Bendrinti naudojant

„OpenID Connect“ paslaugų teikėjo nustatymas

"OpenID Connect " tapatybės teikėjai yra paslaugos, atitinkančios "Open ID Connect" specifikaciją. „OpenID Connect“ pristato ID atpažinimo ženklo sąvoką. ID atpažinimo ženklas yra saugos ženklas, leidžiantis klientui tikrinti vartotojo tapatybę. Jis taip pat gauna pagrindinę informaciją apie vartotojus, taip pat vadinamą reikalavimais.

Integruoti "OpenID Connect" teikėjai Azure AD B2C, Microsoft Entra ID ir Microsoft Entra ID su keliais nuomotojais . Power Pages Šiame straipsnyje paaiškinta, kaip į savo „Power Pages“ svetainę įtraukti kitų „OpenID Connect“ tapatybės teikėjų.

Palaikomos ir nepalaikomos autentifikavimo eigos portaluose „Power Pages“

  • Netiesioginė dotacija
    • Ši eiga yra nustatytasis autentifikavimo metodas naudojamas „Power Pages“ svetainėms.
  • Autorizavimo kodas
    • „Power Pages“ naudoja client_secret_post metodą bendraudami su tapatybės serverio atpažinimo ženklo galiniu tašku.
    • Metosas private_key_jwt autentifikavimui su atpažinimo ženklo galiniu tašku nepalaikomas.
  • Hibridinis (ribotas palaikymas)
    • „Power Pages“ reikia, kad atsakyme būtų id_token, todėl response_type = kodo atpažinimo ženklas nėra palaikoma.
    • Hibridinis srautas „Power Pages“ platformoje vadovaujasi tokiu pačiu srautu kaip ir netiesioginė dotacija, o id_token naudojamas tiesioginiam vartotojų prijungimui.
  • Kodo keitimo tikrinimo raktas (PKCE)
    • Nepalaikomi PKCE pagrįsti metodai, taikomi norint autentifikuoti vartotojus.

Pastaba.

Jūsų svetainės autentifikavimo parametrų pakeitimai gali užtrukti keletą minučių, kad būtų matomi svetainėje. Norėdami iš karto pamatyti pakeitimus, iš naujo paleiskite svetainę administravimo centre.

„OpenID Connect“ paslaugų teikėjo nustatymas „Power Pages“

  1. Savo Power Pages svetainėje pasirinkite Saugos>tapatybės teikėjai.

    Jei tapatybės teikėjai nerodomi, patikrinkite, ar svetainės bendruosiuose autentifikavimo nustatymuose išorinis prisijungimas nustatytas kaip Įjungtas.

  2. Pasirinkite + Naują teikėją.

  3. Skiltyje Pasirinkite prisijungimo paslaugų teikėją pasirinkite Kita.

  4. Skiltyje Protokolas, pasirinkite „OpenID Connect“.

  5. Įveskite internetinių seminarų rengėjo pavadinimą.

    Teikėjo pavadinimas yra mygtuko tekstas, kurį vartotojai mato, kai prisijungimo puslapyje pasirenka savo tapatybės teikėją.

  6. Pasirinkite Toliau.

  7. Dalyje Atsakymo URL pasirinkite Kopijuoti .

    Neuždarykite Power Pages naršyklės skirtuko. Netrukus prie jo grįšite.

Programos registravimo tapatybės paslaugų teikėjui kūrimas

  1. Sukurkite ir užregistruokite taikomąją programą savo tapatybės paslaugų teikėjui, naudodami atsakymo URL, kurį nukopijavote.

  2. Nukopijuokite taikomąją programą arba kliento ID ir kliento paslaptį.

  3. Raskite programos galinius punktus ir nukopijuokite „OpenID Connect“ metaduomenų dokumento URL.

  4. Prireikus keiskite kitus tapatybės paslaugų teikėjų parametrus.

Svetainės nustatymų įvedimas platformoje „Power Pages“

Grįžkite į „Power Pages“ puslapį Konfigūruoti tapatybės teikėją, iš kurio anksčiau išėjote ir įveskite šias reikšmes. Prireikus pasirinktinai keiskite papildomus parametrus. Baigę pasirinkite Patvirtinti.

