Бөлісу құралы:

Порталдарға арналған OpenID Connect провайдерін конфигурациялау

  • Мақала

Ескерім

2022 жылдың 12 қазанынан бастап күшіне енеді, Power Apps порталдары — Power Pages. Қосымша ақпарат: Microsoft Power Pages енді жалпыға қолжетімді (блог)
Жақында Power Apps порталдары құжаттамасын Power Pages құжаттамасымен көшіреміз және біріктіреміз.

OpenID Connect сыртқы идентификация провайдерлері — Open ID Connect сипаттамасына сәйкес қызметтер. OpenID Connect клиентке пайдаланушының жеке басын тексеруге мүмкіндік беретін қауіпсіздік таңбалауышы болып табылатын Идентификатор таңбалауышы ұғымын енгізеді. ID таңбалауышы пайдаланушы—туралы негізгі профильдік ақпаратты алады және әдетте мәлімдемелер деп аталады.

Бұл мақалада OpenID Connect жүйесін қолдайтын идентификация провайдерінің Power Apps порталдарымен интеграциялану жолдары туралы түсінік беріледі. Порталдарға арналған OpenID Connect провайдерлерінің кейбір мысалдары: Azure Active Directory (Azure AD) B2C, Azure AD, Бірнеше қатысушысы бар Azure AD.

Порталдарда қолдау көрсетілетін және қолдау көрсетілмеген аутентификация ағындары

  • Күңгірт беру
    • Бұл ағын порталдар пайдаланылатын әдепкі аутентификация әдісі болып табылады.
  • Өкілеттік коды
    • Порталдар сәйкестендіру серверінің таңбалауышының соңғы нүктесімен байланысу үшін client_secret_post әдісін пайдаланады.
    • Таңбалауыш соңғы нүктесімен аутентификацияланатын private_key_jwt әдісін пайдалануға қолдау көрсетілмейді.
  • Гибридті (шектеулі қолдау)
    • Порталдар жауапта болуы үшін id_token қажет етеді, сондықтан response_type мәніне код таңбалауышы ретінде қолдау көрсетілмейді.
    • Порталдардағы гибридті ағын күңгірт беру ағынындағыдай ағынмен орындалады, сондай-ақ тікелей пайдаланушыларды кіргізу үшін id_token таңбалауышын пайдаланады.
  • Порталдар пайдаланушылардың түпнұсқалығын растауға арналған PKCE–негізіндегі әдістерді (код алмасуға арналған растау кілті) қолдамайды.

Ескерім

Түпнұсқалық растама параметрлеріндегі өзгерістер оларды порталда көрсету үшін бірнеше минутты алуы мүмкін. Өзгертулерді бірден көрсету қажет болса, портал әрекеттерін пайдаланып, порталды қайта іске қосыңыз.

OpenID Connect провайдерін конфигурациялау

OpenID Connect провайдерін конфигурациялау үшін барлық басқа провайдерлер сияқты сізге де Power Apps порталына кіру қажет.

  1. Порталыңыз үшін Провайдер қосу опциясын таңдаңыз.

  2. Жүйеге кіру провайдері үшін Басқа опциясын таңдаңыз.

  3. Протокол параметрі үшін OpenID Connect опциясын таңдаңыз.

  4. Провайдер атауын енгізіңіз.

    Провайдер аты.

  5. Келесі пәрменін таңдаңыз.

  6. Бағдарламаны жасаңыз және куәліктерді жеткізушімен параметрлерді конфигурациялаңыз.

    Бағдарлама жасау.

    Ескерім

    "Жауап URL" бағдарлама арқылы пайдаланушыларды түпнұсқа растамасынан сәтті өткеннен кейін порталдарға қайта бағыттау үшін пайдаланылады. Егер сіздің порталыңыз реттелетін домен атауын пайдаланатын болса, сізде осында көрсетілгеннен басқа URL мекенжайы болуы мүмкін.

  7. Портал конфигурациясы үшін келесі торап параметрлерін енгізіңіз.

    OpenID сайт параметрлерін конфигурациялау.

    Ескерім

    Қарап шыққаныңызға көз жеткізіңіз—және қажет болса,—әдепкі мәндерді өзгертіңіз.

