Zdieľať cez

Nastavenie poskytovateľa protokolu OpenID Connect

  • Článok

Poskytovatelia identity OpenID Connect predstavujú služby, ktoré zodpovedajú požiadavkám Open ID Connect. OpenID Connect zavádza koncept tokenu ID. Token ID je token zabezpečenia, ktorý umožňuje klientovi overiť identitu používateľa. Navyše získa základné profilové informácie o používateľoch všeobecne známe ako nároky.

Poskytovatelia OpenID Connect Azure AD B2C, Microsoft Entra ID a Microsoft Entra ID s viacerými nájomníkmi sú zabudované Power Pages. Tento článok vysvetľuje, ako na vašu lokalitu Power Pages pridať ďalších poskytovateľov identity OpenID Connect.

Podporované a nepodporované postupy overovania v Power Pages

  • Implicitné udelenie
    • Tento postup je predvolená metóda overovania pre lokality Power Pages.
  • Kód oprávnenia
    • Služby Power Pages používajú metódu client_secret_post na komunikáciu s koncovým bodom tokenu servera identity.
    • Metóda private_key_jwt na overenie pomocou koncového bodu tokenu sa nepodporuje.
  • Hybridné (obmedzená podpora)
    • Power Pages vyžadujú prítomnosť id_token v odpovedi, a preto nie je hodnota response_type = ako kódový token podporovaná.
    • Hybridný postup v Power Pages sleduje rovnaký postup ako implicitné udeľovanie a používa id_token na priame prihlásenie používateľov.
  • Proof Key for Code Exchange (PKCE)
    • Techniky založené na PKCE na overovanie používateľov nie sú podporované.

Poznámka

Zmeny nastavení overovania na vašej lokalite sa môžu prejaviť o niekoľko minút. Ak chcete zmeny okamžite zobraziť, reštartujte lokalitu v centre pre správu.

Nastavenie poskytovateľa protokolu OpenID Connect v Power Pages

  1. Na svojej lokalite Power Pages zvoľte možnosť Nastaviť>Poskytovatelia identity.

    Ak sa nezobrazujú žiadni poskytovatelia identity, uistite sa, že je Externé prihlásenie nastavené na Zapnuté vo všeobecných nastaveniach overovania vašej lokality.

  2. Vyberte možnosť + Nový poskytovateľ.

  3. V časti Výber poskytovateľa prihlásenia stlačte Ostatné.

  4. V časti Protokol vyberte možnosť OpenID Connect.

  5. Zadajte názov poskytovateľa.

    Názov poskytovateľa je text na tlačidle, ktorý sa používateľom zobrazí pri výbere poskytovateľa identity na prihlasovacej stránke.

  6. Vyberte Ďalej.

  7. V časti Adresa URL odpovede vyberte možnosť Kopírovať.

    Nezatvárajte kartu prehliadača Power Pages. Čoskoro sa k nej vrátite.

Vytvorenie registrácie aplikácie u poskytovateľa identity

  1. Vytvorte a zaregistrujte aplikáciu u svojho poskytovateľa identity pomocou adresy URL odpovede, ktorú ste skopírovali.

  2. Skopírujte ID aplikácie alebo klienta a tajný kľúč klienta.

  3. Vyhľadajte koncové body aplikácie a skopírujte adresu URL dokumentu metadát OpenID Connect.

  4. Zmeňte ďalšie nastavenia poskytovateľa identity podľa potreby.

Zadanie nastavení lokality v Power Pages

Vráťte sa na stránku Power Pages Konfigurácia poskytovateľa identity, ktorú ste predtým opustili, a zadajte nasledujúce hodnoty. Podľa potreby môžete zmeniť ďalšie nastavenia. Po skončení vyberte možnosť Potvrdiť.

  • Autorita: Zadajte adresu URL autority v nasledujúcom formáte: https://login.microsoftonline.com/<Directory (tenant) ID>/, kde <ID adresára (nájomníka)> je ID adresára (nájomníka) aplikácie, ktorú ste vytvorili. Napríklad ak je ID adresára (nájomníka) na portáli Azure 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, adresa URL orgánu je https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • ID klienta​: Vložte ID aplikácie alebo klienta aplikácie, ktorú ste vytvorili.

  • URL presmerovania: Ak vaša lokalita používa vlastný názov domény, zadajte vlastnú adresu URL; v opačnom prípade ponechajte predvolenú hodnotu. Uistite sa, že hodnota je presne rovnaká ako URI presmerovania aplikácie, ktorú ste vytvorili.

  • Adresa metadát: Vložte adresu URL dokumentu metadát OpenID Connect, ktorú ste skopírovali.

  • Rozsah: Zadajte medzerami oddelený zoznam rozsahov používajúcich parameter scope OpenID Connect. Predvolená hodnota je openid.

    Hodnota openid je povinná. Prečítajte si o ďalších nárokoch, ktoré môžete pridať.

  • Typ odpovede: Zadajte hodnotu parametra response_type OpenID Connect. Možné hodnoty: code, code id_token, id_token, id_token token a code id_token token. Predvolená hodnota je code id_token.

  • Tajný kľúč klienta: Vložte tajný kľúč klienta z aplikácie poskytovateľa. Možno ho označovať aj ako tajný kľúč aplikácie alebo tajný kľúč zákazníka. Toto nastavenie je potrebné, ak je typ odpovede code.

