Kopīgot, izmantojot

OpenID Connect nodrošinātāja iestatīšana ar Microsoft Entra ID

  • Raksts

Microsoft Entra ir viens no OpenID Connect identitātes nodrošinātājiem, ko varat izmantot, lai autentificētu savas vietnes apmeklētājus Power Pages . Kopā ar Microsoft Entra ID, multitenant Microsoft Entra ID un Azure AD B2C varat izmantot jebkuru citu nodrošinātāju, kas atbilst Open ID Connect specifikācijai.

Šajā rakstā ir aprakstītas tālāk minētās darbības.

Piezīmes

Jūsu vietnes autentifikācijas iestatījumu izmaiņas var aizņemt dažas minūtes, lai tās atspoguļotu vietnē. Lai nekavējoties skatītu izmaiņas, administrēšanas centrā restartējiet vietni.

Iestatīšana Microsoft Entra Power Pages

Iestatiet Microsoft Entra kā identitātes nodrošinātāju savai vietnei.

  1. Savā Power Pages vietnē atlasiet opciju Iestatīt>Identitātes nodrošinātāji.

    Ja netiek rādīts neviens identitātes nodrošinātājs, pārliecinieties, vai opcija Ārējā pieteikšanās ir iestatīta kā Ieslēgts jūsu vietnes vispārīgajos autentifikācijas iestatījumos.

  2. Atlasiet + Jauns nodrošinātājs.

  3. Sadaļā Atlasīt pieteikšanās nodrošinātāju atlasiet Cits.

  4. Sadaļā Protokols atlasiet OpenID Connect.

  5. Ievadiet pakalpojumu sniedzēja nosaukumu; piemēram,ID Microsoft Entra .

    Nodrošinātāja nosaukums ir teksts uz pogas, ko lietotāji redz, kad atlasa savu identitātes nodrošinātāju pierakstīšanās lapā.

  6. Atlasiet Tālāk.

  7. Sadaļā Atbildes URL atlasiet Kopēt.

    Neaizveriet Power Pages pārlūka cilni. Drīz tajā atgriezīsities.

Programmas reģistrācijas izveide pakalpojumā Azure

Izveidojiet programmas reģistrāciju Azure portālā , izmantojot savas vietnes atbildes URL kā novirzīšanas URI.

  1. Pierakstieties Azure portālā.

  2. Meklējiet un atlasiet vienumu Azure Active Directory.

  3. Sadaļā Pārvaldīt atlasiet Programmu reģistrācijas.

  4. Atlasiet Jauna reģistrācija.

  5. Ievadiet nosaukumu.

  6. Atlasiet kādu no atbalstītajiem kontu tipiem, kas vislabāk atbilst jūsu organizācijas prasībām.

  7. Sadaļā Novirzīšanas URI atlasiet Tīmeklis kā platformu un pēc tam ievadiet savas vietnes atbildes URL.

    • Ja izmantojat savas vietnes noklusējuma vietrādi URL, ielīmējiet nokopēto atbildes vietrādi URL.
    • Ja izmantojat pielāgotu domēna nosaukumu, ievadiet pielāgotu URL. Vietnes identitātes nodrošinātāja iestatījumos norādiet novirzīšanas URL, izmantojat to pašu pielāgoto URL.

  8. Atlasiet Reģistrēt.

  9. Nokopējiet programmas (klienta) ID.

  10. Pa labi no Klienta akreditācijas dati atlasiet Pievienot sertifikātu vai noslēpumu.

  11. Atlasiet + Jauns klienta noslēpums.

  12. Ievadiet neobligātu aprakstu, atlasiet derīgumu un pēc tam atlasiet Pievienot.

  13. Sadaļā Noslēpuma ID atlasiet ikonu Kopēt starpliktuvē .

  14. Lapas augšdaļā atlasiet Galapunkti.

  15. Atrodiet OpenID Connect metadatu dokumenta URL un atlasiet kopēšanas ikonu.

  16. Kreisajā panelī zem Pārvaldīt atlasiet Autentifikācija.

  17. Sadaļā Netiešs piešķīrums atlasietID pilnvaras (izmantoti netiešajām un hibrīdajām plūsmām).

  18. Atlasiet vienumu Saglabāt.

Vietnes iestatījumu ievadīšana programmā Power Pages

Atgriezieties Power Pages identitātes nodrošinātāja konfigurēšanas lapā, ko iepriekš atstājāt, un ievadiet tālāk norādītās vērtības. Ja nepieciešams, mainiet papildu iestatījumus. Kad esat beidzis, atlasiet Apstiprināt.