    Атауы Сипаттамасы
    Басқару органы Сәйкестік провайдерімен байланысқан сертификаттау (немесе шығарушы) URL мекенжайы.
    Мысал (Azure AD): https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/
    Тұтынушы идентификаторы Сәйкестік провайдері көмегімен жасалған және порталда пайдалануға болатын бағдарлама идентификаторы.
    URL мекенжайынының бағытын өзгерту Сәйкестік провайдері аутентификация жауабын жіберетін орын.
    Мысал: https://contoso-portal.powerappsportals.com/signin-openid_1
    Ескертпе: әдепкі порталдың URL мекенжайын пайдалансаңыз, OpenID Connect провайдерінің параметрлерін жасау және конфигурациялау қадамында көрсетілгендей Жауап URL енгізілімін көшіріп, қоюға болады. Реттелетін домен атауын пайдалансаңыз, URL мекенжайын қолмен енгізіңіз. Осы жерге енгізілген мәннің идентификация провайдерінің конфигурациясындағы (мысалы, Azure порталы) бағдарламаға арналған Қайта бағыттау URI мәнімен бірдей болуына көз жеткізіңіз.
    Метадеректер мекенжайы Метадеректер алуға арналған соңғы нүкте. Жалпы пішімі: [Сертификаттау URL мекенжайы]/.well-known/openid-configuration.
    Мысал (Azure AD): https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/v2.0/.well-known/openid-configuration
    Scope OpenID Connect ауқымының параметрі арқылы сұрауға арналған ауқымдар тізімінің бос орынмен бөлінген тізімі.
    Әдепкі мән: openid
    Мысал (Azure AD): openid profile email
    Қосымша ақпарат: Azure AD жүйесімен порталдар үшін OpenID Connect пайдалану кезінде қосымша мәлімдемелерді конфигурациялау
    Жауап түрі OpenID Connect response_type параметрінің мәні.
    Ықтимал мәндер келесілерді қамтиды:
    • code
    • code id_token
    • id_token
    • id_token token
    • code id_token token

    Әдепкі мән: code id_token
    Клиент құпиясы Провайдер бағдарламасының клиент құпия мәні. Сонымен қатар бұл бағдарлама құпиясы немесе тұтынушы құпиясы болады. Бұл параметр таңдалған жауап түрі code болған жағдайда қажет.
    Жауап режимі OpenID Connect response_mode параметрінің мәні. Егер таңдалған жауап түрі code болса, мән query болуы керек. Әдепкі мән: form_post.

  8. Пайдаланушыларды жүйеден шығу үшін параметрлерді конфигурациялаңыз.

    Шығу параметрлері.

    Атауы Сипаттамасы
    Жүйеден сырттай шығу Сыртқы тіркелгіден шығуды қосады немесе өшіреді. Қосылған кезде пайдаланушылар порталдан шыққанда сыртқы шығу пайдаланушы тәжірибесіне қайта бағытталады. Өшірілгенде, пайдаланушылар тек порталдан шығады.
    Жүйеден шыққаннан кейінгі URL мекенжайын қайта бағыттау Идентификациялық жеткізуші сыртқы жүйеден шыққаннан кейін қайта бағытталатын орын. Сондай-ақ бұл орынды идентификациялық жеткізуші конфигурациясында тиісті түрде орнату керек.
    RP шығуды бастады Сенімді тарап іске қосқан жүйеден шығуды қосады немесе ажыратады. Бұл параметрді пайдалану үшін алдымен Жүйеден сырттай шығу опциясын қосу керек.

  9. (Қосымша) Қосымша параметрлерді конфигурациялаңыз.

    Қосымша параметрлер.