  • Režim odpovede: Zadajte hodnotu parametra response_mode OpenID Connect. Mala by byť query, ak je typom odpovede code. Predvolená hodnota je form_post.

  • Externé odhlásenie: Toto nastavenie určuje, či vaša lokalita používa federatívne odhlásenie. Vďaka federatívnemu odhláseniu, keď sa používatelia odhlásia z aplikácie alebo lokality, zároveň sa odhlásia aj zo všetkých aplikácií a lokalít, ktoré používajú rovnakého poskytovateľa identity. Zapnite na presmerovanie používateľov pri odhlásení z lokality s funkciou federatívneho prostredia. Funkciu vypnite, ak chcete používateľa odhlásiť iba zo svojej webovej lokality.

  • Adresa URL presmerovania po odhlásení: Zadajte adresu URL, kam sprostredkovateľ identity presmeruje používateľa po odhlásení. Toto umiestnenie musí byť správne nastavené v konfigurácii sprostredkovateľa identity.

  • Odhlásenie začaté RP: Toto nastavenie určuje, či prijímajúca strana – klientska aplikácia OpenID Connect – môže odhlásiť používateľov. Ak chcete použiť toto nastavenie, je potrebné zapnúť externé odhlásenie.

Ďalšie nastavenia v službe Power Pages

Ďalšie nastavenia vám poskytujú jemnejšiu kontrolu nad tým, ako sa používatelia overujú u poskytovateľa identitu OpenID Connect. Nemusíte nastavovať žiadnu z týchto hodnôt. Sú úplne voliteľné.

  • Filter vydavateľa: Zadajte filter založený na zástupnom znaku, ktorý vyhľadá všetkých vydavateľov naprieč všetkými nájomníkmi, napr. https://sts.windows.net/*/. Ak používate Microsoft Entra poskytovateľa autorizácie ID, filter adresy URL vydavateľa by bol https://login.microsoftonline.com/*/v2.0/.

  • Overiť cieľovú skupinu: Zapnutím tohto nastavenia overíte cieľovú skupinu počas overovania tokenu.

  • Platné cieľové skupiny: Zadajte čiarkami oddelený zoznam adries URL cieľových skupín.

  • Overiť vydavateľov: Zapnutím tohto nastavenia overíte vydavateľa počas overovania tokenu.

  • Platní vydavatelia: Zadajte čiarkami oddelený zoznam adries URL vydavateľov.

  • Mapovanie nárokov na registráciu​ a Mapovanie nárokov na prihlásenie: Pri overovaní používateľa predstavujú nárok informácie, ktoré popisujú identitu používateľa, ako je e-mailová adresa alebo dátum narodenia. Keď sa prihlásite do aplikácie alebo webovej lokality, vytvorí sa token. Token obsahuje informácie o vašej identite, vrátane akýchkoľvek nárokov, ktoré sú s ním spojené. Tokeny sa používajú na overenie vašej identity, keď pristupujete k iným častiam aplikácie alebo lokality alebo iným aplikáciám a lokalitám, ktoré sú pripojené k rovnakému poskytovateľovi identity. Mapovanie nárokov je spôsob, ako zmeniť informácie obsiahnuté v tokene. Možno ho použiť na prispôsobenie informácií, ktoré má aplikácia alebo lokalita k dispozícii, a na kontrolu prístupu k funkciám alebo údajom. Mapovanie nárokov na registráciou upravuje nároky, ktoré sa vydávajú pri registrácii pre aplikáciu alebo lokalitu. Mapovanie nárokov na prihlásenie upravuje nároky, ktoré sa vydávajú pri prihlásení do aplikácie alebo lokality. Ďalšie informácie o zásadách upravujúcich nároky na mapovanie.

  • Životnosť hodnoty Nonce: Zadajte dĺžku trvania hodnoty Nonce v minútach. Predvolená hodnota je 10 minút.

  • Použiť životnosť tokenu: Toto nastavenie určuje, či sa životnosť relácie overovania, napríklad súbory cookie, zhoduje so životnosťou overovacieho tokenu. Ak túto funkciu zapnete, táto hodnota prepíše hodnotu Časové rozpätie uplynutia platnosti súboru v nastaveniach lokality Authentication/ApplicationCookie/ExpireTimeSpan.

  • Priradenie kontaktov pomocou e-mailu: Toto nastavenie určuje, či sa kontakty priraďujú k príslušnej e-mailovej adrese, keď sa prihlásia.

    • Zapnuté: Priradí jedinečný záznam kontaktu k zodpovedajúcej e-mailovej adrese a potom automaticky priradí externého poskytovateľa identít ku kontaktu, keď sa používateľ úspešne prihlási.
    • Vypnuté

Poznámka

Parameter požiadavky UI_Locales sa bude teraz automaticky odosielať v žiadosti o overenie a nastaví sa na jazyk vybraný na portáli.

Pozrite si tiež

Nastavte poskytovateľa OpenID Connect s Azure Active Directory (Azure AD) B2C
Nastavte poskytovateľa OpenID Connect s Microsoft Entra ID
Najčastejšie otázky týkajúce sa protokolu OpenID Connect