Share via

Een OpenID Connect-provider instellen

  • Artikel

OpenID Connect-identiteitsproviders zijn services die voldoen aan de specificatie van OpenID Connect. OpenID Connect Connect introduceert het concept van een id-token. Een id-token is een beveiligingstoken waarmee een client de identiteit van een gebruiker kan verifiëren. Er wordt tevens basisprofielinformatie verstrekt over gebruikers, de zogenaamde claims.

OpenID Connect-providers Azure AD B2C, Microsoft Entra ID en Microsoft Entra ID met meerdere tenants zijn ingebouwd in Power Pages. In dit artikel wordt uitgelegd hoe u andere OpenID Connect-identiteitsproviders kunt toevoegen aan uw Power Pages-site.

Ondersteunde en niet-ondersteunde verificatiestromen in Power Pages

  • Impliciete toekenning
    • Deze stroom is de standaardverificatiemethode voor Power Pages-sites.
  • Autorisatiecode
    • Power Pages gebruikt de methode client_secret_post om te communiceren met het tokeneindpunt van de identiteitsserver.
    • De methode private_key_jwt voor verificatie met het tokeneindpunt wordt niet ondersteund.
  • Hybride (beperkte ondersteuning)
    • Power Pages vereist dat de id_token aanwezig is in de respons, dus wordt het response_type = codetoken niet ondersteund.
    • De hybride stroom in Power Pages volgt dezelfde stroom als impliciete toekenning en gebruikt id_token om de gebruikers direct aan te melden.
  • PKCE (Proof Key for Code Exchange)
    • Op PKCE gebaseerde technieken om gebruikers te verifiëren worden niet ondersteund.

Opmerking

Wijzigingen in de verificatie-instellingen van uw site kunnen enkele minuten op zich laten wachten voordat ze zichtbaar zijn op de site. Start de site opnieuw in het beheercentrum om de wijzigingen direct te zien.

De OpenID Connect-provider instellen in Power Pages

  1. Selecteer op uw Power Pages-site de optie Instellen>Identiteitsproviders.

    Als er geen id-providers verschijnen, zorg er dan voor dat Extern aanmelden is ingesteld op Aan in de algemene verificatie-instellingen van uw site.

  2. Selecteer + Nieuwe provider.

  3. Selecteer onder Aanmeldingsprovider selecteren de waarde Overig.

  4. Selecteer bij Protocol de optie OpenID Connect.

  5. Voer een naam voor de webinarprovider in.

    De providernaam is de tekst op de knop die gebruikers zien wanneer ze hun id-provider selecteren op de aanmeldpagina.

  6. Selecteer Volgende.

  7. Onder Antwoord-URL selecteert u Kopiëren.

    Sluit uw Power Pages-browsertabblad niet. U hebt het snel nodig.

Een app-registratie in de id-provider maken

  1. Maak en registreer een toepassing bij uw identiteitsprovider met behulp van de antwoord-URL die u hebt gekopieerd.

  2. Kopieer de toepassings- of client-id en het clientgeheim.

  3. Zoek de eindpunten van de toepassing en kopieer de URL van het OpenID Connect-metagegevensdocument.

  4. Wijzig indien nodig andere instellingen voor uw identiteitsprovider.

Site-instellingen invoeren in Power Pages

Ga terug naar de Power Pages-pagina Identiteitsprovider configureren die u eerder hebt verlaten en voer de volgende waarden in. Wijzig desgewenst de aanvullende instellingen indien nodig. Selecteer Bevestigen als u gereed bent.

  • Autoriteit: voer de autoriteits-URL in de volgende indeling in: https://login.microsoftonline.com/<Directory (tenant) ID>/, waarbij <(tenant-)id van map> de (tenant-)id van de map is van de toepassing die u hebt gemaakt. Als de (tenant-)id van de map in de Azure Portal bijvoorbeeld 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb is, is https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​ de instantie-URL.

  • Client-id: plak de toepassings- of client-id van de toepassing die u hebt gemaakt.

  • Omleidings-URL: als uw site een aangepaste domeinnaam gebruikt, voert u de aangepaste URL in; laat anders de standaardwaarde staan. Zorg ervoor dat de waarde precies hetzelfde is als de omleidings-URI van de toepassing die u hebt gemaakt.

  • Metagegevensadres: plak de URL van het OpenID Connect-metagegevensdocument die u hebt gekopieerd.

  • Bereik: voer een door spaties gescheiden lijst met bereiken die moeten worden opgevraagd via de OpenID Connect-parameter scope. De standaardwaarde is openid.

    De openid-waarde is verplicht. Meer informatie over andere claims die u kunt toevoegen.

  • Responstype: voer de waarde van de OpenID Connect-parameter response_type in. Mogelijke waarden zijn onder andere code, code id_token, id_token, id_token token en code id_token token. De standaardwaarde is code id_token.

