Kongsi melalui

Sediakan pembekal OpenID Connect dengan Microsoft Entra ID

  • Artikel

Microsoft Entra ialah salah satu pembekal identiti OpenID Connect yang boleh anda gunakan untuk mengesahkan pelawat ke laman web anda Power Pages . Bersama-sama dengan Microsoft Entra ID, multitenant Microsoft Entra ID dan Azure AD B2C, anda boleh menggunakan mana-mana pembekal lain yang mematuhi spesifikasi Open ID Connect.

Artikel ini menerangkan langkah-langkah berikut:

Nota

Perubahan pada tetapan pengesahan tapak anda mungkin mengambil masa beberapa minit untuk dipaparkan pada tapak. Untuk melihat perubahan serta-merta, mulakan semula tapak dalam pusat pentadbir.

Sediakan Microsoft Entra dalam Power Pages

Setkan Microsoft Entra sebagai pembekal identiti untuk laman anda.

  1. Dalam tapak Power Pages anda, pilih Sediakan>Pembekal identiti.

    Jika tiada pembekal identiti muncul, pastikan Log masuk luaran ditetapkan kepada Hidupkan dalam tapak tetapan pengesahan umum anda.

  2. Pilih + Pembekal baharu.

  3. Di bawah Pilih pembekal log masuk, pilih Lain-lain.

  4. Di bawah Protokol, pilih OpenID Connect.

  5. Masukkan nama untuk pembekal; sebagai contoh,ID Microsoft Entra .

    Nama pembekal ialah teks pada butang yang pengguna lihat apabila mereka memilih pembekal identiti mereka pada halaman daftar masuk.

  6. Pilih Seterusnya.

  7. Di bawah URL Balas, pilih Salin.

    Jangan tutup tab pelayar Power Pages anda. Anda akan kembali kepadanya tidak lama lagi.

Cipta pendaftaran aplikasi dalam Azure

Cipta pendaftaran aplikasi dalam Portal Azure dengan URL balasan tapak anda sebagai URI ubah hala.

  1. Daftar masuk ke portal Azure.

  2. Cari dan pilih Azure Active Directory.

  3. Di bawah Urus, pilih Pendaftaran aplikasi.

  4. Pilih Pendaftaran baharu.

  5. Masukkan nama.

  6. Pilih salah satu daripada Jenis akaun yang disokong yang paling menggambarkan keperluan organisasi anda.

  7. Di bawah Penghalaan semula URI, pilih Web sebagai platform dan kemudian masukkan URL balas tapak anda.

    • Jika anda menggunakan URL lalai tapak anda, tampal URL balasan yang anda salin.
    • Jika anda menggunakan nama domain tersuai, masukkan URL tersuai. Pastikan anda menggunakan URL tersuai yang sama untuk URL ubah hala dalam tetapan untuk pembekal identiti di tapak anda.

  8. Pilih Daftar.

  9. Salin ID Aplikasi (klien).

  10. Di sebelah kanan Kelayakan klien, pilih Tambah sijil atau rahsia.

  11. Pilih + Rahsia klien baharu.

  12. Masukkan perihalan pilihan, pilih tamat tempoh dan kemudian pilih Tambah.

  13. Di bawah ID Rahsia, pilih ikon Salin ke papan klip .

  14. Pilih Titik tamat di bahagian atas halaman.

  15. Cari URL dokumen metadata OpenID Connect dan pilih ikon salin.

  16. Di panel sebelah kiri, di bawah Urus, pilih Pengesahan.

  17. Di bawah Pemberian tersirat, pilih token ID (digunakan untuk aliran tersirat dan hibrid).

  18. Pilih Simpan.

Konfigurasi tetapan tapak dalam Power Pages

Kembali ke halaman Power Pages Pembekal identiti konfigurasi yang anda tinggalkan lebih awal dan masukkan nilai berikut. Secara pilihan, tukar tetapan tambahan seperti yang diperlukan. Pilih Sahkan apabila anda tamat.

  • Pihak Berkuasa: Masukkan URL pihak berkuasa dalam format berikut: https://login.microsoftonline.com/<Directory (tenant) ID>/, yang mana <ID direktori (penyewa)> ialah ID direktori (penyewa) aplikasi yang anda cipta. Sebagai contoh, jika ID direktori (penyewa) dalam portal Azure ialah 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb maka URL kuasa adalah https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • ID Klien: Tampalkan aplikasi atau ID klien aplikasi yang anda cipta.

  • URL Halakan Semula: Jika tapak anda menggunakan nama domain tersuai, masukkan URL tersuai; sebaliknya, tinggalkan nilai lalai. Pastikan nilainya betul-betul sama dengan URI ubah hala aplikasi yang anda cipta.

  • Alamat metadata: Tampalkan URL dokumen metadata OpenID Connect yang anda salin.

  • Skop: Masukkan openid email.

    Nilai openid adalah mandatori. Nilai email adalah pilihan; ia memastikan bahawa alamat e-mel pengguna diisi secara automatik dan ditunjukkan pada halaman profil selepas pengguna mendaftar masuk. Ketahui tentang tuntutan lain yang anda boleh tambah.

  • jenis respons: Pilih code id_token.

  • Rahsia Klien: Tampal rahsia pelanggan daripada aplikasi pembekal yang anda cipta. Tetapan ini diperlukan jika jenis respons adalah code.

  • Mod respons: Pilih form_post.

