Partajați prin

Configurarea unui furnizor OpenID Connect

  • Articol

Furnizorii de identitate OpenID Connect sunt servicii conforme cu specificația Open ID Connect. OpenID Connect introduce conceptul de token ID. Un token ID este un token de securitate care permite unui client să verifice identitatea unui utilizator. Acesta obține, de asemenea, informații de profil de bază despre utilizatori, cunoscute în mod obișnuit ca revendicări.

Furnizorii OpenID Connect Azure AD B2C, Microsoft Entra ID și Microsoft Entra ID cu mai mulți chiriași sunt încorporate în Power Pages. Acest articol explică cum să adăugați alți furnizori de identitate OpenID Connect pe site-ul dvs. Power Pages .

Fluxuri de autentificare acceptate și neacceptate în Power Pages

  • Acordare implicită
    • Acest flux este metoda implicită de autentificare utilizată de site-uri Power Pages.
  • Cod de autorizare
    • Power Pages utilizează metoda client_secret_post pentru a comunica cu punctul final al tokenului pentru serverul de identitate.
    • Metoda private_key_jwt nu este acceptată pentru autentificare cu token de punct final.
  • Hibrid (suport restricționat)
    • Power Pages necesită prezența id_token în răspuns, astfelcă response_type = token cod nu este acceptată.
    • Fluxul hibrid din Power Pages urmează același flux ca acordarea implicită și utilizează id_token pentru a conecta direct utilizatorii.
  • Proof Key for Code Exchange (PKCE)
    • Tehnicile bazate pe PKCE pentru autentificarea utilizatorilor nu sunt acceptate.

Notă

Modificările setărilor de autentificare pe site-ul dvs. pot dura câteva minute pentru a se reflecta asupra site-ului. Pentru a vedea modificările imediat, reporniți site-ul în centrul de administrare.

Configurarea unui furnizor OpenID Connect în Power Pages

  1. Pe site-ul dvs. Power Pages, selectați Configurare>Furnizori de identitate.

    Dacă nu apare niciun furnizor de identitate, asigurați-vă că Conectare externă este setat la Activat în setările de autentificare generale ale site-ului dvs.

  2. Selectați + Furnizor nou.

  3. Sub Selectare furnizor de conectare, selectați Altul.

  4. Sub Protocol, selectați OpenID Connect.

  5. Introduceți un nume pentru furnizor.

    Numele furnizorului este textul de pe butonul pe care utilizatorii îl văd când își selectează furnizorul de identitate pe pagina de conectare.

  6. Selectați Următorul.

  7. Sub Adresa URL de răspuns, selectați Copiere.

    Nu închideți fila de browser Power Pages. Veți reveni la ea în curând.

Crearea unei înregistrări a aplicației în furnizorul de identitate

  1. Creați și înregistrați o aplicație la furnizorul dvs. de identitate utilizând adresa URL de răspuns pe care ați copiat-o.

  2. Copiați aplicația sau ID-ul clientului și secretul clientului.

  3. Găsiți punctele finale ale aplicației și copiați adresa URL a documentului de metadate OpenID Connect.

  4. Modificați alte setări după cum este necesar pentru furnizorul dvs. de identitate.

Introducerea setărilor site-ului în Power Pages

Reveniți la pagina Power Pages Configurare furnizor de identitate pe care ați părăsit-o mai devreme și introduceți următoarele valori. Opțional, modificați setările suplimentare după cum este necesar. Selectați Confirmare atunci când ați terminat.

  • Autoritate: introduceți adresa URL a autorității în următorul format: https://login.microsoftonline.com/<Directory (tenant) ID>/, unde <ID director (entitate găzduită)> este ID-ul directorului (entitate găzduită) aplicației pe care ați creat-o. De exemplu, dacă ID director (entitate găzduită) în portalul Azure este 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, URL-ul autorității este https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • ID client​: inserați aplicația sau ID-ul de client al aplicației pe care ați creat-o.

  • Adresă URL de redirecționare: dacă site-ul dvs. folosește un nume de domeniu particularizat, introduceți adresa URL particularizată; în caz contrar, lăsați valoarea implicită. Asigurați-vă că valoarea este exact aceeași cu adresa URI de redirecționare a aplicației pe care ați creat-o.

  • Adresă metadate: inserați adresa URL a documentului cu metadate OpenID Connect pe care ați copiat-o.

  • Domeniu: introduceți o listă separată prin spații a domeniilor de aplicare de solicitat utilizând parametrul scope OpenID Connect. Valoarea implicită este openid.

    Valoarea openid este obligatorie. Aflați despre alte revendicări pe care le puteți adăuga.

  • Tip de răspuns: introduceți valoarea parametrului response_type OpenID Connect. Valorile posibile includ code, code id_token, id_token, id_token token și code id_token token. Valoarea implicită este code id_token.

