Menyiapkan penyedia OpenID Connect

Penyedia identitas OpenID Connect adalah layanan yang sesuai dengan spesifikasi Open ID Connect. OpenID Connect memperkenalkan konsep token ID. Token ID merupakan token keamanan yang memungkinkan klien untuk memverifikasi identitas pengguna. Token ID juga mendapatkan informasi profil dasar tentang pengguna, yang dikenal sebagai klaim.

Penyedia Azure AD OpenID Connect B2C, Microsoft Entra ID, dan Microsoft Entra ID dengan beberapa penyewa dibangun Power Pages. Artikel ini menjelaskan cara menambahkan penyedia identitas OpenID Connect lainnya ke situs Power Pages Anda.

Alur autentikasi yang didukung dan tidak didukung di Power Pages

• Izin Implisit
  • Alur ini adalah metode otentikasi default untuk situs Power Pages.
• Kode Otorisasi
  • Power Pages menggunakan metode client_secret_post untuk berkomunikasi dengan titik akhir token server identitas.
  • Metode private_key_jwt untuk mengautentikasi dengan titik akhir token tidak didukung.
• Hibrid (dukungan terbatas)
  • Power Pages mewajibkan token id hadir dalam respons sehingga response_type = token kode tidak didukung.
  • Aliran Hibrid di Power Pages mengikuti alur yang sama seperti alur Izin Implisit, dan menggunakan id_token untuk secara langsung memasukkan pengguna.
• Kunci Bukti untuk Exchange Kode (PKCE)
  • Teknik berbasis PKCE untuk mengotentikasi pengguna tidak didukung.

Catatan

Perubahan pengaturan otentikasi situs Anda mungkin memerlukan beberapa menit agar dapat diterapkan di situs. Untuk segera melihat perubahan, hidupkan ulang situs di pusat admin.

Menyiapkan penyedia OpenID Connect di Power Pages

1. Di situs Anda Power Pages , pilih Penyedia > Identitas Keamanan.

   Jika penyedia identitas tidak muncul, pastikan login eksternal diatur ke Hidup dalam pengaturan autentikasi umum situs Anda.

2. Pilih + penyedia baru.

3. Di Pilih penyedia masuk, pilih Lainnya.

4. Di Protokol, pilih OpenID Connect.

5. Masukkan nama untuk penyedia.

   Nama penyedia adalah teks pada tombol yang dilihat pengguna ketika mereka memilih penyedia identitas di halaman masuk.

6. Pilih Selanjutnya.

7. Dalam URL Balasan, pilih Salin.

   Jangan tutup tab browser Power Pages Anda. Anda akan segera kembali.

Membuat pendaftaran aplikasi di penyedia identitas

1. Buat dan daftarkan aplikasi dengan penyedia identitas menggunakan URL balasan yang Disalin.

2. Salin aplikasi atau ID klien dan rahasia klien.

3. Temukan titik akhir aplikasi, lalu salin URL dokumen metadata OpenID Connect.

4. Ubah pengaturan lain jika diperlukan untuk penyedia identitas Anda.

Masuk ke pengaturan situs di Power Pages

Kembali ke halaman Power Pages Konfigurasikan penyedia identitas yang telah Anda tinggalkan sebelumnya, lalu masukkan nilai berikut. Atau, ubah pengaturan tambahan jika diperlukan. Pilih Konfirmasi setelah selesai.

• Otoritas: Masukkan URL otoritas dalam format berikut:, https://login.microsoftonline.com/<Directory (tenant) ID>/ di mana <ID> Direktori (penyewa) adalah ID direktori (penyewa) dari aplikasi yang Anda buat. Contohnya, jika id direktori (penyewa) di portal Azure adalah 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, maka URL otoritasnya adalah https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

• ID Klien: Tempelkan aplikasi atau ID klien dari aplikasi yang Anda buat.

• URL pengalihan: Jika situs Anda menggunakan nama domain khusus, masukkan URL khusus; jika tidak, biarkan nilai default. Pastikan nilainya sama persis dengan URI pengalihan aplikasi yang Anda buat.

• Alamat metadata: Tempelkan URL dokumen metadata OpenID Connect yang Anda salin.

• Cakupan: Masukkan daftar cakupan yang dipisahkan spasi untuk diminta menggunakan parameter OpenID Connect scope . Nilai default adalah openid.

  Nilai openid adalah wajib. Pelajari klaim lain yang dapat Anda tambahkan.

• Jenis respons: Masukkan nilai parameter OpenID Connect response_type . Nilai yang mungkin mencakup code, code id_token, id_token, id_token token, dan code id_token token. Nilai default adalah code id_token.

