Бөлісу құралы:

OpenID Connect провайдерін реттеу

OpenID Connect идентификатор провайдерлері Open ID Connect спецификациясына сәйкес келетін қызметтер. OpenID Connect ID таңбалауышы тұжырымдамасын ұсынады. ID таңбалауышы клиентке пайдаланушының жеке басын тексеруге мүмкіндік беретін қауіпсіздік таңбалауышы болып табылады. Ол сонымен қатар мәлімдемелер деп аталатын пайдаланушылар туралы негізгі профиль ақпаратын алады.

OpenID Connect провайдерлері Azure AD B2C, Microsoft Entra ID және Microsoft Entra көп жалға алушылары бар ID Power Pages ішіне салынған. Бұл мақалада Power Pages сайтыңызға басқа OpenID Connect куәліктер провайдерлерін қосу жолы түсіндіріледі.

Power Pages ішінде қолдау көрсетілетін және қолдау көрсетілмеген аутентификация ағындары

  • Жасырын рұқсат беру
    • Бұл ағын Power Pages сайттары үшін әдепкі аутентификация әдісі болып табылады.
  • Өкілеттік коды
    • Power Pages сәйкестендіру серверінің таңбалауышының соңғы нүктесімен байланысу үшін client_secret_postәдісін пайдаланады.
    • Таңбалауыш соңғы нүктесімен аутентификацияланатын private_key_jwt әдісіне қолдау көрсетілмейді.
  • Гибридті (шектеулі қолдау)
    • Power Pages үшін жауапта id_token болуы қажет, сондықтан response_type = код таңбалауышына қолдау көрсетілмейді.
    • Power Pages ішіндегі гибридті ағын жасырын рұқсаттар беру ағынындағыдай ағынмен орындалады, сондай-ақ тікелей пайдаланушыларды кіргізу үшін id_token таңбалауышын пайдаланады.
  • Код алмасуының дәлелдеу кілті (PKCE)
    • Пайдаланушыларды аутентификациялау үшін PKCE негізіндегі әдістерге қолдау көрсетілмейді.

Ескертпе

Сайтыңыздың түпнұсқалық растама параметрлеріндегі өзгерістер оларды сайтта көрсету үшін бірнеше минутты алуы мүмкін. Өзгерістерді бірден көру үшін басқару орталығында сайтты қайта іске қосыңыз.

Power Pages ішінде OpenID Connect провайдерін реттеу

  1. Power Pages сайтыңызда Қауіпсіздік>Идентификатор провайдерлерін таңдаңыз.

    Ешбір идентификациялық провайдерлер көрсетілмесе, сайтыңыздың жалпы аутентификация параметрлерінде Сыртқы кіру Қосулы күйіне орнатылғанын тексеріңіз.

  2. + Жаңа провайдер жасау опциясын таңдаңыз.

  3. Жүйеге кіру провайдерін таңдау тармағында Басқа опциясын таңдаңыз.

  4. Протокол тармағында OpenID Connect опциясын таңдаңыз.

  5. Провайдер атын енгізіңіз.

    Провайдердің аты - пайдаланушылар кіру бетінде өздерінің сәйкестік куәлік провайдерін таңдаған кезде көретін түймедегі мәтін.

  6. Келесі пәрменін таңдаңыз.

  7. Жауаптың URL мекенжайы астында Көшіру опциясын таңдаңыз.

    Power Pages браузер қойындысын жаппаңыз. Жақында сіз оған ораласыз.

Куәліктер провайдерінде бағдарлама тіркелімін жасау

  1. Сіз көшірген жауап URL арқылы идентификация провайдерімен бағдарлама жасаңыз және тіркеңіз.

  2. Бағдарлама немесе клиент идентификаторын және клиент құпиясын көшіріңіз.

  3. Бағдарламаның соңғы нүктелерін тауып, OpenID Connect метадеректері құжатының URL мекенжайын көшіріңіз.

  4. Жеке куәлік провайдеріне қажет басқа параметрлерді өзгертіңіз.

Power Pages жүйесінде сайт параметрлерін енгізу

Бұрын кірген Power Pages Куәліктер провайдерін конфигурациялау бетіне оралып, келесі мәндерді енгізіңіз. Қажет болса, қосымша параметрлерді қажетінше өзгертіңіз. Аяқталған соң, Растау пәрменін таңдаңыз.