  • Institucija: įveskite institucijos URL tokiu formatu: https://login.microsoftonline.com/<Directory (tenant) ID>/ kur <Katalogo (nuomotojo) ID> yra jūsų sukurtos programoskatalogo (nuomotojo) ID. Pavyzdžiui, jei katalogo (nuomotojo) ID "Azure" portale yra aaaabbbb-0000-cccc-1111-dddd2222eeee, tada institucijos URL yra https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • Kliento ID: įklijuokite sukurtos programos arba klientoID.

  • Peradresavimo URL: jei svetainėje naudojamas tinkintas domeno pavadinimas, įveskite tinkintą URL; kitu atveju palikite numatytąją reikšmę. Patikrinkite, ar reikšmė yra visiškai tokia pat, kaip programos peradresavimo URI, kurį nukopijavote.

  • Metaduomenų adresas: įklijuokite nukopijuotą "OpenID Connect" metaduomenų dokumento URL.

  • Aprėptis: įveskite tarpais atskirtų aprėpčių, kurių užklausą norite pateikti naudodami "OpenID Connect scope " parametrą, sąrašą. Numatytoji reikšmė yra openid.

    Reikšmė yra openid privaloma. Sužinokite apie kitas pretenzijas, kurias galite pridėti.

  • Atsakymo tipas: įveskite parametro OpenID Connect response_type reikšmę. Galimos reikšmės: code, code id_token, id_token, id_token token ir code id_token token. Numatytoji reikšmė yra code id_token.

  • Kliento paslaptis: įklijuokite kliento slaptąjį raktą iš teikėjo programos. Taip pat tai gali būti nurodyta kaip programos paslaptis arba vartotojo paslaptis. Šis parametras būtinas, jei atsako tipas yra code.

  • Atsako režimas: įveskite parametro OpenID Connect response_mode reikšmę. Ji turi būti query, jei atsako tipas yra code. Numatytoji reikšmė yra form_post.

  • Išorinis atsijungimas: šis nustatymas valdo, ar jūsų svetainėje naudojamas išorinis atsijungimas. Naudojant išorinį atsijungimą, kai vartotojai atsijungia nuo programos ar svetainės, jie taip pat atjungiami nuo visų programų ir svetainių, kuriose naudojamas tas pats tapatybės teikėjas. Įjunkite jį, jei nuo jūsų svetainės atsijungusius vartotojus norite nukreipti į išorinio atsijungimo aplinką. Išjunkite ją, kad atjungtų vartotojus tik iš jūsų svetainės.

  • Skelbti atsijungimo peradresavimo URL: įveskite URL, kuriuo tapatybės teikėjas turėtų peradresuoti naudotojus, kai jie atsijungia. Ši vieta turėtų būti tinkamai nustatyta tapatybės teikėjo konfigūracijoje.

  • RP inicijuotas atsijungimas: šis parametras valdo, ar pasikliaujanti šalis – kliento programa OpenID Connect" – gali atsijungti nuo vartotojų. Norėdami naudoti šį parametrą, įjunkite išorinį išregistravimą.

Papildomi „Power Pages“ parametrai

Papildomi parametrai suteikia jums daugiau valdymo teises, kaip vartotojai autentifikuoja su jūsų „OpenID Connect“ tapatybės paslaugų teikėju. Jums nereikia nustatyti nė vienos iš šių reikšmių. Jos yra visiškai pasirenkamos.

  • Emitento filtras: įveskite pakaitos simboliais pagrįstą filtrą, kuris atitinka visus visų nuomotojų emitentus; pvz https://sts.windows.net/*/., Jei naudojate Microsoft Entra ID auth teikėją, išdavėjo URL filtras būtų https://login.microsoftonline.com/*/v2.0/.

  • Tikrinti auditoriją: įjunkite šį nustatymą, kad patikrintumėte auditoriją atpažinimo ženklo tikrinimo metu.

  • Tinkamos auditorijos: įveskite kableliais atskirtą auditorijų URL sąrašą.

  • Tikrinti emitentus: įjunkite šį parametrą, kad patikrintumėte emitentą prieigos rakto tikrinimo metu.

  • Tinkami emitentai: įveskite kableliais atskirtą emitentų URL sąrašą.

