Een OpenID Connect-provider instellen met Microsoft Entra ID
Microsoft Entra is een van de OpenID Connect-identiteitsproviders die u kunt gebruiken om bezoekers te verifiëren op uw Power Pages-site. Samen met Microsoft Entra ID, multitenant Microsoft Entra ID en Azure AD B2C kunt u elke andere provider gebruiken die voldoet aan de OpenID Connect-specificatie.
Dit artikel beschrijft de volgende stappen:
- Microsoft Entra instellen in Power Pages
- Een app-registratie maken in Azure
- Site-instellingen invoeren in Power Pages
- Multitenant Microsoft Entra-verificatie toestaan
Opmerking
Wijzigingen in de verificatie-instellingen van uw site kunnen enkele minuten op zich laten wachten voordat ze zichtbaar zijn op de site. Start de site opnieuw in het beheercentrum om de wijzigingen direct te zien.
Microsoft Entra instellen in Power Pages
Stel Microsoft Entra als een identiteitsprovider in voor uw site.
Selecteer op uw Power Pages-site de optie Beveiliging>Id-providers.
Als er geen id-providers verschijnen, zorg er dan voor dat Extern aanmelden is ingesteld op Aan in de algemene verificatie-instellingen van uw site.
Selecteer + Nieuwe provider.
Selecteer onder Aanmeldingsprovider selecteren de waarde Overig.
Selecteer bij Protocol de optie OpenID Connect.
Voer een naam voor de webinarprovider in, bijvoorbeeld Microsoft Entra ID.
De providernaam is de tekst op de knop die gebruikers zien wanneer ze hun id-provider selecteren op de aanmeldpagina.
Selecteer Volgende.
Onder Antwoord-URL selecteert u Kopiëren.
Sluit uw Power Pages-browsertabblad niet. U hebt het snel nodig.
Een app-registratie maken in Azure
Maak een app-registratie in de Azure-portal met de antwoord-URL van uw site als de omleidings-URI.
Meld u aan bij de Azure-portal.
Zoek naar en selecteer Azure Active Directory.
Selecteer App-registraties onder Beheren.
Selecteer Nieuwe registratie.
Voer een naam in.
Selecteer een van de ondersteunde accounttypen die het beste aansluit bij de vereisten van uw organisatie.
Selecteer onder Omleidings-URI de optie Web als het platform en voer vervolgens de antwoord-URL van uw site in.
- Als u de standaard-URL van uw site gebruikt, plakt u de antwoord-URL die u hebt gekopieerd.
- Voer de aangepaste URL in als u een aangepaste domeinnaam gebruikt. Zorg ervoor dat u dezelfde aangepaste URL gebruikt voor de omleidings-URL in de instellingen voor de identiteitsprovider op uw site.
Selecteer Registreren.
Kopieer de client-id van de toepassing.
Selecteer aan de rechterkant van Clientreferenties de optie Een certificaat of geheim toevoegen.
Selecteer + Nieuw clientgeheim.
Voer een optionele beschrijving in, selecteer een vervaldatum en selecteer vervolgens Toevoegen.
Selecteer onder Geheim-id het pictogram Kopiëren naar klembord .
Selecteer Eindpunten boven aan de pagina.
Zoek de URL van het OpenID Connect-metagegevensdocument en selecteer het kopieerpictogram.
Selecteer in het linkerdeelvenster onder Beheren de optie Verificatie.
Selecteer onder Impliciete toekenning de optie Id-tokens (gebruikt voor impliciete en hybride stromen).
Selecteer Opslaan.
Site-instellingen invoeren in Power Pages
Ga terug naar de Power Pages-pagina Identiteitsprovider configureren die u eerder hebt verlaten en voer de volgende waarden in. Wijzig desgewenst de aanvullende instellingen indien nodig. Selecteer Bevestigen als u gereed bent.
Autoriteit: voer de autoriteits-URL in de volgende indeling in:
https://login.microsoftonline.com/<Directory (tenant) ID>/
, waarbij <(tenant-)id van map> de (tenant-)id van de map is van de toepassing die u hebt gemaakt. Als de (tenant-)id van de map in de Azure Portal bijvoorbeeld7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb
is, ishttps://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/
de instantie-URL.Client-id: plak de toepassings- of client-id van de toepassing die u hebt gemaakt.
Omleidings-URL: als uw site een aangepaste domeinnaam gebruikt, voert u de aangepaste URL in; laat anders de standaardwaarde staan. Zorg ervoor dat de waarde precies hetzelfde is als de omleidings-URI van de toepassing die u hebt gemaakt.
Metagegevensadres: plak de URL van het OpenID Connect-metagegevensdocument die u hebt gekopieerd.
Bereik: voer
openid email
in.De
openid
-waarde is verplicht. Deemail
-waarde is optioneel. Deze zorgt ervoor dat het e-mailadres van de automatisch wordt ingevuld en wordt weergegeven op de profielpagina nadat de gebruiker zich heeft aangemeld. Meer informatie over andere claims die u kunt toevoegen.Responstype: selecteer
code id_token
.Clientgeheim: plak het clientgeheim vanuit de toepassing die u hebt gemaakt. Deze instelling is vereist als het responstype
code
is.Responsmodus: selecteer
form_post
.Externe afmelding: deze instelling bepaalt of uw site federatieve afmelding gebruikt. Met federatieve afmelding worden gebruikers die zich afmelden bij een toepassing of site, ook afgemeld bij alle toepassingen en sites die dezelfde identiteitsprovider gebruiken. Schakel deze optie in om gebruikers om te leiden naar de federatieve afmeldingservaring wanneer ze zich afmelden bij uw website. Schakel deze optie uit om gebruikers alleen van uw website af te melden.
