Konfigurer en OpenID Connect-leverandør

OpenID Connect-identitetsleverandører er tjenester som følger OpenID Connect-spesifikasjonen. OpenID Connect introduserer konseptet med et ID-token. Et ID-token er et sikkerhetstoken som gjør det mulig for en klient å bekrefte identiteten til en bruker. Det får også grunnleggende profilinformasjon om brukeren, også kjent som krav.

OpenID Connect-leverandører Microsoft Entra ekstern ID, Microsoft Entra ID og Microsoft Entra ID med flere leiere er innebygd i Power Pages. Denne artikkelen forklarer hvordan du legger til andre identitetsleverandører for OpenID Connect på Power Pages-nettstedet.

Støttede og ustøttede godkjenningsflyter i Power Pages

  • Implisitt tilgang
    • Denne flyten er standard godkjenningsmetode for Power Pages-nettsteder.
  • Autorisasjonskode
    • Power Pages bruker client_secret_post-metoden til å kommunisere med tokenendepunktet til identitetsserveren.
    • private_key_jwt-metoden for å godkjenne med tokenendepunktet støttes ikke.
  • Hybrid (begrenset støtte)
    • Power Pages krever at id_token finnes i svaret, så det å ha respons_type = -kodetoken støttes ikke.
    • Hybridflyt i Power Pages følger samme flyt som implisitt tillatelse og bruker id_token til direkte pålogging for brukere.
  • Bevisnøkkel for kodeutveksling (PKCE)
    • PKCE-baserte teknikker for godkjenning av brukere støttes ikke.

Notat

Endringer i godkjenningsinnstillingene for nettstedet kan ta noen minutter å gjenspeile i på nettstedet. Hvis du vil se endringene umiddelbart, starter du nettstedet på nytt i administrasjonssenteret.

Konfigurer OpenID Connect-leverandøren i Power Pages

  1. Velg Sikkerhet>Identitetsleverandører på Power Pages-nettstedet.

    Hvis ingen identitetsleverandører vises, kontrollerer du at Ekstern pålogging er satt til i nettstedets generelle godkjenningsinnstillinger.

  2. Velg + Ny leverandør.

  3. Under Velg påloggingsleverandør velger du Annen.

  4. Under Protokoll velger du OpenID Connect.

  5. Angi et navn for leverandøren.

    Leverandørnavnet er teksten på knappen brukerne ser når de velger identitetsleverandør på påloggingssiden.

  6. Velg Neste.

  7. Velg Kopier under Svar-URL-adresse.

    Ikke lukk Power Pages-nettleserfanen. Du kommer tilbake til den snart.

Opprette en appregistrering i identitetsleverandøren

  1. Opprett og registrer et program hos identitetsleverandøren ved hjelp av svar-URL-adressen du kopierte.

  2. Kopier programmet eller klient-IDen og klienthemmeligheten.

  3. Finn applikasjonens endepunkter og kopier URL-adressen til OpenID Connect-metadatadokumentet.

  4. Endre andre innstillinger etter behov for identitetsleverandøren.

Angi nettstedsinnstillinger i Power Pages

Gå tilbake til siden Power Pages Konfigurer identitetsleverandør du la igjen tidligere, og angi følgende verdier: Du kan eventuelt endre tilleggsinnstillingene etter behov. Velg Bekreft når du er ferdig.

  • Instans: Angi URL-adressen til instansen i følgende format: https://login.microsoftonline.com/<Directory (tenant) ID>/ der <Directory (tenant) ID> er katalog-ID-en (leier) for programmet du opprettet. Hvis for eksempel ID for katalog (leier) i Azure-portalen er aaaabbbb-0000-cccc-1111-dddd2222eeee, er URL-adressen for instansen https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • Klient-ID​: Lim inn programmet eller klient-ID-en for programmet du opprettet.

  • URL for omdirigering: Hvis nettstedet bruker et egendefinert domenenavn, angir du den egendefinerte URL-adressen. Hvis ikke lar du standardverdien være som den er. Pass på at verdien er nøyaktig den samme som URI-en for omdirigering til programmet du opprettet.

  • Metadataadresse: Lim inn URL-adressen til metadatadokumentet for OpenID Connect du kopierte.

  • Omfang: Angi en områdedelt eller kommadelt liste over omfang som skal bes om bruk av OpenID Connect-parameteren scope . Standardverdien er openid.

    openid-verdien er obligatorisk. Finn ut mer om andre erklæringer du kan legge til.

  • Svartype: Angi verdien for OpenID Connect-parameteren response_type. Mulige verdier omfatter code, code id_token, id_token, id_token token og code id_token token. Standardverdien er code id_token.

  • Klienthemmelighet: Lim inn klienthemmeligheten fra leverandørprogrammet. Det kan også være referert til som en apphemmelighet eller forbrukerhemmelighet. Denne innstillingen er obligatorisk hvis svartypen er code.

