Kopīgot, izmantojot

OpenID Connect nodrošinātāja iestatīšana

  • Raksts

OpenID Connect identitātes nodrošinātāji ir pakalpojumi, kas atbilst Open ID Connect specifikācijai. OpenID Connect ievieš ID pilnvaras koncepciju. ID pilnvara ir drošības apliecinājums, kurš ļauj klientam pārbaudīt lietotāja identitāti. Tā iegūst arī pamatprofila informāciju par lietotāju, parasti to dēvē par prasībām.

OpenID Connect nodrošinātāji Azure AD B2C, Microsoft Entra ID un Microsoft Entra ID ar vairākiem nomniekiem ir iebūvēti Power Pages. Šajā rakstā izskaidrots, kā Power Pages vietnei pievienot citus OpenID Connect identitātes nodrošinātājus.

Atbalstītās un neatbalstītās autentifikācijas plūsmas programmā Power Pages

  • Netiešais piešķīrums
    • Šī plūsma ir noklusējuma autentifikācijas metode Power Pages vietnēm.
  • Autorizācijas kods
    • Power Pages izmanto client_secret_post metodi, lai sazinātos ar identitātes servera pilnvaras galapunktu.
    • private_key_jwt metodes lietošana netiek atbalstīta, lai veiktu autentifikāciju ar pilnvaras galapunktu.
  • Hibrīda plūsma (ierobežots atbalsts)
    • Power Pages nepieciešama id_token, lai tas būtu atrodams atbildē, tāpēc response_type = koda pilnvara netiek atbalstīta.
    • Hibrīda plūsma programmā Power Pages ievēro tādu pašu plūsmu kā netiešais piešķīrums un izmanto id_token, lai tieši pierakstītu lietotājus.
  • Koda maiņas pārbaudes atslēga (PKCE)
    • Netiek atbalstītas metodes, kuru pamatā ir PKCE, lietotāju autentificēšanai.

Piezīmes

Jūsu vietnes autentifikācijas iestatījumu izmaiņas var aizņemt dažas minūtes, lai tās atspoguļotu vietnē. Lai nekavējoties skatītu izmaiņas, administrēšanas centrā restartējiet vietni.

OpenID Connect nodrošinātāja iestatīšana programmā Power Pages

  1. Power Pages Savā vietnē atlasiet Drošības>identitātes nodrošinātāji.

    Ja netiek rādīts neviens identitātes nodrošinātājs, pārliecinieties, vai opcija Ārējā pieteikšanās ir iestatīta kā Ieslēgts jūsu vietnes vispārīgajos autentifikācijas iestatījumos.

  2. Atlasiet + Jauns nodrošinātājs.

  3. Sadaļā Atlasīt pieteikšanās nodrošinātāju atlasiet Cits.

  4. Sadaļā Protokols atlasiet OpenID Connect.

  5. Ievadiet nodrošinātāja nosaukumu.

    Nodrošinātāja nosaukums ir teksts uz pogas, ko lietotāji redz, kad atlasa savu identitātes nodrošinātāju pierakstīšanās lapā.

  6. Atlasiet Tālāk.

  7. Sadaļā Atbildes URL atlasiet Kopēt.

    Neaizveriet Power Pages pārlūka cilni. Drīz tajā atgriezīsities.

Programmas reģistrācijas izveide identitātes nodrošinātājā

  1. Izveidojiet un reģistrējiet programmu ar savu identitātes nodrošinātāju, izmantojot nokopēto atbildes URL.

  2. Nokopējiet programmu vai klienta ID un klienta noslēpumu.

  3. Atrodiet programmas galapunktus un nokopējiet OpenID Connect metadatu dokumenta URL.

  4. Pēc nepieciešamības mainiet citus identitātes nodrošinātāja iestatījumus.

Vietnes iestatījumu ievadīšana programmā Power Pages

Atgriezieties Power Pages identitātes nodrošinātāja konfigurēšanas lapā, ko iepriekš atstājāt, un ievadiet tālāk norādītās vērtības. Ja nepieciešams, mainiet papildu iestatījumus. Kad esat beidzis, atlasiet Apstiprināt.

  • Iestāde: ievadiet iestādes vietrādi URL šādā formātā: https://login.microsoftonline.com/<Directory (tenant) ID>/, kur <direktorija (nomnieka) ID> ir izveidotās lietojumprogrammasdirektorija (nomnieka) ID. Piemēram, ja direktorijas (nomnieka) ID Azure portālā ir 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, autoritātes URL ir https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • Client ID: ielīmējiet izveidotās lietojumprogrammasvai klienta ID.

  • Novirzīšanas URL: ja jūsu vietne izmanto pielāgotu domēna nosaukumu, ievadiet pielāgoto URL; pretējā gadījumā atstājiet noklusējuma vērtību. Pārliecinieties, vai šī vērtība ir tieši tāda pati kā izveidotās programmas novirzīšanas URI.

  • Metadatu adrese: ielīmējiet kopēto OpenID Connect metadatu dokumenta vietrādi URL.

  • Tvērums: ievadiet ar atstarpēm atdalītu tvērumu sarakstu, ko pieprasīt, izmantojot parametru OpenID Connect scope . Noklusējuma vērtība ir openid.

    Vērtība openid ir obligāta. Uzziniet par citām pretenzijām, kuras varat pievienot.

  • atbilde tips: ievadiet parametra OpenID Connect response_type vērtību. Iespējamās vērtības ir šādas: code, code id_token, id_token, id_token token un code id_token token. Noklusējuma vērtība ir code id_token.