  • Clientgeheim: plak het clientgeheim vanuit de toepassing van de provider. Dit kan ook worden aangeduid als app-geheim of consumentgeheim. Deze instelling is vereist als het responstype code is.

  • Responsmodus: voer de waarde voor de OpenID Connect-parameter response_mode in. Dit zou query moeten zijn als het geselecteerde responstype code is. De standaardwaarde is form_post.

  • Externe afmelding: deze instelling bepaalt of uw site federatieve afmelding gebruikt. Met federatieve afmelding worden gebruikers die zich afmelden bij een toepassing of site, ook afgemeld bij alle toepassingen en sites die dezelfde identiteitsprovider gebruiken. Schakel deze optie in om gebruikers om te leiden naar de federatieve afmeldingservaring wanneer ze zich afmelden bij uw website. Schakel deze optie uit om gebruikers alleen van uw website af te melden.

  • Omleidings-URL na afmelding: voer de URL in waarnaar de id-provider gebruikers moet omleiden nadat zij zich hebben afgemeld. Deze locatie moet ook correct worden ingesteld in de configuratie van de id-provider.

  • Door RP geïnitieerde afmelding: deze instelling bepaalt of de Relying Party (de OpenID Connect-clienttoepassing) gebruikers kan afmelden. Als u deze instelling wilt gebruiken, schakelt u Externe afmelding in.

Aanvullende instellingen in Power Pages

De aanvullende instellingen geven u meer controle over hoe gebruikers zich verifiëren bij uw OpenID Connect-identiteitsprovider. U hoeft geen van deze waarden in te stellen. Ze zijn volledig optioneel.

  • Filter van uitgever: voer een op jokertekens gebaseerd filter in dat overeenkomt met alle uitgevers voor alle tenants, bijvoorbeeld https://sts.windows.net/*/.

  • Doelgroep valideren: schakel deze instelling in om de doelgroep te valideren tijdens tokenvalidatie.

  • Geldige doelgroepen: voer een door komma's gescheiden lijst met doelgroep-URL's in.

  • Uitgevers valideren: schakel deze instelling in om de uitgever te valideren tijdens tokenvalidatie.

  • Geldige uitgevers: voer een door komma's gescheiden lijst met uitgever-URL's in.

  • Toewijzing van registratieclaims en Toewijzing van aanmeldingsclaims: in gebruikersauthenticatie is een claim informatie die de identiteit van een gebruiker beschrijft, zoals een e-mailadres of geboortedatum. Wanneer u zich aanmeldt bij een applicatie of een website, maakt dit een token aan. Een token bevat informatie over uw identiteit, inclusief eventuele claims die daarmee verband houden. Tokens worden gebruikt om uw identiteit te verifiëren wanneer u toegang krijgt tot andere delen van de applicatie of site of andere applicaties en sites die zijn verbonden met dezelfde identiteitsprovider. Claims toewijzen is een manier om de informatie in een token te wijzigen. Het kan worden gebruikt om de informatie aan te passen die beschikbaar is voor de toepassing of site en om de toegang tot functies of gegevens te regelen. Toewijzing van registratieclaims wijzigt de claims die worden verzonden wanneer u zich registreert voor een applicatie of een site. Toewijzing van aanmeldingsclaims wijzigt de claims die worden verzonden wanneer u zich aanmeldt bij een toepassing of een site. Meer informatie over het claimbeleid.

  • Nonce-levensduur: voer de levensduur van de nonce-waarde in minuten in. De standaardwaarde is 10 minuten.

  • Levensduur van token gebruiken: met deze instelling wordt bepaald of de levensduur van de verificatiesessie, bijvoorbeeld cookies, moet overeenkomen met die van het verificatietoken. Als u deze optie inschakelt, overschrijft deze waarde de waarde van Tijdsduur verlopen toepassingscookie in de site-instelling Authentication/ApplicationCookie/ExpireTimeSpan.

  • Toewijzing van contactpersoon aan e-mailadres: deze instelling bepaalt of contactpersonoen worden toegewezen aan een bijbehorend e-mailadres wanneer ze zich aanmelden.

    • Aan: koppelt een uniek contactpersoonrecord aan een overeenkomend e-mailadres en wijst automatisch de externe identiteitsprovider toe aan de contactpersoon nadat de gebruiker zich heeft aangemeld.
    • Uit

Opmerking

De aanvraagparameter UI_Locales wordt automatisch verzonden in de verificatieaanvraag en ingesteld op de taal die is geselecteerd in de portal.

Zie ook

Een OpenID Connect-provider instellen met Azure Active Directory (Azure AD) B2C
Een OpenID Connect-provider instellen met Microsoft Entra ID
Veelgestelde vragen over OpenID Connect