  • Svarmodus: Angi verdien for OpenID Connect-parameteren response_mode. Den må være query hvis den svartypen er code. Standardverdien er form_post.

  • Ekstern pålogging: Denne innstillingen styrer hvorvidt nettstedet bruker federert avlogging. Når brukere logger seg av et program eller nettsted med federert avlogging, blir de også logget av alle programmer og nettsteder som bruker samme identitetsleverandør. Slå den på for omdirigere brukere til federert avlogging når de logger av nettstedet. Slå den av for å kun logge brukere ut av nettsiden din.

  • URL for omdirigering etter avlogging: Angi URL-adressen der identitetsleverandøren skal omdirigere brukere etter at de har logget seg av. Dette stedet må angis riktig i konfigurasjonen for identitetsleverandøren.

  • RP-startet avlogging: Denne innstillingen styrer hvorvidt den beroende parten – OpenID Connect-klientprogrammet – kan logge av brukere. For å kunne bruke denne innstillingen aktiverer du Ekstern avlogging.

Flere innstillinger i Power Pages

Tilleggsinnstillingene gir deg bedre kontroll over hvordan brukere godkjennes med OpenID Connect-identitetsleverandøren. Du trenger ikke angi noen av disse verdiene. De er helt valgfrie.

  • Utstederfilter: Angi et jokertegnbasert filter som samsvarer med alle utstedere i alle leiere, for eksempel https://sts.windows.net/*/. Hvis du bruker en Microsoft Entra ID-godkjenningsleverandør, er utstederens nettadressefilter https://login.microsoftonline.com/*/v2.0/.

  • Valider målgruppe: Aktiver denne innstillingen for å validere målgruppen under tokenvalidering.

  • Gyldige målgrupper: Angi en kommadelt liste over nettadresser for målgruppe.

  • Valider utstedere: Aktiver denne innstillingen for å validere utstederen under tokenvalideringen.

  • Gyldige utstedere: Angi en kommadelt liste over URL-adresser for utstedere.

  • Tildeling av registreringserklæringer​ og Tildeling av påloggingserklæringer: I brukergodkjenning er erklæring informasjon som beskriver identiteten til en bruker, for eksempel en e-postadresse eller fødselsdato. Når du logger på et program eller webområde, opprettes det et token. Et token inneholder informasjon om identiteten din, inkludert eventuelle påstander som er knyttet til det. Tokener brukes til å godkjenne identiteten din når du går til andre deler av programmet eller området eller andre programmer og områder som er koblet til den samme identitetsleverandøren. Erklæringstildeling er en metode for å endre informasjonen som er tatt med i et token. Den kan brukes til å tilpasse informasjonen som er tilgjengelig for programmet eller området, og til å kontrollere tilgang til funksjoner eller data. Registreringskravsmapping endrer kravene som genereres når du registrerer deg for en applikasjon eller et nettsted. Tildeling av påloggingserklæring endrer erklæringene som sendes ut når du logger deg på et program eller nettsted. Finn ut mer om kravkartlegging av retningslinjer.

    Brukerinformasjon kan gis på to måter:

    • ID-tokenkrav – Grunnleggende brukerattributter som fornavn eller e-postadresse er i tokenet.
    • UserInfo-endepunkt – En sikker API som returnerer detaljert brukerinformasjon etter godkjenning.

    Hvis du vil bruke UserInfo-endepunktet, oppretter du en nettstedsinnstilling kalt Authentication/OpenIdConnect/{ProviderName}/UseUserInfoEndpointforClaims og setter verdien til true.

    Du kan også opprette en nettstedsinnstilling kalt Authentication/OpenIdConnect/{ProviderName}/UserInfoEndpoint og angi verdien til nettadressen for UserInfo-endepunktet. Hvis du ikke angir denne innstillingen, prøver Power Pages å finne endepunktet fra OIDC-metadata.

    Feilbehandling:

    • Hvis nettadressen for endepunktet ikke er angitt og Power Pages ikke kan finne den i metadata, fortsetter påloggingen og det logges en advarsel.
    • Hvis nettadressen er angitt, men ikke tilgjengelig, fortsetter påloggingen med en advarsel.
    • Hvis endepunktet returnerer en godkjenningsfeil (f.eks. 401 eller 403), fortsetter påloggingen med en advarsel som inneholder feilmeldingen.

    Tildelingssyntaks:

    Bruk dette formatet hvis du vil bruke UserInfo-krav i tildeling av påloggings- eller registreringskrav:

    fieldName = userinfo.claimName

    Hvis UseUserInfoEndpointforClaims ikke er aktivert, blir tildelinger som bruker prefikset userinfo., ignorert.

  • Nonce-levetid: Angi levetiden for nonce-verdien, i minutter. Standardverdien er 10 minutter.