• Rahasia klien: Tempelkan rahasia klien dari aplikasi penyedia. Ini mungkin juga dapat disebut sebagai rahasia aplikasi atau rahasia pelanggan. Pengaturan ini diperlukan jika jenis respons adalah code.

• Mode respons: Masukkan nilai parameter OpenID Connect response_mode . Ini harus berupa query jika jenis respons adalah code. Nilai default adalah form_post.

• Logout eksternal: Setelan ini mengontrol apakah situs Anda menggunakan logout gabungan. Dengan keluar federasi, saat pengguna keluar dari aplikasi atau situs, mereka juga keluar dari semua aplikasi dan situs yang menggunakan penyedia identitas yang sama. Aktifkan untuk mengalihkan pengguna ke pengalaman keluar federasi saat mereka keluar dari situs web. Aktifkan untuk mengeluarkan pengguna dari situs web.

• URL pengalihan pasca logout: Masukkan URL tempat penyedia identitas harus mengalihkan pengguna setelah mereka keluar. Lokasi ini harus diatur dengan tepat dalam konfigurasi penyedia identitas.

• Logout yang dimulai RP: Pengaturan ini mengontrol apakah pihak yang mengandalkan—aplikasi klien OpenID Connect—dapat keluar dari pengguna. Untuk menggunakan pengaturan ini, aktifkan Keluar eksternal.

Pengaturan tambahan di Power Pages

Pengaturan tambahan memberikan kontrol yang lebih baik atas cara otentikasi pengguna dengan penyedia identitas OpenID Connect Anda. Anda tidak perlu menetapkan nilai ini. Semuanya opsional.

• Filter penerbit: Masukkan filter berbasis wildcard yang cocok pada semua penerbit di semua penyewa; misalnya, https://sts.windows.net/*/. Jika Anda menggunakan Microsoft Entra penyedia autentikasi ID, filter URL penerbit akan menjadi filter https://login.microsoftonline.com/*/v2.0/.

• Memvalidasi audiens: Aktifkan pengaturan ini untuk memvalidasi audiens selama validasi token.

• Audiens yang valid: Masukkan daftar URL audiens yang dipisahkan koma.

• Memvalidasi penerbit: Aktifkan setelan ini untuk memvalidasi penerbit selama validasi token.

• Penerbit yang valid: Masukkan daftar URL penerbit yang dipisahkan koma.

• Pemetaan klaim pendaftaran dan pemetaan klaim login: Dalam autentikasi pengguna, klaim adalah informasi yang menjelaskan identitas pengguna, seperti alamat email atau tanggal lahir. Saat Anda masuk ke aplikasi atau situs web, log in akan membuat token. Token berisi informasi tentang identitas Anda, termasuk klaim yang terkait. Token digunakan untuk mengautentikasi identitas Anda saat Anda mengakses bagian lain dari aplikasi atau situs, atau aplikasi dan situs lain yang tersambung ke penyedia identitas yang sama. Pemetaan klaim adalah cara untuk mengubah informasi yang disertakan dalam token. Tombol tersebut dapat digunakan untuk menyesuaikan informasi yang tersedia di aplikasi atau situs dan mengontrol akses ke fitur atau data. Pemetaan klaim pendaftaran memodifikasi klaim yang dipancarkan saat Anda mendaftar untuk aplikasi atau situs. Pemetaan klaim login memodifikasi klaim yang dikeluarkan saat Anda masuk ke aplikasi atau situs. Pelajari lebih lanjut kebijakan pemetaan klaim.

• Masa pakai Once: Masukkan masa pakai nilai nonce, dalam menit. Nilai default adalah 10 menit.

• Gunakan masa pakai token: Pengaturan ini mengontrol apakah masa pakai sesi autentikasi, seperti cookie, harus cocok dengan token autentikasi. Jika Anda mengaktifkannya, nilai ini akan menimpa nilai Rentang Waktu Kedaluwarsa Cookie Aplikasi di pengaturan situs Authentication/ApplicationCookie/ExpireTimeSpan.

• Pemetaan kontak dengan email: Pengaturan ini menentukan apakah kontak dipetakan ke alamat email yang sesuai saat mereka masuk.

  • Aktif: Mengaitkan rekaman kontak unik dengan alamat email yang cocok dan secara otomatis menetapkan penyedia identitas eksternal ke kontak setelah pengguna berhasil masuk.
  • Off

Catatan

Parameter permintaan UI_Locales akan dikirim secara otomatis dalam permintaan otentikasi dan diatur ke bahasa yang dipilih di portal.

Baca juga

Menyiapkan penyedia OpenID Connect dengan Azure Active Directory ()Azure AD B2C
Menyiapkan penyedia OpenID Connect dengan Microsoft Entra ID
FAQ OpenID Connect