  • Log keluar luaran: Tetapan ini mengawal sama ada tapak anda menggunakan daftar keluar bersekutu. Dengan daftar keluar bersekutu, apabila pengguna mendaftar keluar daripada aplikasi atau tapak, ia juga akan didaftar keluar dari semua aplikasi dan tapak yang menggunakan penyedia identiti yang sama. Hidupkannya untuk mengubah hala pengguna ke pengalaman daftar keluar bersekutu apabila mereka daftar keluar dari tapak web anda. Matikannya untuk mendaftar keluar pengguna daripada tapak web anda sahaja.

  • Siarkan URL hala semula log keluar: Masukkan URL tempat pembekal identiti harus mengubah hala pengguna selepas mereka daftar keluar. Lokasi ini harus ditetapkan dalam konfigurasi pembekal identiti dengan betul.

  • RP memulakan log keluar: Tetapan ini mengawal sama ada pihak yang bergantung—aplikasi klien OpenID Connect—boleh mendaftar keluar pengguna. Untuk menggunakan tetapan ini, hidupkan Log keluar luaran.

Tetapan tambahan dalam Power Pages

Tetapan tambahan memberi anda kawalan yang lebih baik terhadap cara pengguna mengesahkan dengan pembekal identiti anda Microsoft Entra . Anda tidak perlu menetapkan mana-mana nilai ini. Ia adalah pilihan sepenuhnya.

  • Penapis pengeluar: Masukkan penapis berasaskan kad bebas yang sepadan dengan semua pengeluar merentas semua penyewa; sebagai contoh, https://sts.windows.net/*/.

  • Sahkan khalayak: Hidupkan tetapan ini untuk mengesahkan khalayak semasa pengesahan token.

  • Khalayak yang sah: Masukkan senarai URL khalayak yang dipisahkan koma.

  • Sahkan pengeluar: Hidupkan tetapan ini untuk mengesahkan pengeluar semasa pengesahan token.

  • Pengeluar yang sah: Masukkan senarai URL pengeluar yang dipisahkan koma.

  • Pemetaan tuntutan pendaftaran​ dan Pemetaan tuntutan log masuk: Dalam pengesahan pengguna tuntutan ialah maklumat yang menerangkan identiti pengguna, seperti alamat e-mel atau tarikh lahir. Apabila anda mendaftar masuk ke aplikasi atau tapak web, ia mewujudkan token. Token mengandungi maklumat tentang identiti anda, termasuk sebarang tuntutan yang berkaitan dengannya. Token digunakan untuk mengesahkan identiti anda apabila anda mengakses bahagian lain aplikasi atau tapak atau aplikasi dan tapak lain yang disambungkan kepada pembekal identiti yang sama. Pemetaan tuntutan ialah satu cara untuk menukar maklumat yang disertakan dalam token. Ia boleh digunakan untuk menyesuaikan maklumat yang tersedia untuk aplikasi atau tapak dan untuk mengawal akses kepada ciri atau data. Pemetaan tuntutan pendaftaran mengubah suai tuntutan yang dikeluarkan apabila anda mendaftar untuk aplikasi atau tapak. Pemetaan tuntutan log masuk mengubah suai tuntutan yang dikeluarkan apabila anda mendaftar masuk ke aplikasi atau tapak. Ketahui lebih lanjut tentang dasar pemetaan tuntutan.

  • Nonce seumur hidup: Masukkan jangka hayat nilai nonce, dalam minit. Nilai lalai ialah 10 minit.

  • Gunakan seumur hidup token: Tetapan ini mengawal sama ada hayat sesi pengesahan, seperti kuki, harus sepadan dengan token pengesahan. Jika anda menghidupkannya, nilai ini mengatasi nilai Kuki Tamat Tempoh Aplikasi dalam tapak Authentication/ApplicationCookie/ExpireTimeSpan.

  • Pemetaan kenalan dengan e-mel: Tetapan ini menentukan sama ada kenalan dipetakan ke alamat e-mel yang sepadan apabila mereka daftar masuk.

    • Hidupkan: Mengaitkan rekod hubungan unik dengan alamat e-mel yang sepadan dan secara automatik menguntukkan pembekal identiti luaran kepada kenalan selepas pengguna berjaya mendaftar masuk.
    • Matikan

Nota

Parameter permintaan UI_Locales dihantar secara automatik dalam permintaan pengesahan dan ditetapkan kepada bahasa yang dipilih pada portal.

Sediakan tuntutan tambahan

  1. Dayakan tuntutan pilihan dalam Microsoft Entra ID.

  2. Tetapkan Skop untuk memasukkan tuntutan tambahan; contohnya, openid email profile.

  3. Tetapkan tetapan tapak tambahan Pemetaan tuntutan pendaftaran.= ; contohnya, firstname=given_name,lastname=family_name.

  4. Tetapkan tetapan tapak tambahan Pemetaan tuntutan log masuk ; contohnya, firstname=given_name,lastname=family_name.

Dalam contoh ini, nama pertama, nama keluarga dan alamat e-mel yang dibekalkan dengan tuntutan tambahan menjadi nilai lalai dalam halaman profil dalam tapak web.

Nota

Pemetaan tuntutan disokong untuk jenis data teks dan boolean.

Benarkan pengesahan berbilang penyewa Microsoft Entra

Untuk membolehkan Microsoft Entra pengguna mengesahkan daripada mana-mana penyewa dalam Azure, bukan hanya daripada penyewa tertentu,tukar pendaftaran Microsoft Entra aplikasi kepada berbilang penyewa.

Anda juga perlu menetapkan Penapis pengeluar dalam tetapan tambahan pembekal anda.

Lihat juga

Soalan Lazim (FAQ) OpenID Connect