  • Bruk tokenlevetid: Denne innstillingen styrer hvorvidt levetiden for godkjenningsøkten, for eksempel informasjonskapsler, skal samsvare med godkjenningstokenet. Hvis du aktiverer den, overstyrer den verdien for tidsintervallet for utløp av appinformasjonskapsel i områdeinnstillingen ApplicationCookie/ExpireTimeSpan.

  • Kontakttilordning med e-post: Denne innstillingen angir om kontaktene er tilordnet til en tilhørende e-post.

    • : Tilordner en unik kontaktoppføring med en samsvarende e-postadresse, og tilordner automatisk den eksterne identitetsleverandøren til kontakten etter at brukeren har logget seg på.
    • Deaktivert

Notat

UI_Locales-forespørselsparameter sendes automatisk i godkjenningsforespørselen, og blir satt til språket som er valgt i portalen.

Andre autorisasjonsparametere

Bruk følgende autorisasjonsparametere, men ikke angi dem i OpenID Connect-leverandøren i Power Pages:

  • acr_values: Parameteren acr_values lar identitetsleverandører håndheve sikkerhetsgarantinivåer, for eksempel godkjenning med flere faktorer. Den lar appen indikere ønsket godkjenningsnivå.

    Hvis du vil bruke parameteren acr_values, oppretter du en nettstedsinnstilling kalt Authentication/OpenIdConnect/{ProviderName}/AcrValues og angir verdien du trenger. Når du angir denne verdien, tar Power Pages med parameteren acr_values i autorisasjonsforespørselen.

  • Dynamiske autorisasjonsparametere: Med dynamiske parametere kan du skreddersy autorisasjonsforespørselen til ulike brukskontekster, for eksempel scenarioer med innebygde apper eller flere leiere.

    • Instruksjonsparameter:

      Denne parameteren styrer om påloggingssiden eller samtykkeskjermen vises. Du kan konfigurere det på to måter:

      1. Områdeinnstilling (statisk): Opprett en områdeinnstilling med navnet Authentication/OpenIdConnect/{ProviderName}/Prompt , og angi verdien til en av de støttede verdiene som er oppført nedenfor. Denne verdien gjelder for alle godkjenningsforespørsler for leverandøren og prioriteres over den dynamiske parameteren.
      2. Dynamisk (per forespørsel): Legg til en tilpassing for å sende den som en spørringsstrengparameter til det eksterne påloggingsendepunktet.

      Verdier som støttes:

      • ingen
      • logge deg på
      • samtykke
      • select_account

      Nettadresseformat:

      {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&prompt={value}

      Power Pages sender denne verdien til identitetsleverandøren i instruksjonsparameteren.

    • Parameter for påloggingshint:

      Med denne parameteren kan du sende en kjent brukeridentifikator, for eksempel en e-post, til skjermbilder for forhåndsutfylling eller omgåelse av pålogging. Hvis du vil bruke den, legger du til en tilpasning for å sende den som en spørringsstrengparameter til endepunktet ExternalLogin.

      Nettadresseformat:

      {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&login_hint={value}

      Dette hjelper når brukere allerede er pålogget via en annen identitet, for eksempel Microsoft Entra ID eller en Microsoft-konto (MSA), i samme økt.

  • Egendefinerte autorisasjonsparametere: Noen identitetsleverandører støtter rettighetsbeskyttede parametere for spesifikk autorisasjonsfunksjonalitet. Power Pages lar utviklere konfigurere og sende disse parameterne på en sikker måte. Hvis du vil bruke disse parameterne, legger du til en tilpasning for å sende dem som spørringsstrengparametere til endepunktet ExternalLogin.

    Opprett en nettstedsinnstilling kalt Authentication/OpenIdConnect/{Provider}/AllowedDynamicAuthorizationParameters, og angi verdien til en kommadelt liste over parameternavn, for eksempel param1,param2,param3.

    Eksempel på nettadresseformat:

    {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&param1=value&param2=value&param3=value

    Hvis en parameter (param1, param2 eller param3) ikke er i listen over tillatte parametere, ignorerer Power Pages den.

    Denne innstillingen definerer en liste over egendefinerte parametere som kan sendes i godkjenningsforespørselen.

    Virkemåte

    • Send parametere i spørringsstrengen til endepunktet ExternalLogin.
    • Power Pages omfatter bare parametere i listen i autorisasjonsforespørselen.
    • Standardparametere som prompt, login_hint og ReturnUrl er alltid tillatt og trenger ikke å være oppført.

    Eksempel på nettadresseformat:

    {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&custom_param=value

    Hvis custom_param ikke er i listen over tillatte parametere, ignorerer Power Pages den.

Se også

Konfigurere ekstern ID for Microsoft Entra med Power Pages
Konfigurer en OpenID Connect-leverandør med Microsoft Entra ID
Vanlige spørsmål om OpenID Connect

  • Last updated on