  • Autoritāte: ievadiet autoritātes URL šādā formātā: https://login.microsoftonline.com/<Directory (tenant) ID>/, kur <Direktorijs (nomnieka) ID> ir izveidotās programmas direktorija (nomnieka) ID. Piemēram, ja direktorijas (nomnieka) ID Azure portālā ir 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, autoritātes URL ir https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • Klienta ID​: Ielīmējiet programmas vai izveidotās programmas klienta ID.

  • Novirzīšanas URL: ja jūsu vietne izmanto pielāgotu domēna nosaukumu, ievadiet pielāgoto URL; pretējā gadījumā atstājiet noklusējuma vērtību. Pārliecinieties, vai šī vērtība ir tieši tāda pati kā izveidotās programmas novirzīšanas URI.

  • Metadatu adrese: ielīmējiet nokopēto OpenID Connect metadatu dokumenta URL.

  • Tvērums: ievadiet openid email.

    Vērtība openid ir obligāta. Vērtība email nav obligāta; tā nodrošina, ka lietotāja e-pasta adrese tiek automātiski aizpildīta un parādīta profila lapā pēc lietotāja pierakstīšanās sistēmā. Informācija par citām prasībām, ko varat pievienot.

  • Atbildes tips: atlasiet code id_token.

  • Klienta noslēpums: ielīmējiet klienta noslēpumu no izveidotās programmas. Šis iestatījums ir nepieciešams, ja atbildes tips ir code.

  • Atbildes režīms: atlasiet form_post.

  • Ārējā atteikšanās: šis iestatījums kontrolē, vai jūsu vietnē tiek izmantota ārējā izrakstīšanās. Izmantojot ārējo izrakstīšanos, kad lietotāji izrakstās no programmas vai vietnes, viņi ir izrakstījušies no visām programmām un vietnēm, kas izmanto vienu un to pašu identitātes nodrošinātāju. Ieslēdziet to, lai novirzītu lietotājus, kuri izrakstās no jūsu tīmekļa vietnes, uz ārējās izrakstīšanās interfeisu. Izslēdziet to, lai izrakstītu lietotājus tikai no jūsu tīmekļa vietnes.

  • Pēcatteikšanās novirzīšanas URL: ievadiet URL, kur identitātes nodrošinātājs novirzīs lietotājus pēc izrakstīšanās. Šī atrašanās vieta ir atbilstoši jāiestata arī identitātes nodrošinātāja konfigurācijā.

  • RP sāktā atteikšanās: šis iestatījums kontrolē, vai uzticamā puse — OpenID Connect klienta programma — var izrakstīt lietotājus. Lai izmantotu šo iestatījumu, vispirms ir jāieslēdz Ārējā atteikšanās.

Papildu iestatījumi programmā Power Pages

Papildu iestatījumi sniedz jums precīzāku kontroli pār to, kā lietotāji autentificējas, izmantojot jūsu Microsoft Entra identitātes nodrošinātāju. Jums nav jāiestata neviena no šīm vērtībām. Tās nav obligātas.

  • Izdevēja filtrs: ievadiet uz aizstājējzīmi balstītu filtru, kas nosaka atbilstības par visiem izsniedzējiem visos nomniekos, piemēram, https://sts.windows.net/*/.

  • Apstiprināt auditoriju: ieslēdziet šo iestatījumu, lai validētu auditoriju pilnvaras validācijas laikā.

  • Derīgas auditorijas: ievadiet auditorijas vietrāžu URL komatatdalīto sarakstu.

  • Apstiprināt izdevējus: ieslēdziet šo iestatījumu, lai validētu izdevēju pilnvaras validācijas laikā.

