Bagikan melalui

Menambahkan OpenID Connect sebagai penyedia identitas eksternal

Berlaku untuk: Lingkaran putih dengan simbol X abu-abu. Penyewa Tenaga Kerja Lingkaran hijau dengan simbol tanda centang putih. Penyewa eksternal (pelajari lebih lanjut)

Dengan menyiapkan federasi dengan penyedia identitas OpenID Connect (OIDC) yang dikonfigurasi khusus, Anda memungkinkan pengguna untuk mendaftar dan masuk ke aplikasi Anda menggunakan akun yang ada dari penyedia eksternal federasi. Federasi OIDC ini memungkinkan autentikasi dengan berbagai penyedia yang mematuhi protokol OpenID Connect.

Saat Anda menambahkan idP OIDC ke opsi masuk alur pengguna Anda, pengguna dapat mendaftar dan masuk ke aplikasi terdaftar yang ditentukan dalam alur pengguna tersebut. Mereka dapat melakukan ini menggunakan kredensial mereka dari IdP OIDC. (Pelajari selengkapnya tentang metode autentikasi dan penyedia identitas untuk pelanggan.)

Prasyarat

  • Penyewa dari luar .
  • Aplikasi terdaftar di penyewa.
  • Alur pengguna untuk pendaftaran dan masuk .

Menyiapkan penyedia identitas OpenID Connect Anda

Untuk dapat memfederasikan pengguna dengan penyedia identitas Anda, pertama-tama Anda perlu menyiapkan penyedia identitas agar dapat menerima permintaan federasi dari penyewa Microsoft Entra ID Anda. Untuk melakukannya, Anda perlu mengisi URI pengalihan Anda dan mendaftar ke penyedia identitas Anda agar dapat dikenali.

Sebelum pindah ke langkah berikutnya, isi URI pengalihan Anda sebagai berikut:

https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2

https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

Aktifkan fitur masuk dan mendaftar dengan penyedia identitas Anda

Untuk mengaktifkan masuk dan mendaftar untuk pengguna dengan akun di idP, Anda perlu mendaftarkan ID Microsoft Entra sebagai aplikasi di IdP Anda. Langkah ini memungkinkan penyedia identitas Anda mengenali dan mengeluarkan token ke ID Microsoft Entra Anda untuk federasi. Daftarkan aplikasi menggunakan URI pengalihan yang diisi. Simpan detail konfigurasi penyedia identitas Anda untuk mengatur federasi di penyewa ID Eksternal Microsoft Entra Anda.

Pengaturan federasi

Untuk mengonfigurasi federasi OpenID Connect dengan penyedia identitas Anda dalam Microsoft Entra External ID, Anda harus memiliki pengaturan berikut:

  • Titik akhir Terkenal
  • URI Pengeluar
  • ID Klien
  • Metode Autentikasi Klien
  • Rahasia Klien
  • Cakupan
  • Jenis Respons
  • Pemetaan Klaim
    • Pengganti
    • Nama
    • Nama yang diberikan
    • Nama keluarga
    • Email (diperlukan)
    • Email_terverifikasi
    • Nomor telepon
    • Nomor_telepon_terverifikasi
    • Alamat jalan
    • Wilayah
    • Wilayah
    • Kode pos
    • Negara

Konfigurasi penyedia identitas OpenID Connect baru di Pusat Admin

Setelah mengonfigurasi penyedia identitas, dalam langkah ini Anda akan mengonfigurasi federasi OpenID connect baru di pusat admin Microsoft Entra.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya seorang Administrator Penyedia Identitas Eksternal .

  2. Telusuri ke Entra ID>Identitas Eksternal>Semua penyedia identitas.

  3. Pilih tab Kustom, lalu pilih Tambahkan>Open ID Connect baru.

    Cuplikan layar penambahan penyedia identitas kustom baru.

  4. Masukkan detail berikut untuk penyedia identitas Anda.

    • Nama tampilan: Nama penyedia identitas Anda yang akan ditampilkan kepada pengguna Anda selama alur masuk dan pendaftaran akun. Misalnya, Masuk dengan nama IdP atau Daftar dengan nama IdP.

    • titik akhir terkenal (juga dikenal sebagai URI metadata) adalah URI penemuan OIDC untuk mendapatkan informasi konfigurasi bagi penyedia identitas Anda. Respons yang akan diambil dari lokasi terkenal adalah dokumen JSON, termasuk lokasi titik akhir OAuth 2.0-nya. Perhatikan bahwa dokumen metadata harus, minimal, berisi properti berikut: issuer, authorization_endpoint, token_endpoint, token_endpoint_auth_methods_supported, response_types_supported, subject_types_supported dan jwks_uri. Lihat spesifikasi OpenID Connect Discovery untuk detail selengkapnya.

    • URI Penerbit OpenID: Entitas penyedia identitas Anda yang mengeluarkan token akses untuk aplikasi Anda. Contohnya, jika Anda menggunakan OpenID Connect untuk berfederasi dengan Azure AD B2CAnda, URI penerbit Anda dapat diambil dari URI penemuan Anda dengan tag "penerbit" dan tampak seperti ini: https://login.b2clogin.com/{tenant}/v2.0/. URI penerbit adalah URL yang peka huruf besar/kecil yang menggunakan skema https, mengandung skema, host, dan secara opsional, nomor port dan komponen jalur, serta tidak mengandung komponen kueri atau fragmen.

    Nota

    Mengonfigurasi penyewa Microsoft Entra lainnya sebagai penyedia identitas eksternal saat ini tidak didukung. Akibatnya, domain microsoftonline.com di URI penerbit tidak diterima.

    • ID Klien dan Rahasia Klien adalah pengidentifikasi yang digunakan idP Anda untuk mengidentifikasi layanan aplikasi terdaftar. Rahasia klien perlu disediakan jika autentikasi client_secret dipilih. Jika private_key_jwt dipilih, kunci privat perlu disediakan dalam metadata penyedia OpenID (titik akhir terkenal), dapat diambil melalui properti jwks_uri.
    • Autentikasi Klien adalah jenis metode autentikasi klien yang akan digunakan untuk mengautentikasi dengan penyedia identitas Anda menggunakan endpoint token. metode autentikasi client_secret_post, client_secret_jwt, dan private_key_jwt didukung.

    Nota

    Karena kemungkinan masalah keamanan, metode autentikasi klien client_secret_basic tidak didukung.

    • Scope mendefinisikan informasi dan izin yang ingin Anda kumpulkan dari penyedia identitas Anda, misalnya openid profile. Permintaan OpenID Connect harus berisi nilai cakupan openid di bagian cakupan untuk menerima token ID dari penyedia identitas Anda. Cakupan lain dapat ditambahkan dan dipisahkan oleh spasi. Lihat dokumentasi OpenID Connect untuk melihat cakupan lain apa yang mungkin tersedia seperti profile, email, dll.
    • Jenis respons menjelaskan jenis informasi apa yang dikirim kembali dalam panggilan awal ke authorization_endpoint penyedia identitas Anda. Saat ini, hanya jenis respons code yang didukung. id_token dan token tidak didukung saat ini.

  5. Anda dapat memilih Selanjutnya: Pemetaan klaim untuk mengonfigurasi pemetaan klaim atau Tinjau + buat untuk menambahkan penyedia identitas Anda.

Nota

Microsoft menyarankan Anda untuk tidak menggunakan alur hibah implisit atau alur ROPC. Oleh karena itu, konfigurasi penyedia identitas eksternal OpenID connect tidak mendukung alur ini. Cara yang direkomendasikan untuk mendukung SPAs adalah alur kode Otorisasi OAuth 2.0 (dengan PKCE) yang didukung oleh konfigurasi federasi OIDC.

Tambahkan penyedia identitas OIDC ke alur pengguna

Saat ini, penyedia identitas OIDC telah disiapkan di Microsoft Entra ID Anda, namun belum tersedia di salah satu halaman log masuk. Untuk menambahkan penyedia identitas OIDC ke alur pengguna:

  1. Di penyewa eksternal Anda, telusuri Entra ID>Identitas Eksternal>Alur Pengguna.

  2. Pilih alur pengguna tempat Anda ingin menambahkan penyedia identitas OIDC.

  3. Di bawah Pengaturan, pilih Penyedia identitas.

  4. Di bawah Penyedia Identitas Lain, pilih penyedia identitas OIDC .

    Cuplikan layar penyedia OIDC kustom dalam daftar IdP.

  5. Pilih Simpan.

Konten terkait