  • Билік: уәкілетті органның URL мекенжайын келесі пішімде енгізіңіз: https://login.microsoftonline.com/<Directory (tenant) ID>/, мұндағы <Каталог (жалға алушы) идентификаторы> бұл қолданбаның каталог (жалға алушы) идентификаторы сіз жасағанaaaabbbb-0000-cccc-1111-dddd2222eeee болса, онда уәкілетті URL мекенжайы https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​ болады.

  • Клиент идентификаторы​: қолданбаны немесе клиент идентификаторын сіз жасаған қойыңыз.

  • URL мекенжайын қайта бағыттау: Егер сіздің сайтыңыз реттелетін домен атауын пайдаланса, пайдаланушы URL мекенжайын енгізіңіз; әйтпесе, әдепкі мәнді қалдырыңыз. Мәннің сіз жасаған бағдарламаның қайта бағыттау URI-мен бірдей екеніне көз жеткізіңіз.

  • Метадеректер мекенжайы: OpenID Connect метадеректер құжатының URL сіз көшірген мекенжайын қойыңыз.

  • Ауқым: OpenID Connect scope параметрін пайдаланып сұрау үшін аумақтардың бос орынмен бөлінген тізімін енгізіңіз. Әдепкі мән — openid.

    openid мәні міндетті. қосуға болатын басқа шағымдар туралы біліңіз.

  • Жауап түрі: OpenID Connect response_type параметрінің мәнін енгізіңіз. Ықтимал мәндер келесілерді қамтиды: code, code id_token, id_token, id_token token және code id_token token. Әдепкі мән — code id_token.

  • Клиент құпиясы: провайдер қолданбасынан клиент құпиясын қойыңыз. Сонымен қатар бұл бағдарлама құпиясы немесе тұтынушы құпиясы болады. Бұл параметр жауап түрі code болған жағдайда қажет.

  • Жауап беру режимі: OpenID Connect response_mode параметрінің мәнін енгізіңіз. Егер таңдалған жауап түрі code болса, мән query болуы керек. Әдепкі мән — form_post.

  • Сыртқы жүйеден шығу: Бұл параметр тораптың федеративті шығуды пайдаланатынын бақылайды. Біріктірілген жүйеден шығу арқылы пайдаланушылар қолданбадан немесе сайттан шыққан кезде, олар бірдей сәйкестендіру провайдерін пайдаланатын барлық қолданбалар мен сайттардан да шығады. Пайдаланушылар веб-сайттан шыққан кезде федеративті шығу интерфейсіне қайта бағыттауды қосыңыз. Пайдаланушылар тек сіздің веб-сайтыңыздан шығуын қамтамасыз ету үшін оны өшіріңіз.

  • Шығу жариялауды қайта бағыттау URL мекенжайы: Идентификатор провайдері пайдаланушылар шыққаннан кейін қайта бағыттауы керек URL мекенжайын енгізіңіз. Бұл орын сәйкестендіру провайдерінің конфигурациясында сәйкес орнатылуы керек.

  • RP шығуды бастады: Бұл параметр сенетін тараптың — OpenID Connect клиенттік қолданбасының — пайдаланушылардың жүйеден шыға алатынын бақылайды. Бұл параметрді пайдалану үшін Жүйеден сырттай шығу опциясын қосу керек.

Power Pages ішіндегі қосымша параметрлер

Қосымша параметрлер пайдаланушылардың OpenID Connect идентификация провайдерімен аутентификациялау жолын жақсырақ басқаруға мүмкіндік береді. Бұл мәндердің ешқайсысын орнатудың қажеті жоқ. Олар толығымен міндетті емес.

  • Эмитент сүзгісі: барлық жалға берушілер бойынша барлық эмитенттерге сәйкес келетін қойылмалы таңбаға негізделген сүзгіні енгізіңіз; мысалы, https://sts.windows.net/*/. Microsoft Entra ID аутентификация провайдерін пайдалансаңыз, эмитенттің URL сүзгісі https://login.microsoftonline.com/*/v2.0/ болады.

  • Аудиторияны тексеру: таңбалауышты тексеру кезінде аудиторияны тексеру үшін осы параметрді қосыңыз.

  • Жарамды аудиториялар: аудитория URL мекенжайларының үтірмен бөлінген тізімін енгізіңіз.

  • Эмитенттерді тексеру: таңбалауышты тексеру кезінде эмитентті тексеру үшін осы параметрді қосыңыз.

  • Жарамды эмитенттер: эмитенттің URL мекенжайларының үтірмен бөлінген тізімін енгізіңіз.

