezése: módosítja az alkalmazásokra vagy webhelyekre való regisztrációkor kibocsátott jogcímeket. Bejelentkezési jogcímek leképezése: módosítja az alkalmazásokba vagy webhelyekre való bejelentkezéskor kibocsátott jogcímeket. További információ a jogcímek leképezésére vonatkozó házirendekről.
Egyszeri kulcs élettartama: Adja meg az egyszeri kulcs érték élettartamát percben. Az alapértelmezett érték 10 perc.
Jogkivonat élettartamának használata: Ez a beállítás azt szabályozza, hogy a hitelesítési munkamenet élettartama (például a cookie-k) egyezzen a hitelesítési jogkivonat élettartamával. Ha bekapcsolja, akkor ez az érték felülírja az Alkalmazás cookie-lejárati időtartam értékét az Authentication/ApplicationCookie/ExpireTimeSpan webhelybeállításban.
Kapcsolattartó leképezése e-maillel: Ez a beállítás azt határozza meg, hogy a kapcsolattartók le vannak-e képezve egy megfelelő e-mail-címhez, amikor bejelentkeznek.
- Be: Társítja az egyedi kapcsolattartó-rekordot egy megfelelő e-mail-címhez, és ezután automatikusan hozzárendeli a külső identitásszolgáltatót a kapcsolattartóhoz, miután a felhasználó sikeresen bejelentkezik.
- Ki
Feljegyzés
Az UI_Locales kérelemparamétert a rendszer automatikusan elküldi a hitelesítési kérelemben, és azt a portálon kiválasztott nyelvre álítja be.
További jogcímek beállítása
Opcionális jogcímek engedélyezése az azonosítóban Microsoft Entra .
Állítsa be a Hatókör elemet a további jogcímek belefoglalásához; például:
openid email profile
.Állítsa be a Regisztrációs jogcímek leképezése további webhelybeállítást; például:
firstname=given_name,lastname=family_name
.Állítsa be a Bejelentkezési jogcímek leképezése további webhelybeállítást; például:
firstname=given_name,lastname=family_name
.
Ezekben a példákban a további jogcímekhez megadott utónév, vezetéknév és e-mail-címek a webhely profillapjának alapértelmezett értékei lesznek.
Feljegyzés
A jogcímek leképezése szöveges és logikai adattípusok esetén támogatott.
Több-bérlős Microsoft Entra hitelesítés engedélyezése
Annak érdekében Microsoft Entra , hogy a felhasználók ne csak egy adott bérlőből, hanem az Azure bármely bérlőjéből hitelesítsék magukat, módosítsa az Microsoft Entra alkalmazásregisztrációt több-bérlősre.
Ezenkívül be kell állítania a Kiállítószűrőt a szolgáltatója további beállításaiban.