Często zadawane pytania na temat korzystania z funkcji OpenID Connect w portalach
Uwaga
12 października 2022 r. funkcja Portale usługi Power Apps została przekształcona w usługę Power Pages. Więcej informacji: Usługa Microsoft Power Pages jest teraz ogólnie dostępna (blog)
Wkrótce zmigrujemy i scalimy dokumentację funkcji Portale usługi Power Apps z dokumentacją usługi Power Pages.
W tym artykule zamieszczono informacje na temat popularnych scenariuszy portali Power Apps i często zadawane pytania dotyczące stosowania dostawcy uwierzytelnienia zgodnego ze specyfikacją OpenID Connect.
Czy do integracji z portalami potrzebuję dokumentu automatycznego wykrywania OpenID Connect?
Tak. Dokument automatycznego wykrywania (znany również jako /.well-known/openid-configuration) jest wymagany do integracji z portalami. Informacje zawarte w tym dokumencie są używane przez portale do tworzenia żądań autoryzacji oraz weryfikowania tokenów uwierzytelniania.
Jeśli Twój dostawca tożsamości nie zawiera tego dokumentu, można utworzyć go ręcznie i hostować go w dowolnej publicznej lokalizacji (w tym także w portalu).
Uwaga
Podobnie jak w przypadku dokumentu wykrywania, portale również wymagają od dostawcy tożsamości dostarczenia publicznego punktu końcowego JWKS URI, w którym dostępne są klucze publiczne do weryfikacji sygnatury tokenu identyfikatora. Ten punkt końcowy należy określić w dokumencie wykrywania jako klucz jwks_uri.
Czy portale obsługują acr_values żądań uwierzytelnienia?
Nie Portale nie obsługują parametrów żądania acr_values w żądaniach autoryzacji. Funkcja portali obsługuje jednak wszystkie wymagane — i zalecane — parametry żądania, które zdefiniowano w specyfikacji OpenID Connect.
Obsługiwane są następujące parametry opcjonalne:
- Response_mode
- Nonce
- UI_Locales
Czy portale obsługują parametry zakresu niestandardowego w żądaniach uwierzytelnienia?
Tak. Parametry zakresu niestandardowego można określić za pomocą opcji zakresu podczas konfiguracji.
Dlaczego wartość nazwy użytkownika w kontakcie lub rekord tożsamości zewnętrznej w usłudze Dataverse, pokazuje inną wartość w porównaniu z wartością wprowadzoną przez użytkownika na stronie logowania?
Pole nazwy użytkownika w rekordzie kontaktu i rekordzie tożsamości zewnętrznej będzie zawierać wartość wysłaną w oświadczeniu podrzędnym lub oświadczeniu identyfikatora obiektu (OID) (dla dostawców opartych na usłudze Azure AD–). Wynika to z faktu, że oświadczenie podrzędne reprezentuje identyfikator użytkownika końcowego i jest gwarantowane przez dostawcę tożsamości jako unikatowe. Oświadczenie OID (w którym identyfikator obiektu to unikatowy identyfikator dla wszystkich użytkowników w dzierżawcy) jest obsługiwane w przypadku używania z dostawcami opartymi na usłudze Azure AD– z jedną dzierżawą.
Czy portale obsługują wylogowywanie się z dostawców opartych na programie–OpenID Connect?
Tak. Funkcja portali obsługuje technikę wylogowania z kanału frontowego w celu wylogowania się zarówno z aplikacji, jak i dostawców opartych na–OpenID Connect.
Czy portale obsługują jednokrotne wylogowanie?
Nie. Portale nie obsługują techniki pojedynczego wylogowania dla dostawców opartych na–OpenID Connect.
Czy portale wymagają określonego oświadczenia w tokenie identyfikatora*?
Oprócz wszystkich wymaganych oświadczeń funkcja portali wymagają oświadczenia, które reprezentuje adresy e-mail użytkowników w tokenie identyfikatora. To oświadczenie musi mieć nazwę email, emails lub upn.
Oprócz wszystkich wymaganych oświadczeń portale wymagają oświadczenia, które reprezentuje adresy e-mail użytkowników w id_token. To roszczenie musi mieć nazwę „e-mail”, „e-maile” lub „upn”.
Te oświadczenia są przetwarzane w następującej kolejności według priorytetu, które można ustawić jako Podstawowy adres e-mail rekordu kontaktu w Dataverse:
- adres e-mail
- wiadomości e-mail
- upn
Podczas używania „mapowania roszczeń do adresu e-mail” jest również używane do wyszukiwania istniejącego kontaktu (pole Podstawowy adres e-mail w usłudze Dataverse).
Czy mogę uzyskać dostęp do tokenów (identyfikator lub dostęp) przy użyciu języka JavaScript?
Nie. Token identyfikatora dostarczony przez dostawcę tożsamości nie jest udostępniany za pośrednictwem standardowej techniki po stronie klienta; i jest używany tylko w celu uwierzytelniania. Jeśli jednak jest używany przepływ niejawnego udzielania, można użyć metod dostarczanych przez dostawcę tożsamości w celu uzyskania dostępu do tokenów identyfikatorów i tokenów dostępu.
Na przykład usługa Azure AD oferuje bibliotekę Microsoft Authentication Library, aby zrealizować ten scenariusz w ramach klientów.
Czy mogę użyć niestandardowego dostawcy OpenID Connect zamiast usługi Azure AD?
Tak. Portale obsługują wszystkich dostawców OpenID Connect, którzy obsługują standardową specyfikację OpenID Connect.
Zobacz także
Konfigurowanie dostawcy OpenID Connect dla portali
Uwaga
Czy możesz poinformować nas o preferencjach dotyczących języka dokumentacji? Wypełnij krótką ankietę. (zauważ, że ta ankieta jest po angielsku)
Ankieta zajmie około siedmiu minut. Nie są zbierane żadne dane osobowe (oświadczenie o ochronie prywatności).
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla