Udostępnij przez

Dodaj OpenID Connect jako zewnętrznego dostawcę tożsamości

Dotyczy: Zielony okrąg z białym symbolem znacznika wyboru, który wskazuje następującą zawartość ma zastosowanie do dzierżaw zewnętrznych. Dzierżawy zewnętrzne (dowiedz się więcej)

Konfigurując federację przy użyciu niestandardowego dostawcy tożsamości OpenID Connect (OIDC), możesz zezwolić użytkownikom na tworzenie kont i logowanie się do aplikacji przy użyciu istniejących kont od dostawcy federacyjnego zewnętrznego. Ta federacja OIDC umożliwia uwierzytelnianie z różnymi dostawcami, którzy są zgodni z protokołem OpenID Connect.

Po dodaniu dostawcy tożsamości OIDC do opcji logowania się w przepływie użytkownika, użytkownicy mogą się zarejestrować i zalogować do zarejestrowanych aplikacji zdefiniowanych w tym przepływie użytkownika. Mogą to zrobić przy użyciu swoich poświadczeń od dostawcy tożsamości OIDC. (Dowiedz się więcej na temat metod uwierzytelniania i dostawców tożsamości dla klientów.)

Warunki wstępne

Skonfiguruj dostawcę tożsamości OpenID Connect

Aby móc sfederować użytkowników z Twoim dostawcą tożsamości, należy najpierw przygotować dostawcę tożsamości do akceptowania żądań federacji przez zewnętrznego dzierżawcę. W tym celu należy uzupełnić URI do przekierowania i zarejestrować się u dostawcy tożsamości, aby zostać rozpoznanym przez system.

Przed przejściem do następnego kroku wypełnij identyfikatory URI przekierowania w następujący sposób:

https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2

https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

Włącz logowanie i rejestrację przez dostawcę tożsamości

Aby włączyć logowanie i rejestrowanie użytkowników przy użyciu konta w dostawcy tożsamości, musisz zarejestrować identyfikator Entra firmy Microsoft jako aplikację u dostawcy tożsamości. Ten krok umożliwia dostawcy tożsamości rozpoznanie i wystawianie tokenów dla identyfikatora Entra firmy Microsoft na potrzeby federacji. Zarejestruj aplikację, używając swoich skonfigurowanych adresów URI do przekierowania. Zapisz szczegóły konfiguracji dostawcy usług identyfikacyjnych, aby skonfigurować federację w swojej dzierżawie zewnętrznej.

Ustawienia federacji

Aby skonfigurować federację openID connect z dostawcą tożsamości w usłudze Microsoft Entra External ID, musisz mieć następujące ustawienia:

  • dobrze znany punkt końcowy
  • URI wystawcy
  • identyfikator klienta
  • Metoda uwierzytelniania klienta
  • klucz tajny klienta
  • Zakres
  • typ odpowiedzi
  • Mapowanie oświadczeń
    • Subskrybuj
    • Nazwa
    • Imię
    • Nazwisko
    • Wiadomość e-mail (wymagana)
    • Email_zweryfikowany
    • Numer telefonu
    • Numer_telefonu_zweryfikowany
    • Adres ulicy
    • Miejscowość
    • Rejon
    • Kod pocztowy
    • Kraj

Konfigurowanie nowego dostawcy tożsamości OpenID Connect w centrum administracyjnym

Po skonfigurowaniu dostawcy tożsamości w tym kroku skonfigurujesz nową federację openID connect w centrum administracyjnym firmy Microsoft Entra.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator ds. Zewnętrznych Dostawców Tożsamości.

  2. Przejdź do witryny Entra ID>External Identities>Wszyscy dostawcy tożsamości.

  3. Wybierz kartę Niestandardowe, a następnie wybierz pozycję Dodaj nowy>Open ID Connect.

    Zrzut ekranu przedstawiający dodawanie nowego niestandardowego dostawcy tożsamości.

  4. Wprowadź następujące szczegóły dla dostawcy tożsamości:

    • Nazwa wyświetlana: Nazwa dostawcy tożsamości, która będzie wyświetlana użytkownikom podczas logowania i rejestracji. Na przykład zaloguj się przy użyciu nazwy dostawcy tożsamości lub utwórz konto przy użyciu nazwy dostawcy tożsamości.

    • dobrze znany punkt końcowy (znany również jako identyfikator URI metadanych) to identyfikator URI odnajdywania OIDC, aby uzyskać informacje o konfiguracji dostawcy tożsamości. Odpowiedź, która ma zostać pobrana z dobrze znanej lokalizacji, to dokument JSON, w tym lokalizacje punktów końcowych protokołu OAuth 2.0. Dokument metadanych powinien zawierać co najmniej następujące właściwości: issuer, , authorization_endpoint, token_endpointtoken_endpoint_auth_methods_supported, response_types_supported, subject_types_supported, i jwks_uri. Zobacz specyfikacje OpenID Connect Discovery po więcej szczegółów.

    • identyfikator URI wystawcy OpenID: jednostka dostawcy tożsamości, która wystawia tokeny dostępu dla aplikacji. Jeśli na przykład używasz narzędzia OpenID Connect do federacji z usługą Azure AD B2C, identyfikator URI wystawcy może zostać pobrany z identyfikatora URI odnajdywania z tagiem "wystawca" i będzie wyglądać następująco: https://login.b2clogin.com/{tenant}/v2.0/. Identyfikator URI wystawcy to adres URL, który uwzględnia wielkość liter i używa schematu https. Zawiera host oraz opcjonalnie numer portu i składniki ścieżki, ale nie może zawierać składników zapytań ani fragmentów.

    Notatka

    Konfigurowanie innych dzierżaw Microsoft Entra jako zewnętrznych dostawców tożsamości nie jest aktualnie obsługiwane. Dlatego domena microsoftonline.com w identyfikatorze URI wystawcy nie jest akceptowana.

    • Identyfikator klienta i klucz tajny klienta to identyfikatory wykorzystywane przez dostawcę tożsamości do identyfikacji zarejestrowanej usługi aplikacji. W przypadku wybrania uwierzytelniania przy użyciu client_secret, należy podać tajny klucz klienta. Jeśli private_key_jwt jest wybrane, klucz publiczny musi zostać podany w metadanych dostawcy OpenID (znany punkt końcowy), które można pobrać za pośrednictwem właściwości jwks_uri.
    • Uwierzytelnianie klienta jest typem metody uwierzytelniania klienta używanej do uwierzytelniania u dostawcy tożsamości przy użyciu punktu końcowego tokenu. Metody uwierzytelniania client_secret_post, client_secret_jwt i private_key_jwt są obsługiwane.

    Notatka

    Ze względu na możliwe problemy z zabezpieczeniami metoda uwierzytelniania klienta client_secret_basic nie jest obsługiwana.

    • Zakres określa informacje i uprawnienia, które chcesz uzyskać od dostawcy tożsamości, na przykład openid profile. Żądania OpenID Connect muszą zawierać wartość zakresu openid, aby uzyskać token identyfikatora od dostawcy tożsamości. Inne zakresy można dołączać rozdzielając spacjami. Zapoznaj się z dokumentacją OpenID Connect, aby zobaczyć, jakie inne zakresy mogą być dostępne, takie jak profile, emailitp.
    • Typ odpowiedzi opisuje, jakiego rodzaju informacje są zwracane w początkowym wywołaniu do authorization_endpoint twojego dostawcy tożsamości. Obecnie obsługiwany jest tylko typ odpowiedzi code. id_token i token nie są obecnie obsługiwane.

  5. Możesz wybrać Dalej: Mapowanie oświadczeń, aby skonfigurować mapowanie oświadczeń lub Przejrzyj i stwórz, aby dodać dostawcę tożsamości.

Notatka

Firma Microsoft zaleca, aby nie używać niejawnego przepływu udzielania lub przepływu ROPC . W związku z tym konfiguracja zewnętrznego dostawcy tożsamości OpenID connect nie obsługuje tych przepływów. Zalecanym sposobem obsługi SPA jest przepływ kodu autoryzacji OAuth 2.0 (z PKCE), który jest obsługiwany przez konfigurację federacji OIDC.

Dodaj dostawcę tożsamości OIDC do przepływu użytkownika

Na tym etapie dostawca tożsamości OIDC został skonfigurowany w identyfikatorze Entra firmy Microsoft, ale nie jest jeszcze dostępny na żadnej ze stron logowania. Aby dodać dostawcę tożsamości OIDC do ścieżki użytkownika:

  1. W dzierżawie zewnętrznej przejdź do Entra ID>External Identities>Przepływy użytkownika.

  2. Wybierz scenariusz użytkownika, w którym chcesz dodać dostawcę tożsamości OIDC.

  3. W ustawieniach wybierz Dostawcy tożsamości.

  4. W obszarze Inni Dostawcy Tożsamości, wybierz dostawcę tożsamości typu OIDC.

    Zrzut ekranu niestandardowego dostawcy OIDC na liście IdP.

  5. Wybierz pozycję Zapisz.

Powiązana zawartość

  • Last updated on