Omleidings-URL na afmelding: voer de URL in waarnaar de id-provider gebruikers moet omleiden nadat zij zich hebben afgemeld. Deze locatie moet ook correct worden ingesteld in de configuratie van de id-provider.
Door RP geïnitieerde afmelding: deze instelling bepaalt of de Relying Party (de OpenID Connect-clienttoepassing) gebruikers kan afmelden. Als u deze instelling wilt gebruiken, schakelt u Externe afmelding in.
Aanvullende instellingen in Power Pages
De aanvullende instellingen geven u meer controle over hoe gebruikers zich verifiëren bij uw Microsoft Entra-identiteitsprovider. U hoeft geen van deze waarden in te stellen. Ze zijn volledig optioneel.
Filter van uitgever: voer een op jokertekens gebaseerd filter in dat overeenkomt met alle uitgevers voor alle tenants, bijvoorbeeld
https://sts.windows.net/*/
.Doelgroep valideren: schakel deze instelling in om de doelgroep te valideren tijdens tokenvalidatie.
Geldige doelgroepen: voer een door komma's gescheiden lijst met doelgroep-URL's in.
Uitgevers valideren: schakel deze instelling in om de uitgever te valideren tijdens tokenvalidatie.
Geldige uitgevers: voer een door komma's gescheiden lijst met uitgever-URL's in.
Toewijzing van registratieclaims en Toewijzing van aanmeldingsclaims: in gebruikersverificatie is een claim informatie die de identiteit van een gebruiker beschrijft, zoals een e-mailadres of geboortedatum. Wanneer u zich aanmeldt bij een applicatie of een website, maakt dit een token aan. Een token bevat informatie over uw identiteit, inclusief eventuele claims die daarmee verband houden. Tokens worden gebruikt om uw identiteit te verifiëren wanneer u toegang krijgt tot andere delen van de applicatie of site of andere applicaties en sites die zijn verbonden met dezelfde identiteitsprovider. Claims toewijzen is een manier om de informatie in een token te wijzigen. Het kan worden gebruikt om de informatie aan te passen die beschikbaar is voor de toepassing of site en om de toegang tot functies of gegevens te regelen. Toewijzing van registratieclaims wijzigt de claims die worden verzonden wanneer u zich registreert voor een toepassing of een site. Toewijzing van aanmeldingsclaims wijzigt de claims die worden verzonden wanneer u zich aanmeldt bij een toepassing of een site. Meer informatie over het claimtoewijzingsbeleid.
Nonce-levensduur: voer de levensduur van de nonce-waarde in minuten in. De standaardwaarde is 10 minuten.
Levensduur van token gebruiken: met deze instelling wordt bepaald of de levensduur van de verificatiesessie, bijvoorbeeld cookies, moet overeenkomen met die van het verificatietoken. Als u deze optie inschakelt, overschrijft deze waarde de waarde van Tijdsduur verlopen toepassingscookie in de site-instelling Authentication/ApplicationCookie/ExpireTimeSpan.
Toewijzing van contactpersoon aan e-mailadres: deze instelling bepaalt of contactpersonen worden toegewezen aan een bijbehorend e-mailadres wanneer ze zich aanmelden.
- Aan: koppelt een uniek contactpersoonrecord aan een overeenkomend e-mailadres en wijst automatisch de externe identiteitsprovider toe aan de contactpersoon nadat de gebruiker zich heeft aangemeld.
- Uit
Opmerking
De aanvraagparameter UI_Locales wordt automatisch verzonden in de verificatieaanvraag en ingesteld op de taal die is geselecteerd in de portal.
Aanvullende claims instellen
Schakel optionele claims in Microsoft Entra ID in.
Stel in Bereik de aanvullende claims in, bijvoorbeeld
openid email profile
..Stel de aanvullende site-instelling Toewijzing van registratieclaims in, bijvoorbeeld
firstname=given_name,lastname=family_name
.Stel de aanvullende site-instelling Toewijzing van aanmeldingsclaims in, bijvoorbeeld
firstname=given_name,lastname=family_name
.
In deze voorbeelden worden de voornaam, achternaam en e-mailadressen die bij de aanvullende claims worden geleverd, de standaardwaarden op de profielpagina op de website.
Opmerking
Claimtoewijzing wordt ondersteund voor gegevenstypen tekst en booleaans.
Multitenant Microsoft Entra-verificatie toestaan
Als u Microsoft Entra-gebruikers wilt toestaan zich te verifiëren vanuit elke tenant in Azure, niet alleen vanuit een specifieke tenant, wijzigt u de Microsoft Entra-toepassingsregistratie in multitenant.
U moet ook Filter van uitgever instellen in de aanvullende instellingen van uw provider.