  • Derīgi izdevēji: ievadiet izdevēju vietrāžu URL komatatdalīto sarakstu.

  • Reģistrēšanas prasību kartēšana un pieteikšanās prasību kartēšana: lietotāja autentifikācijas laikā prasība ir informācija, kas apraksta lietotāja identitāti, piemēram, e-pasta adresi vai dzimšanas datumu. Kad jūs piesakāties programmā vai tīmekļa vietnē, tā izveido pilnvaru. Pilnvara satur informāciju par jūsu identitāti, tostarp visas ar to saistītās prasības. Pilnvaras tiek izmantotas, lai autentificētu jūsu identitāti, kad piekļūstat citām programmas vai vietnes daļām vai citām programmām un vietnēm, kas ir saistītas ar to pašu identitātes nodrošinātāju. Prasību kartēšana ir veids, kā mainīt pilnvarā iekļauto informāciju. To var izmantot, lai pielāgotu programmai vai vietnei pieejamo informāciju un kontrolētu piekļuvi līdzekļiem vai datiem. Reģistrēšanas prasību kartēšana modificē prasības, kas rodas, reģistrējoties programmai vai vietnei. Pieteikšanās prasību kartēšana modificē prasības, kas rodas, pierakstoties programmā vai vietnē. Papildinformācija par prasību kartēšanas politikām.

  • Vienreizējā koda kalpošanas laiks: ievadiet vienreizējā koda kalpošanas laika vērtību minūtēs. Noklusējuma vērtība ir 10 minūtes.

  • Lietot pilnvaras kalpošanas laiku: šis iestatījums kontrolē, vai autentifikācijas sesijas darbības laikam (piem., sīkfailiem) ir jāatbilst autentifikācijas pilnvarai. Ja tiek ieslēgts, šī vērtība pārlabo programmas sīkfailu derīguma termiņa vērtību vietnes iestatījumā Authentication/ApplicationCookie/ExpireTimeSpan.

  • Kontaktpersonas kartēšana ar e-pastu: šis iestatījums nosaka, vai kontaktpersonas pierakstoties tiek kartētas ar atbilstošu e-pasta adresi.

    • Ieslēgts: unikāls kontaktpersonas ieraksts tiek saistīts ar atbilstošu e-pasta adresi un kontaktpersonai tiek automātiski piešķirts ārējais identitātes nodrošinātājs, kad lietotājs ir veiksmīgi pierakstījies.
    • Izslēgts

Piezīmes

Pieprasījuma parametrs UI_Locales tiek automātiski nosūtīts autentifikācijas pieprasījumā un tiek iestatīts portālā atlasītajai valodai.

Papildu prasību iestatīšana

  1. Iespējojiet neobligātās pretenzijas ID Microsoft Entra formātā.

  2. Iestatiet Tvērumu tā, lai tas iekļautu papildu prasības, piemēram, openid email profile.

  3. Iestatiet Reģistrēšanas pieprasījumu kartējums papildu vietnes iestatījumu, piemēram, firstname=given_name,lastname=family_name.

  4. Iestatiet Pieteikšanās pieprasījumu kartējums papildu vietnes iestatījumu, piemēram, firstname=given_name,lastname=family_name.

Šajos piemēros vārds, uzvārds un e-pasta adreses, kas tiek nodrošinātas ar papildu prasībām, kļūs par noklusējuma vērtībām tīmekļa vietnes profila lapā.

Piezīmes

Prasību kartēšana tiek atbalstīta teksta un Būla datu tipiem.

Vairākfaktoru Microsoft Entra autentifikācijas atļaušana

Lai ļautu Microsoft Entra lietotājiem autentificēties no jebkura Azure nomnieka, ne tikai no konkrēta nomnieka, mainiet lietojumprogrammas Microsoft Entra reģistrāciju uz vairāku nomnieku.

Jums ir jāiestata arī izdevēja filtrs jūsu nodrošinātāja papildu iestatījumos.

Skatiet arī:

Bieži uzdotie jautājumi par OpenID Connect