Zdieľať cez

Konfigurácia nastavenia poskytovateľa OpenID Connect pre portály

  • Článok

Poznámka

S účinnosťou od 12. októbra 2022 sa portály Power Apps nazývajú Power Pages. Ďalšie informácie: Služba Microsoft Power Pages je teraz všeobecne dostupná (blog)
Čoskoro vykonáme migráciu a zlúčenie dokumentácie k portálom Power Apps s dokumentáciou k službe Power Pages.

Externí poskytovatelia identity OpenID Connect predstavujú služby, ktoré zodpovedajú požiadavkám Open ID Connect. OpenID Connect predstavuje koncept ID tokenu, čo je bezpečnostný token, ktorý umožňuje klientovi overiť identitu používateľa. Token ID tiež získa základné profilové informácie o používateľovi—všeobecne známe ako nároky.

Tento článok vysvetľuje, ako poskytovateľa identity, ktorý podporuje OpenID Connect, možno integrovať do portálov Power Apps. Niektoré z príkladov poskytovateľov OpenID Connect pre portály: Azure Active Directory (Azure AD) B2C,Azure AD, Azure AD s viacerými nájomníkmi.

Podporované a nepodporované postupy overovania na portáloch

  • Implicitné udelenie
    • Tento postup je predvolená metóda overovania používaná portálmi.
  • Kód oprávnenia
    • Portály používajú metódu client_secret_post na komunikáciu s koncovým bodom tokenu servera identity.
    • Používanie private_key_jwt na overenie pomocou koncového bodu tokenu nie je podporované.
  • Hybridné (obmedzená podpora)
    • Portály vyžadujú prítomnosť id_token v odpovedi, a preto nie je hodnota response_type ako kódový token podporovaná.
    • Hybridný postup na portáloch sleduje rovnaký postup ako postup Implicitné udeľovanie a používa id_token na priame prihlásenie používateľov.
  • Portály nepodporujú na overovanie používateľov techniky založené na PKCE– (Proof Key for Code Exchange).

Poznámka

Zmeny nastavení overovania na portáli môžu trvať niekoľko minút. Reštartujte portál pomocou akcií portálu, ak chcete zmeny okamžite zohľadniť.

Konfigurovať poskytovateľa protokolu OpenID Connect

Podobne ako u všetkých ostatných poskytovateľov sa musíte prihlásiť do Power Apps a nakonfigurovať poskytovateľa OpenID Connect.

  1. Vyberte Pridať poskytovateľa pre váš portál.

  2. Pri Poskytovateľ prihlásenia stlačte Ostatné.

  3. Pri Protokol stlačte OpenID Connect.

  4. Zadajte názov poskytovateľa.

    Názov poskytovateľa.

  5. Vyberte Ďalej.

  6. Vytvorte aplikáciu a nakonfigurujte nastavenia u svojho poskytovateľa identity.

    Vytvorenie aplikácie.

    Poznámka

    Adresa URL odpovede slúži aplikácii na presmerovanie používateľov na portál po úspešnom overení. Ak váš portál používa vlastný názov domény, môžete mať inú adresu URL než tú, ktorá je tu uvedená.

  7. Zadajte nasledujúce nastavenia lokality na konfiguráciu portálu.

    Konfigurácia nastavení lokality OpenID.

    Poznámka

    Nezabudnite to skontrolovať — a ak sa vyžaduje, zmeniť — predvolené hodnoty.

    Meno Popis
    Autorita URL adresa autority (alebo vydavateľa) priradená k poskytovateľovi identity.
    Príklad (Azure AD): https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/
    ID klienta ID aplikácie vytvorenej s poskytovateľom identity, ktorá sa má použiť s portálom.​
    URL adresa presmerovania Umiestnenie, kam poskytovateľ identity odošle odpoveď overovania.​
    Príklad: https://contoso-portal.powerappsportals.com/signin-openid_1
    Poznámka: Ak používate predvolenú adresu URL portálu, skopírujte a vložte adresu URL odpovede ako je uvedené v nastaveniach Vytvorenie a konfigurácia poskytovateľa OpenID Connect. Ak používate vlastný názov domény, zadajte adresu URL manuálne. Uistite sa však, že tu zadaná hodnota je úplne rovnaká ako hodnota Adresa URI presmerovania pre aplikáciu v konfigurácii poskytovateľa identity (ako napríklad portál Azure).
    Adresa metaúdajov Koncový bod objavenia pre získanie metaúdajov. Bežný formát: [Authority URL]/.well-known/openid-configuration.
    Príklad (Azure AD): https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/v2.0/.well-known/openid-configuration
    Scope Zoznam rozsahov oddelených medzerou na účely vyžiadania prostredníctvom parametra rozsahu OpenID Connect.
    Predvolená hodnota: openid
    Príklad (Azure AD): openid profile email
    Viac informácií: Konfigurácia ďalších nárokov pri používaní OpenID Connect pre portály s Azure AD
    Typ odpovede ​Hodnota parametra response_type v rámci protokolu OpenID Connect.
    Možné hodnoty:
    • code
    • code id_token
    • id_token
    • id_token token
    • code id_token token

    Predvolená hodnota: code id_token
    Tajný kľúč klienta Hodnota tajomstva klienta od poskytovateľa aplikácie. Možno na to odkazovať aj ako na tajomstvo aplikácie alebo tajomstvo zákazníka. Toto nastavenie je potrebné, ak je zvolený typ odpovede code.
    Režim odozvy Hodnota parametra response_mode pre OpenID Connect. Hodnota by mala byť query, ak je vybratým typom odpovede code. Predvolená hodnota: form_post

  8. Nakonfigurujte nastavenia na odhlásenie používateľov.

    Nastavenia odhlásenia.

