Partajați prin

Configurarea unui furnizor OpenID Connect cu Microsoft Entra ID

  • Articol

Microsoft Entra este unul dintre furnizorii de identitate OpenID Connect pe care îi puteți utiliza pentru a autentifica vizitatorii site-ului dvs Power Pages . Împreună cu ID, ID-ul cu Microsoft Entra entități găzduite Microsoft Entra multiple și Azure AD B2C, puteți utiliza orice alt furnizor care respectă specificația Open ID Connect.

Acest articol descrie următorii pași:

Notă

Modificările setărilor de autentificare pe site-ul dvs. pot dura câteva minute pentru a se reflecta asupra site-ului. Pentru a vedea modificările imediat, reporniți site-ul în centrul de administrare.

Configurați Microsoft Entra în Power Pages

Setați Microsoft Entra ca furnizor de identitate pentru site-ul dvs.

  1. Pe site-ul dvs. Power Pages, selectați Configurare>Furnizori de identitate.

    Dacă nu apare niciun furnizor de identitate, asigurați-vă că Conectare externă este setat la Activat în setările de autentificare generale ale site-ului dvs.

  2. Selectați + Furnizor nou.

  3. Sub Selectare furnizor de conectare, selectați Altul.

  4. Sub Protocol, selectați OpenID Connect.

  5. Introduceți un nume pentru furnizor; de exemplu,ID Microsoft Entra .

    Numele furnizorului este textul de pe butonul pe care utilizatorii îl văd când își selectează furnizorul de identitate pe pagina de conectare.

  6. Selectați Următorul.

  7. Sub Adresa URL de răspuns, selectați Copiere.

    Nu închideți fila de browser Power Pages. Veți reveni la ea în curând.

Crearea unei înregistrări a aplicației în Azure

Creați o înregistrare a aplicației în portalul Azure cu adresa URL de răspuns a site-ului dvs. ca URI de redirecționare.

  1. Conectați-vă la portalul Azure.

  2. Căutați și selectați Azure Active Directory.

  3. Sub Administrare, selectați Înregistrări de aplicații.

  4. Selectați Înregistrare nouă.

  5. Introduceți un nume.

  6. Selectați unul dintre Tipurile de cont acceptate care reflectă cel mai bine cerințele organizației dvs.

  7. Sub URI de redirecționare, selectați Web ca platformă, apoi introduceți adresa URL de răspuns a site-ului dvs.

    • Dacă folosiți adresa URL prestabilită a site-ului, inserați adresa URL de răspuns pe care ați copiat-o.
    • Dacă utilizați un nume de domeniu personalizat, introduceți adresa URL particularizată. Asigurați-vă că utilizați aceeași adresă URL particularizată pentru adresa URL de redirecționare în setările pentru furnizorul de identitate de pe site-ul dvs.

  8. Selectați Înregistrare.

  9. Copiați ID-ul aplicației (client).

  10. La dreapta de Acreditări client, selectați Adăugare certificat sau secret.

  11. Selectați + Secret client nou.

  12. Introduceți o descriere opțională, selectați o valabilitate, apoi selectați Adăugare.

  13. Sub ID secret, selectați pictograma Copiare în clipboard.

  14. Selectați Puncte finale din partea de sus a paginii.

  15. Găsiți adresa URL a documentului de metadate OpenID Connect și selectați pictograma copiere.

  16. În panoul din stânga, sub Administrare, selectați Autentificare.

  17. Sub Acordare implicită, selectați Tokenuri de ID (utilizate pentru fluxuri implicite și hibride).

  18. Selectați Salvați.

Introducerea setărilor site-ului în Power Pages

Reveniți la pagina Power Pages Configurare furnizor de identitate pe care ați părăsit-o mai devreme și introduceți următoarele valori. Opțional, modificați setările suplimentare după cum este necesar. Selectați Confirmare atunci când ați terminat.

  • Autoritate: introduceți adresa URL a autorității în următorul format: https://login.microsoftonline.com/<Directory (tenant) ID>/, unde <ID director (entitate găzduită)> este ID-ul directorului (entitate găzduită) aplicației pe care ați creat-o. De exemplu, dacă ID director (entitate găzduită) în portalul Azure este 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, URL-ul autorității este https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • ID client​: inserați aplicația sau ID-ul de client al aplicației pe care ați creat-o.

  • Adresă URL de redirecționare: dacă site-ul dvs. folosește un nume de domeniu particularizat, introduceți adresa URL particularizată; în caz contrar, lăsați valoarea implicită. Asigurați-vă că valoarea este exact aceeași cu adresa URI de redirecționare a aplicației pe care ați creat-o.

  • Adresă metadate: inserați adresa URL a documentului cu metadate OpenID Connect pe care ați copiat-o.

  • Domeniu: introduceți openid email.

    Valoarea openid este obligatorie. Valoarea email este opțională; aceasta asigură că adresa de e-mail a utilizatorului este completată automat și afișată în pagina profilului după ce utilizatorul se conectează. Aflați despre alte revendicări pe care le puteți adăuga.

  • Tip de răspuns: selectați code id_token.

  • Secret client: inserați secretul clientului din aplicația pe care ați creat-o. Această setare este necesară dacă tipul de răspuns este code.

  • Mod de răspuns: selectați form_post.