  • Тіркеу шағымдарын салыстыру және Кіру шағымдарын салыстыру: Пайдаланушы аутентификациясында шағым бұл пайдаланушының электрондық пошта мекенжайын немесе туған күнін сипаттайтын ақпарат. Бағдарламаға немесе веб-сайтқа кіргенде, ол таңбалауыш жасайды. Таңбалауыш жеке басыңыз туралы ақпаратты, соның ішінде онымен байланысты кез келген тұжырымды қамтиды. Таңбалауыштар бағдарламаның немесе сайттың басқа бөліктеріне немесе бірдей сәйкестендіру куәліктерінің провайдеріне қосылған басқа бағдарламалар мен сайттарға қатынасу кезінде куәлігіңіздің түпнұсқалығын растау үшін пайдаланылады. Шағымдарды салыстыру токенге енгізілген ақпаратты өзгерту тәсілі. Оны бағдарламаға немесе сайтқа қолжетімді ақпаратты теңшеу және мүмкіндіктерге немесе деректерге қол жеткізуді басқару үшін пайдалануға болады. Тіркеу шағымдарын салыстыру қолданбаға немесе сайтқа тіркелген кезде шығарылатын шағымдарды өзгертеді. Кіру шағымдарын салыстыру қолданбаға немесе сайтқа кірген кезде шығарылатын шағымдарды өзгертеді. Шағымдарды салыстыру саясаттары туралы толығырақ ақпарат.

    Пайдаланушы туралы ақпарат екі жолмен берілуі мүмкін:

    • ID таңбалауыш шағымдары – аты немесе электрондық поштасы сияқты негізгі пайдаланушы атрибуттары таңбалауышта болады.
    • UserInfo Endpoint – аутентификациядан кейін толық пайдаланушы ақпаратын қайтаратын қауіпсіз API.

    UserInfo соңғы нүктесін пайдалану үшін Сайт параметрін атаулы Authentication/OpenIdConnect/{ProviderName}/UseUserInfoEndpointforClaims деп орнатыңыз. шын.

    Қосымша Authentication/OpenIdConnect/{ProviderName}/UserInfoEndpoint деп аталатын сайт параметрін жасаңыз және мәнді UserInfo соңғы нүктесінің URL мекенжайына орнатыңыз. Бұл параметрді бермесеңіз, Power Pages OIDC метадеректерінен соңғы нүктені табуға тырысады.

    Қате өңдеу:

    • Егер соңғы нүктенің URL мекенжайы орнатылмаған болса және Power Pages оны метадеректерде таба алмаса, жүйеге кіруді жалғастырады және ескертуді тіркейді.
    • URL мекенжайы орнатылған болса, бірақ ол қолжетімді болмаса, жүйеге кіру ескертумен жалғасады.
    • Егер соңғы нүкте аутентификация қатесін қайтарса (мысалы, 401 немесе 403), жүйеге кіру қате туралы хабарды қамтитын ескертумен жалғасады.

    Карталау синтаксисі:

    Жүйеге кіру немесе тіркеу шағымының салыстыруларында UserInfo шағымдарын пайдалану үшін мына пішімді пайдаланыңыз:

    өріс атауы = userinfo.claimName

    UseUserInfoEndpointforClaims қосылмаған болса, userinfo. префиксін пайдаланатын салыстырулар еленбейді.

  • Nonce lifetime: Уақытсыз мәннің қызмет ету мерзімін минутпен енгізіңіз. Әдепкі мән — 10 минут.

  • Токеннің қызмет ету мерзімін пайдалану: Бұл параметр cookie файлдары сияқты аутентификация сеансының қызмет ету мерзімі аутентификация таңбалауышымен сәйкес келуін басқарады. Параметр қосылған болса, бұл мән Authentication/ApplicationCookie/ExpireTimeSpan сайт параметріндегі Бағдарламаның cookie файлдарының мерзімі аяқталатын уақыт мәнін қайта анықтайды.

  • Электрондық поштамен контактілерді салыстыру: Бұл параметр контактілер жүйеге кірген кезде сәйкес электрондық пошта мекенжайына салыстырылатынын анықтайды.

    • Қосулы: бірегей контакт жазбасын сәйкес электрондық пошта мекенжайымен байланыстырады және пайдаланушы жүйеге сәтті кіргеннен кейін контактіге сыртқы сәйкестендіру провайдерін автоматты түрде тағайындайды.
    • Өшірулі

Ескертпе

UI_Locales сұрау параметрі аутентификация сұрауында автоматты түрде жіберіледі және порталда таңдалған тілге орнатылады.