    Meno Popis
    Externé odhlásenie Zapína alebo vypína odhlásenie externého účtu. Ak je táto možnosť povolená, používatelia budú presmerovaní na externé odhlásenie používateľa pri ich odhlásení z portálu. Ak je zakázaná, používatelia sú odhlásení iba z portálu.
    URL adresa presmerovania po odhlásení​ ​Umiestnenie, kam sa poskytovateľ identity presmeruje používateľa po externom odhlásení. Toto umiestnenie by malo byť tiež správne nastavené v konfigurácii poskytovateľa identity.
    Odhlásenie iniciované priestupnou organizáciou Povolí alebo zakáže odhlásenie iniciované závislou stranou. Ak chcete použiť toto nastavenie, je potrebné najskôr povoliť externé odhlásenie.

  9. (Voliteľné) Konfigurácia ďalších nastavení.

    Dodatočné nastavenia.

    Meno Popis
    Filter vydavateľa Filtrovanie podľa zástupných výrazov, ktoré sa zhoduje pri všetkých vydavateľoch naprieč všetkými nájomníkmi.
    Príklad: https://sts.windows.net/*/
    Overenie cieľovej skupiny ​Ak je táto možnosť povolená, publikum bude overené počas overenia tokenu.
    Platné cieľové skupiny Zoznam URL adries publík oddelených čiarkou.
    Overenie vydavateľov Ak je táto možnosť povolená, vydavateľ bude overený počas overenia tokenu.
    Platní vydavatelia Zoznam URL adries vydavateľa oddelených čiarkou.
    Mapovanie nárokov na registráciu Zoznam logických párov názov/nárok na mapovanie hodnôt nárokov vrátených poskytovateľom počas registrácie pre atribúty záznamu kontaktu.
    Formát: field_logical_name=jwt_attribute_name, kde field_logical_name je logický názov poľa na portáloch ajwt_attribute_name je atribút s hodnotou vrátenou od poskytovateľa identity.
    Príklad: firstname=given_name,lastname=family_name pri použití Rozsahu ako profile pre Azure AD. V tomto príklade firstname a lastname sú logické názvy profilových polí na portáloch, zatiaľ čo given_name a family_name sú atribúty s hodnotami vrátenými poskytovateľom identity pre príslušné polia.
    Mapovanie nárokov na prihlásenie Zoznam logických párov názov/nárok na mapovanie hodnôt nárokov vrátených poskytovateľom počas každého prihlásenia k atribútom záznamu kontaktu.
    Formát: field_logical_name=jwt_attribute_name, kde field_logical_name je logický názov poľa na portáloch ajwt_attribute_name je atribút s hodnotou vrátenou od poskytovateľa identity.
    Príklad: firstname=given_name,lastname=family_name pri použití Rozsahu ako profile pre Azure AD. V tomto príklade firstname a lastname sú logické názvy profilových polí na portáloch, zatiaľ čo given_name a family_name sú atribúty s hodnotami vrátenými poskytovateľom identity pre príslušné polia.
    Životnosť hodnoty Nonce Životnosť hodnoty nonce, v minútach. Predvolené: 10 minút
    Použiť životnosť tokenu Označuje, že životnosť relácie overovania (napríklad súbory cookie) by sa mala zhodovať so životnosťou tokenu overovania. Ak je zadaná, táto hodnota prepíše hodnotu Časové rozpätie uplynutia platnosti súboru v nastaveniach lokality Authentication/ApplicationCookie/ExpireTimeSpan.
    Mapovanie kontaktu pomocou e-mailu Určte, či sa kontakty priraďujú na príslušný e-mail.
    Ak je nastavený na Zap., jedinečný záznam kontaktu je priradený k zodpovedajúcej e-mailovej adrese, čo priraďuje externého poskytovateľa identity ku kontaktu po úspešnom prihlásení používateľa.

    Poznámka

    Parameter požiadavky UI_Locales bude teraz automaticky odosielaný v žiadosti o autentifikáciu a bude nastavený na jazyk vybraný na portáli.

Úprava poskytovateľa protokolu OpenID Connect

Informácie o úprave nakonfigurovaného poskytovateľa OpenID Connect nájdete v časti Úprava poskytovateľa.

Pozrite si tiež

Nakonfigurujte poskytovateľa OpenID Connect pre portály s Azure AD
Časté otázky týkajúce sa používania OpenID Connect v portáloch

Poznámka

Môžete nás informovať o svojich voľbách jazyka pre dokumentáciu? Absolvujte krátky prieskum. (upozorňujeme, že tento prieskum je v angličtine)

Prieskum bude trvať približne sedem minút. Nezhromažďujú sa žiadne osobné údaje (vyhlásenie o používaní osobných údajov).