  • Deconectare externă: această setare controlează dacă site-ul dvs. utilizează deconectare federalizată. Cu deconectarea federalizată, atunci când utilizatorii se deconectează de la o aplicație sau de la un site, ei sunt, de asemenea, deconectați de la toate aplicațiile și site-urile care folosesc același furnizor de identitate. Activați-o pentru a redirecționa utilizatorii către experiența de utilizator deconectare federalizată atunci când se deconectează de la site-ul dvs. web. Dezactivați-o pentru a deconecta numai utilizatorii de pe site-ul dvs. web.

  • Adresă URL de redirecționare după deconectare: introduceți adresa URL la care furnizorul de identitate va redirecționa utilizatorii după ce aceștia se deconectează. Această locație ar trebui să fie setată corespunzător în configurația furnizorului de identitate.

  • Deconectare inițiată de RP: Această setare controlează dacă partea de încredere — aplicația client OpenID Connect — poate deconecta utilizatorii. Pentru a utiliza această setare, activați Deconectare externă.

Setări suplimentare în Power Pages

Setările suplimentare vă oferă un control mai fin asupra modului în care utilizatorii se autentifică cu furnizorul dvs Microsoft Entra . de identitate. Nu trebuie să setați niciuna dintre aceste valori. Sunt complet optionale.

  • Filtru emitent: introduceți un filtru bazat pe caractere wildcard care se potrivește cu toți emitenții din toate entitățile găzduite; de exemplu https://sts.windows.net/*/.

  • Validare public: activați această setare pentru a valida publicul în timpul validării tokenului.

  • Segmente de public valide: introduceți o listă separată prin virgule a adreselor URL de public.

  • Validare emitenți: activați această setare pentru a valida emitentul în timpul validării tokenului.

  • Emitenți valizi: introduceți o listă separată prin virgule a adreselor URL de emitent.

  • Maparea revendicărilor de înregistrare​ și Maparea revendicărilor de conectare: în autentificarea utilizatorului, o revendicare este informația care descrie identitatea unui utilizator, cum ar fi o adresă de e-mail sau data nașterii. Când vă conectați la o aplicație sau un site web, acesta creează un token. Un token conține informații despre identitatea dvs., inclusiv orice revendicări care sunt asociate cu acesta. Tokenurile sunt folosite pentru a vă autentifica identitatea atunci când accesați alte părți ale aplicației sau site-ului sau alte aplicații și site-uri care sunt conectate la același furnizor de identitate. Maparea revendicărilor este o modalitate de a modifica informațiile care sunt incluse într-un token. Poate fi folosit pentru a personaliza informațiile disponibile pentru aplicație sau site și pentru a controla accesul la funcții sau date. Maparea revendicărilor de înregistrare modifică revendicările care sunt emise atunci când vă înregistrați pentru o aplicație sau un site. Maparea revendicărilor de conectare modifică revendicările care sunt emise atunci când vă conectați la o aplicație sau un site. Aflați mai multe despre politicile de mapare a revendicărilor.

  • Durată de viață nonce: introduceți durata de viață a valorii nonce, în minute. Valoarea implicită este de 10 de minute.

  • Utilizare durată de viață token: această setare controlează dacă durata de viață a sesiunii de autentificare, cum ar fi modulele cookie, ar trebui să se potrivească cu cea a tokenului de autentificare. Dacă o activați, această valoare înlocuiește valoarea perioadei de expirare a modulului cookie de aplicație în setarea site-ului Authentication/ApplicationCookie/ExpireTimeSpan.

  • Maparea persoanei de contact cu e-mailul: această setare determină dacă persoanele de contact sunt mapate la o adresă de un e-mail corespunzătoare atunci când se conectează.

    • Activat: asociază o înregistrare persoană de contact unică unei adrese de e-mail care se potrivește și apoi atribuie automat furnizorul de identitate extern persoanei de contact după ce utilizatorul se conectează cu succes.
    • Dezactivat

Notă

Parametrul de solicitare UI_Locales este trimis automat în solicitarea de autentificare și este setat la limba selectată în portal.

Configurarea solicitărilor suplimentare

  1. Activați revendicările opționale în Microsoft Entra ID.

  2. Setați Domeniu pentru a include solicitările suplimentare; de exemplu openid email profile.

  3. Setați setarea suplimentară a site-ului Maparea solicitărilor de înregistrare; de exemplu firstname=given_name,lastname=family_name.

  4. Setați setarea suplimentară a site-ului Maparea solicitărilor de conectare; de exemplu firstname=given_name,lastname=family_name.

În aceste exemplu, prenumele, numele de familie, și adresele de e-mail furnizate împreună cu revendicările suplimentare devin valorile implicite în pagina de profil pe site-ul web.

Notă

Maparea revendicărilor este acceptată pentru tipurile de date text și boolean.

Permiteți autentificarea cu mai multe entități găzduite Microsoft Entra

Pentru a permite Microsoft Entra utilizatorilor să se autentifice de la orice entitate găzduită din Azure, nu doar de la o anumită entitate găzduită, modificați Microsoft Entra înregistrarea aplicației la entitate găzduită multiplă.

De asemenea, trebuie să setați filtrul emitentului în setările suplimentare ale furnizorului dvs.

Consultați și

Întrebări frecvente despre OpenID Connect