Басқа авторизация параметрлері

Келесі авторизация параметрлерін пайдаланыңыз, бірақ оларды Power Pages ішіндегі OpenID Connect провайдерінде орнатпаңыз:

  • acr_values: acr_values параметрі сәйкестендіру провайдерлеріне көп факторлы аутентификация (MFA) сияқты қауіпсіздік кепілдігі деңгейлерін енгізуге мүмкіндік береді. Ол қолданбаға қажетті аутентификация деңгейін көрсетуге мүмкіндік береді.

    acr_values параметрін пайдалану үшін сайт параметрін атаулы Authentication/OpenIdConnect/{ProviderName}/AcrValues құрып, қажетті мәнді орнатыңыз. Бұл мәнді орнатқанда, Power Pages авторизация сұрауында acr_values параметрін қамтиды.

  • Динамикалық авторизация параметрлері: Динамикалық параметрлер ендірілген қолданбалар немесе бірнеше қатысушы сценарийлері сияқты әртүрлі пайдалану мәтінмәндері үшін авторизация сұрауын бейімдеуге мүмкіндік береді.

    • Шақыру параметрі:

      Бұл параметр кіру беті немесе келісім экраны пайда болуын басқарады. Оны пайдалану үшін ExternalLogin соңғы нүктесіне сұрау жолы параметрі ретінде жіберу үшін теңшеуді қосыңыз.

      Қолдау көрсетілетін мәндер:

      • ешқайсысы
      • жүйеге кіру
      • келісім
      • есептік жазбаны таңдау

      URL пішімі:

      {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&prompt={value}

      Power Pages бұл мәнді шақыру параметріндегі сәйкестендіру провайдеріне жібереді.

    • Кіру кеңесі параметрі:

      Бұл параметр алдын ала толтыру немесе кіру экрандарын айналып өту үшін электрондық пошта сияқты белгілі пайдаланушы идентификаторын беруге мүмкіндік береді. Оны пайдалану үшін ExternalLogin соңғы нүктесіне сұрау жолы параметрі ретінде жіберу үшін теңшеуді қосыңыз.

      URL форматы:

      {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&login_hint={value}

      Бұл пайдаланушылар сол сеанста Microsoft Entra ID немесе Microsoft тіркелгісі (MSA) сияқты басқа идентификация арқылы кірген кезде көмектеседі.

  • Теңшелетін авторизация параметрлері: Кейбір идентификациялық провайдерлер арнайы авторизация әрекеті үшін меншікті параметрлерді қолдайды. Power Pages жасаушылар осы параметрлерді қауіпсіз түрде орнатып, берейік. Бұл параметрлерді пайдалану үшін оларды ExternalLogin соңғы нүктесіне сұрау жолы параметрлері ретінде жіберу үшін теңшеуді қосыңыз.

    сайт параметрін атаулы Authentication/OpenIdConnect/{Provider}/AllowedDynamicAuthorizationParameters құрып, мәнді үтір параграфтары сияқты тізімге орнатыңыз. параметр1,парам2,парам3.

    URL форматының мысалы:

    {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&param1=value&param2=value&param3=value

    Параметрлердің кез келгені (param1, param2 немесе param3) рұқсат етілген параметрлер тізімінде болмаса, Power Pages оны елемейді.

    Бұл параметр авторизация сұрауында жіберуге болатын теңшелетін параметрлер тізімін анықтайды.

    Мінез-құлық

    • ExternalLogin соңғы нүктесінің сұрау жолындағы параметрлерді жіберіңіз.
    • Power Pages авторизация сұрауындағы тізімдегі параметрлерді ғана қамтиды.
    • Prompt, login_hint және ReturnUrl сияқты әдепкі параметрлерге әрқашан рұқсат етіледі және оларды тізімдеудің қажеті жоқ.

    URL форматының мысалы:

    {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&custom_param=value

    Custom_param рұқсат етілген параметрлер тізімінде болмаса, Power Pages оны елемейді.

Келесіні де қараңыз:

OpenID Connect провайдерін Azure Active Directory (Azure AD) B2C арқылы орнату
Microsoft Entra ID бар OpenID Connect провайдерін орнатыңыз
OpenID Connect жиі қойылатын сұрақтар