  • Klienta noslēpums: ielīmējiet klienta noslēpumu no pakalpojumu sniedzēja lietojumprogrammas. Tas var attiekties arī uz vienumu programmas noslēpums vai klienta noslēpums. Šis iestatījums ir nepieciešams, ja atbildes tips ir code.

  • atbilde režīms: ievadiet parametra OpenID Connect response_mode vērtību. Ja atbildes tips ir code, tad vērtībai ir jābūt query. Noklusējuma vērtība ir form_post.

  • Ārējā atteikšanās: šis iestatījums kontrolē, vai jūsu vietne izmanto ārējo izrakstīšanos. Izmantojot ārējo izrakstīšanos, kad lietotāji izrakstās no lietojumprogrammas vai vietnes, viņi tiek izrakstīti arī no visām lietojumprogrammām un vietnēm, kas izmanto vienu un to pašu identitātes nodrošinātāju. Ieslēdziet to, lai novirzītu lietotājus, kuri izrakstās no jūsu tīmekļa vietnes, uz ārējās izrakstīšanās interfeisu. Izslēdziet to, lai izrakstītu lietotājus tikai no jūsu tīmekļa vietnes.

  • Izrakstīšanās novirzīšanas URL: ievadiet vietrādi URL, kur identitātes nodrošinātājam ir jānovirza lietotāji pēc izrakstīšanās. Šī atrašanās vieta ir atbilstoši jāiestata identitātes nodrošinātāja konfigurācijā.

  • RP iniciētā atteikšanās: šis iestatījums kontrolē, vai uzticamā puse — klienta lietojumprogramma OpenID Connect — var izrakstīt lietotājus. Lai izmantotu šo iestatījumu, vispirms ir jāieslēdz Ārējā atteikšanās.

Papildu iestatījumi programmā Power Pages

Papildu iestatījumi sniedz jums labāku kontroli pār to, kā lietotāji autentificējas jūsu OpenID Connect identitātes nodrošinātāju. Jums nav jāiestata neviena no šīm vērtībām. Tās nav obligātas.

  • Izdevēja filtrs: ievadiet aizstājējzīmju filtru, kas atbilst visiem izdevējiem visos nomniekos; piemēram, https://sts.windows.net/*/. Ja izmantojat Microsoft Entra ID auth nodrošinātāju, izdevēja URL filtrs būtu https://login.microsoftonline.com/*/v2.0/.

  • Validēt auditoriju: ieslēdziet šo iestatījumu, lai marķiera validācijas laikā validētu auditoriju.

  • Derīgas mērķauditorijas: ievadiet ar komatu atdalītu sarakstu ar mērķauditorijas vietrāžiem URL.

  • Validēt izdevējus: ieslēdziet šo iestatījumu, lai validētu izdevēju marķiera validācijas laikā.

  • Derīgi izdevēji: ievadiet ar komatu atdalītu emitentu vietrāžu URL sarakstu.

  • Reģistrācijas pretenzijas kartēšana un pieteikšanās prasības kartēšana: lietotāja autentifikācijā pretenzija ir informācija, kas apraksta lietotāja identitāti, piemēram, e-pasta adrese vai dzimšanas datums. Kad jūs piesakāties programmā vai tīmekļa vietnē, tā izveido pilnvaru. Pilnvara satur informāciju par jūsu identitāti, tostarp visas ar to saistītās prasības. Pilnvaras tiek izmantotas, lai autentificētu jūsu identitāti, kad piekļūstat citām programmas vai vietnes daļām vai citām programmām un vietnēm, kas ir saistītas ar to pašu identitātes nodrošinātāju. Pretenzijas kartēšana ir veids, kā mainīt marķierī iekļauto informāciju. To var izmantot, lai pielāgotu programmai vai vietnei pieejamo informāciju un kontrolētu piekļuvi līdzekļiem vai datiem. Reģistrācijas pretenzijas kartēšana maina pretenzijas, kas rodas, reģistrējoties lietojumprogrammai vai vietnei. Pieteikšanās pretenzijas kartēšana maina pretenzijas, kas tiek emitētas, kad piesakāties lietojumprogrammā vai vietnē. Uzziniet vairāk par pretenzijām kartēšana politikām.

  • Nonce lifetime: ievadiet nonce vērtības kalpošanas laiku minūtēs. Noklusējuma vērtība ir 10 minūtes.

  • Izmantojiet marķiera kalpošanas laiku: šis iestatījums kontrolē, vai autentifikācijas sesijas kalpošanas laikam, piemēram, sīkfailiem, ir jāatbilst autentifikācijas marķiera darbības laikam. Ja tiek ieslēgts, šī vērtība pārlabo programmas sīkfailu derīguma termiņa vērtību vietnes iestatījumā Authentication/ApplicationCookie/ExpireTimeSpan.

  • Sazinieties ar kartēšana, izmantojot e-pastu: šis iestatījums nosaka, vai kontaktpersonas tiek kartētas uz atbilstošo e-pasta adresi, kad tās piesakās.

    • Ieslēgts: saista unikālu kontaktpersonas ierakstu ar atbilstošu e-pasta adresi un automātiski piešķir kontaktpersonai ārējās identitātes nodrošinātāju pēc tam, kad lietotājs ir veiksmīgi pierakstījies.
    • Pie

Piezīmes

Pieprasījuma parametrs UI_Locales tiek automātiski nosūtīts autentifikācijas pieprasījumā un tiek iestatīts portālā atlasītajai valodai.

Skatiet arī:

OpenID Connect nodrošinātāja iestatīšana ar Azure Active Directory (Azure AD) B2C
OpenID Connect nodrošinātāja iestatīšana ar Microsoft Entra ID
OpenID Connect bieži uzdotie jautājumi