  • Registracijos pretenzijų susiejimas ir prisijungimo pretenzijų susiejimas: vartotojo autentifikavimo atveju paraiška yra informacija, apibūdinanti vartotojo tapatybę, pvz., el. pašto adresas arba gimimo data. Kai prisijungiate prie taikomosios programos ar žiniatinklio svetainės, sukuriamas atpažinimo ženklas. Atpažinimo ženklas apima informaciją apie jūsų tapatybę, įskaitant visus su juo susijusius pareiškimus. Atpažinimo ženklai naudojami jūsų tapatybei autentifikuoti, kai prieidami prie kitų programos ar svetainės dalių arba kitų taikomųjų programų ir svetainių, kurios yra susijusios su tuo pačiu tapatybės teikėju. Pretenzijų susiejimas yra būdas pakeisti informaciją, kuri yra prieigos rakte. Ją galima naudoti norint tinkinti programai ar svetainei prieinamą informaciją ir valdyti prieigą prie funkcijų arba duomenų. Registracijos pretenzijų susiejimas pakeičia teiginius, kurie pateikiami, kai registruojatės programai ar svetainei gauti. Prisijungimo pretenzijų susiejimas pakeičia teiginius, kurie pateikiami, kai prisijungiate prie programos ar svetainės. Sužinokite daugiau apie pretenzijų susiejimo politiką.

    Vartotojo informacija gali būti teikiama dviem būdais:

    • ID žetonų pretenzijos - Pagrindiniai vartotojo atributai, pvz., vardas ar el. pašto adresas, yra atpažinimo ženkle.
    • "UserInfo Endpoint " – saugi API, kuri po autentifikavimo grąžina išsamią vartotojo informaciją.

    Norėdami naudoti "UserInfo" galinį punktą, sukurkite svetainės parametrą pavadinimu Authentication/OpenIdConnect/ /UseUserInfoEndpointforClaims ir nustatykite reikšmę true{ProviderName}.

    Pasirinktinai sukurkite svetainės parametrą pavadinimu Authentication/OpenIdConnect/{ProviderName}/UserInfoEndpoint ir nustatykite reikšmę į UserInfo galinio punkto URL. Jei nepateikiate šio nustatymo, Power Pages bandote rasti galinį tašką iš OIDC metaduomenų.

    Klaidų tvarkymas:

    • Jei galinio punkto URL nenustatytas ir Power Pages negalite jo rasti metaduomenyse, prisijunkite toliau ir užregistruokite įspėjimą.
    • Jei URL nustatytas, bet nepasiekiamas, prisijungimas tęsiamas pateikiant įspėjimą.
    • Jei galinis punktas grąžina autentifikavimo klaidą (pvz., 401 arba 403), prisijunkite toliau pateikdami įspėjimą, kuriame yra klaidos pranešimas.

    Žemėlapių sintaksė:

    Norėdami naudoti "UserInfo" pretenzijas prisijungimo ar registracijos paraiškų susiejimuose, naudokite šį formatą:

    laukasPavadinimas = userinfo.claimName

    Jei UseUserInfoEndpointforClaims neįjungta, susiejimų, kuriuose naudojamas userinfo. priešdėlis, nepaisoma.

  • Nonce naudojimo trukmė: įveskite nonce reikšmės naudojimo trukmę minutėmis. Numatytoji vertė yra 10 minučių.

  • Naudoti atpažinimo ženklo naudojimo trukmę: šis nustatymas valdo, ar autentifikavimo seanso trukmė, pvz., slapukų, turi atitikti autentifikavimo atpažinimo ženklo trukmę. Jei ją įjungsite, ši reikšmė nepaisys programos slapukų galiojimo laikotarpio reikšmės Authentication/ApplicationCookie/ExpireTimeSpan svetainės nustatymuose.

  • Kontaktų susiejimas su el. paštu: šis nustatymas nustato, ar prisijungdami kontaktai susiejami su atitinkamu el. pašto adresu.

    • Įjungta: susieja unikalų kontakto įrašą su atitinkamu el. pašto adresu ir automatiškai priskiria išorinį tapatybės teikėją kontaktui, kai vartotojas sėkmingai prisijungia.
    • Išjungti

Pastaba.

UI_Locales užklausos parametras yra automatiškai siunčiamas autentifikavimo užklausoje ir nustatomas pagal portale pasirinktą kalbą.

Kiti autorizacijos parametrai

Naudokite šiuos autorizacijos parametrus, bet nenustatykite jų "OpenID Connect" teikėjo programoje Power Pages:

  • acr_values: acr_values parametras leidžia tapatybės teikėjams užtikrinti saugumo užtikrinimo lygius, pvz., kelių dalių autentifikavimą (MFA). Tai leidžia programai nurodyti reikiamą autentifikavimo lygį.

    Norėdami naudoti parametrą acr_values, sukurkite svetainės parametrą pavadinimu Authentication/OpenIdConnect/{ProviderName}/AcrValues ir nustatykite reikiamą reikšmę. Kai nustatote šią reikšmę, Power Pages autorizacijos užklausoje įtraukiamas parametras acr_values.

  • Dinaminiai autorizacijos parametrai: dinaminiai parametrai leidžia pritaikyti autorizacijos užklausą skirtingiems naudojimo kontekstams, pvz., įterptosioms programoms arba keliems nuomotojo scenarijams.

    • Raginimo parametras:

      Šis parametras valdo, ar bus rodomas prisijungimo puslapis, ar sutikimo ekranas. Norėdami jį naudoti, įtraukite tinkinimą, kad išsiųstumėte jį kaip užklausos eilutės parametrą į ExternalLogin galinį punktą.

      Palaikomos vertės:

      • nėra
      • prisijungti
      • sutikimas
      • select_account

      URL formatas:

      {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&prompt={value}

      Power Pages Siunčia šią reikšmę tapatybės teikėjui parametre PROMPT.

    • Prisijungimo užuominos parametras:

      Šis parametras leidžia perduoti žinomą naudotojo identifikatorių, pvz., el. laišką, kad būtų galima iš anksto užpildyti arba apeiti prisijungimo ekranus. Norėdami jį naudoti, įtraukite tinkinimą, kad išsiųstumėte jį kaip užklausos eilutės parametrą į ExternalLogin galinį punktą.

      URL formatas:

      {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&login_hint={value}

      Tai padeda, kai vartotojai jau yra prisijungę naudodami kitą tapatybę, pvz., Microsoft Entra ID arba "Microsoft" paskyrą (MSA), to paties seanso metu.

  • Pasirinktiniai autorizacijos parametrai: kai kurie tapatybės teikėjai palaiko patentuotus parametrus, skirtus konkrečiam autorizavimo elgesiui. Power Pages Nustatykime ir saugiai perduokime šiuos parametrus. Norėdami naudoti šiuos parametrus, įtraukite tinkinimą, kad siųstumėte juos kaip užklausos eilutės parametrus į ExternalLogin galinį punktą.

    Sukurkite svetainės parametrą pavadinimu Authentication/OpenIdConnect/{Provider}/AllowedDynamicAuthorizationParameters ir nustatykite reikšmę į kableliais atskirtą parametrų pavadinimų sąrašą, pvz., param1,param2,param3.

    URL formato pavyzdys:

    {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&param1=value&param2=value&param3=value

    Jei kurio nors iš parametrų (param1, param2 arba param3) nėra leidžiamų parametrų sąraše, Power Pages jo nepaisoma.

    Šis parametras apibrėžia pasirinktinių parametrų, kuriuos galima siųsti autorizacijos užklausoje, sąrašą.

    Elgesys

    • Perduokite parametrus ExternalLogin galinio punkto užklausos eilutėje.
    • Power Pages apima tik parametrus, įtrauktus į autorizacijos užklausos sąrašą.
    • Numatytieji parametrai, pvz., raginimas, login_hint ir "ReturnUrl", visada leidžiami ir jų nereikia išvardyti.

    URL formato pavyzdys:

    {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&custom_param=value

    Jei custom_param nėra leidžiamų parametrų sąraše, Power Pages nepaiso jo.

Taip pat žr.

"OpenID Connect" teikėjo nustatymas naudojant Azure Active Directory (Azure AD) B2C
"OpenID Connect" teikėjo nustatymas naudojant Microsoft Entra ID
"OpenID Connect" DUK