  • Secret client: inserați secretul clientului din aplicația de furnizor. Acesta poate fi denumit ca un secret aplicație sau secret consumator. Această setare este necesară dacă tipul de răspuns este code.

  • Mod de răspuns: introduceți valoarea parametrului response_mode al OpenID Connect. Aceasta trebuie să fie query dacă tipul de răspuns este code. Valoarea implicită este form_post.

  • Deconectare externă: această setare controlează dacă site-ul dvs. utilizează deconectare federalizată. Cu deconectarea federalizată, atunci când utilizatorii se deconectează de la o aplicație sau de la un site, ei sunt, de asemenea, deconectați de la toate aplicațiile și site-urile care folosesc același furnizor de identitate. Activați-o pentru a redirecționa utilizatorii către experiența de utilizator deconectare federalizată atunci când se deconectează de la site-ul dvs. web. Dezactivați-o pentru a deconecta numai utilizatorii de pe site-ul dvs. web.

  • Adresă URL de redirecționare după deconectare: introduceți adresa URL la care furnizorul de identitate va redirecționa utilizatorii după ce aceștia se deconectează. Această locație ar trebui să fie setată corespunzător în configurația furnizorului de identitate.

  • Deconectare inițiată de RP: Această setare controlează dacă partea de încredere — aplicația client OpenID Connect — poate deconecta utilizatorii. Pentru a utiliza această setare, activați Deconectare externă.

Setări suplimentare în Power Pages

Setările suplimentare vă oferă un control mai fin asupra modului în care utilizatorii se autentifică cu furnizorul dvs. de identitate OpenID Connect. Nu trebuie să setați niciuna dintre aceste valori. Sunt complet optionale.

  • Filtru emitent: introduceți un filtru bazat pe caractere wildcard care se potrivește cu toți emitenții din toate entitățile găzduite; de exemplu https://sts.windows.net/*/. Dacă utilizați un Microsoft Entra furnizor de autentificare ID, filtrul URL al emitentului ar fi https://login.microsoftonline.com/*/v2.0/.

  • Validare public: activați această setare pentru a valida publicul în timpul validării tokenului.

  • Segmente de public valide: introduceți o listă separată prin virgule a adreselor URL de public.

  • Validare emitenți: activați această setare pentru a valida emitentul în timpul validării tokenului.

  • Emitenți valizi: introduceți o listă separată prin virgule a adreselor URL de emitent.

  • Maparea revendicărilor de înregistrare​ și Maparea revendicărilor de conectare: în autentificarea utilizatorului, o revendicare este informația care descrie identitatea unui utilizator, cum ar fi o adresă de e-mail sau data nașterii. Când vă conectați la o aplicație sau un site web, acesta creează un token. Un token conține informații despre identitatea dvs., inclusiv orice revendicări care sunt asociate cu acesta. Tokenurile sunt folosite pentru a vă autentifica identitatea atunci când accesați alte părți ale aplicației sau site-ului sau alte aplicații și site-uri care sunt conectate la același furnizor de identitate. Maparea revendicărilor este o modalitate de a modifica informațiile care sunt incluse într-un token. Poate fi folosit pentru a personaliza informațiile disponibile pentru aplicație sau site și pentru a controla accesul la funcții sau date. Maparea revendicărilor de înregistrare modifică revendicările care sunt emise atunci când vă înregistrați pentru o aplicație sau un site. Maparea revendicărilor de conectare modifică revendicările care sunt emise atunci când vă conectați la o aplicație sau un site. Aflați mai multe despre politicile de mapare a revendicărilor.

  • Durată de viață nonce: introduceți durata de viață a valorii nonce, în minute. Valoarea implicită este de 10 de minute.

  • Utilizare durată de viață token: această setare controlează dacă durata de viață a sesiunii de autentificare, cum ar fi modulele cookie, ar trebui să se potrivească cu cea a tokenului de autentificare. Dacă o activați, această valoare înlocuiește valoarea perioadei de expirare a modulului cookie de aplicație în setarea site-ului Authentication/ApplicationCookie/ExpireTimeSpan.

  • Maparea persoanei de contact cu e-mailul: această setare determină dacă persoanele de contact sunt mapate la o adresă de un e-mail corespunzătoare atunci când se conectează.

    • Activat: asociază o înregistrare persoană de contact unică unei adrese de e-mail care se potrivește și apoi atribuie automat furnizorul de identitate extern persoanei de contact după ce utilizatorul se conectează cu succes.
    • Dezactivat

Notă

Parametrul de solicitare UI_Locales este trimis automat în solicitarea de autentificare și este setat la limba selectată în portal.

Consultați și

Configurați un furnizor OpenID Connect cu Azure Active Directory (Azure AD) B2C
Configurați un furnizor OpenID Connect cu Microsoft Entra ID
Întrebări frecvente despre OpenID Connect