    Атауы Сипаттамасы
    Шығарушы сүзгісі Барлық қатысушылардағы барлық шығарушыларға сәйкестікті анықтайтын қойылмалы таңбаларға негізделген сүзгі.
    Мысал: https://sts.windows.net/*/
    Аудиторияны растау Егер құсбелгі қойылған болса, аудитория таңбалауышты тексеру кезінде тексеріледі.
    Жарамды аудиториялар Аудитория URL мекенжайларын үтірмен бөлген тізім.
    Шығарушыларды растау Егер құсбелгі қойылған болса, шығарушы таңбалауышты тексеру кезінде тексеріледі.
    Жарамды мәселелер Шығарушының URL мекенжайларын үтірмен бөлген тізім.
    Тіркеу талаптарын салыстыру Байланыс жазбасының төлсипаттарына тіркелу кезінде провайдерден қайтарылған мәлімдеме мәндерін салыстыру үшін логикалық аты-мәлімдеме жұптарының тізімі.
    Пішім: field_logical_name=jwt_attribute_name, мұндағы field_logical_name – бұл порталдардағы өрістердің логикалық атауы, ал jwt_attribute_name – сәйкестендіру провайдерінен қайтарылған мәні бар төлсипат.
    Мысал: Аумақ параметрін Azure AD үшін profile ретінде пайдалану кезінде firstname=given_name,lastname=family_name Бұл мысалда, firstname және lastname – бұл порталдардағы профиль өрістерінің логикалық атаулары, ал given_name және family_name сәйкес өрістер үшін сәйкестендіру провайдері қайтарған мәндері бар төлсипаттар болып табылады.
    Жүйеге кіру талаптарын салыстыру Байланыс жазбасының төлсипаттарына әр кірген кезінде провайдерден қайтарылатын мәлімдеме мәндерін салыстыруға арналған логикалық аты-мәлімдеме жұптарының тізімі.
    Пішім: field_logical_name=jwt_attribute_name, мұндағы field_logical_name – бұл порталдардағы өрістердің логикалық атауы, ал jwt_attribute_name – сәйкестендіру провайдерінен қайтарылған мәні бар төлсипат.
    Мысал: Аумақ параметрін Azure AD үшін profile ретінде пайдалану кезінде firstname=given_name,lastname=family_name Бұл мысалда, firstname және lastname – бұл порталдардағы профиль өрістерінің логикалық атаулары, ал given_name және family_name сәйкес өрістер үшін сәйкестендіру провайдері қайтарған мәндері бар төлсипаттар болып табылады.
    Бір реттік кодтың жарамдылық мерзімі Бір реттік кодтың жарамдылық мерзімі минутпен. Әдепкі: 10 минут.
    Таңбалауыштың жарамдылық мерзімін пайдалану Аутентификация сеансының қызмет ету мерзімі (мысалы, cookie файлдары) аутентификация таңбалауышымен сәйкес келуі керек екенін көрсетеді. Көрсетілген болса, бұл мән Authentication/ApplicationCookie/ExpireTimeSpan сайт параметріндегі Application Cookie файлдарының мерзімі аяқталатын уақыт мәнін алдын ала анықтайды.
    Электрондық пошта арқылы контактілерді салыстыру Контактілер сәйкес электрондық поштаға салыстырылатын-салыстырылмайтынын көрсетіңіз.
    Қосулы күйіне орнатылған болса, бірегей контакт жазбасы пайдаланушы сәтті кіргеннен кейін сыртқы сәйкестік провайдерін тағайындайтын сәйкес электрондық пошта мекенжайымен байланыстырылады.

    Ескерім

    UI_Locales сұрау параметрі енді аутентификация сұрауында автоматты түрде жіберіледі және порталда таңдалған тілге орнатылады.

OpenID Connect провайдерін өңдеу

Конфигурацияланған OpenID Connect провайдерін өңдеу үшін Провайдерді өңдеу бөлімін қараңыз.

Келесіні де қараңыз:

Azure AD арқылы порталдар үшін OpenID Connect провайдерін конфигурациялаңыз
Порталдарда OpenID Connect провайдерін пайдалану туралы жиі қойылатын сұрақтар

Ескерім

Сіз құжат тіліңіздің артықшылықтары туралы айта аласыз ба? Қысқа сауалнамаға қатысыңыз. (бұл сауалнама ағылшын тілінде екеніне назар аударыңыз)

Сауалнама шамамен жеті минут уақытыңызды алады. Жеке деректер жиналмайды (құпиялылық туралы мәлімдеме).