Nastavenie poskytovateľa protokolu OpenID Connect
Poskytovatelia identity OpenID Connect predstavujú služby, ktoré zodpovedajú požiadavkám Open ID Connect. OpenID Connect zavádza koncept tokenu ID. Token ID je token zabezpečenia, ktorý umožňuje klientovi overiť identitu používateľa. Navyše získa základné profilové informácie o používateľoch všeobecne známe ako nároky.
Poskytovatelia OpenID Connect Azure AD B2C, Microsoft Entra ID a Microsoft Entra ID s viacerými nájomníkmi sú zabudované Power Pages. Tento článok vysvetľuje, ako na vašu lokalitu Power Pages pridať ďalších poskytovateľov identity OpenID Connect.
Podporované a nepodporované postupy overovania v Power Pages
- Implicitné udelenie
- Tento postup je predvolená metóda overovania pre lokality Power Pages.
- Kód oprávnenia
- Služby Power Pages používajú metódu client_secret_post na komunikáciu s koncovým bodom tokenu servera identity.
- Metóda private_key_jwt na overenie pomocou koncového bodu tokenu sa nepodporuje.
- Hybridné (obmedzená podpora)
- Power Pages vyžadujú prítomnosť id_token v odpovedi, a preto nie je hodnota response_type = ako kódový token podporovaná.
- Hybridný postup v Power Pages sleduje rovnaký postup ako implicitné udeľovanie a používa id_token na priame prihlásenie používateľov.
- Proof Key for Code Exchange (PKCE)
- Techniky založené na PKCE na overovanie používateľov nie sú podporované.
Poznámka
Zmeny nastavení overovania na vašej lokalite sa môžu prejaviť o niekoľko minút. Ak chcete zmeny okamžite zobraziť, reštartujte lokalitu v centre pre správu.
Nastavenie poskytovateľa protokolu OpenID Connect v Power Pages
Na svojej lokalite Power Pages zvoľte možnosť Nastaviť>Poskytovatelia identity.
Ak sa nezobrazujú žiadni poskytovatelia identity, uistite sa, že je Externé prihlásenie nastavené na Zapnuté vo všeobecných nastaveniach overovania vašej lokality.
Vyberte možnosť + Nový poskytovateľ.
V časti Výber poskytovateľa prihlásenia stlačte Ostatné.
V časti Protokol vyberte možnosť OpenID Connect.
Zadajte názov poskytovateľa.
Názov poskytovateľa je text na tlačidle, ktorý sa používateľom zobrazí pri výbere poskytovateľa identity na prihlasovacej stránke.
Vyberte Ďalej.
V časti Adresa URL odpovede vyberte možnosť Kopírovať.
Nezatvárajte kartu prehliadača Power Pages. Čoskoro sa k nej vrátite.
Vytvorenie registrácie aplikácie u poskytovateľa identity
Vytvorte a zaregistrujte aplikáciu u svojho poskytovateľa identity pomocou adresy URL odpovede, ktorú ste skopírovali.
Skopírujte ID aplikácie alebo klienta a tajný kľúč klienta.
Vyhľadajte koncové body aplikácie a skopírujte adresu URL dokumentu metadát OpenID Connect.
Zmeňte ďalšie nastavenia poskytovateľa identity podľa potreby.
Zadanie nastavení lokality v Power Pages
Vráťte sa na stránku Power Pages Konfigurácia poskytovateľa identity, ktorú ste predtým opustili, a zadajte nasledujúce hodnoty. Podľa potreby môžete zmeniť ďalšie nastavenia. Po skončení vyberte možnosť Potvrdiť.
Autorita: Zadajte adresu URL autority v nasledujúcom formáte:
https://login.microsoftonline.com/<Directory (tenant) ID>/
, kde <ID adresára (nájomníka)> je ID adresára (nájomníka) aplikácie, ktorú ste vytvorili. Napríklad ak je ID adresára (nájomníka) na portáli Azure7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb
, adresa URL orgánu jehttps://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/
.ID klienta: Vložte ID aplikácie alebo klienta aplikácie, ktorú ste vytvorili.
URL presmerovania: Ak vaša lokalita používa vlastný názov domény, zadajte vlastnú adresu URL; v opačnom prípade ponechajte predvolenú hodnotu. Uistite sa, že hodnota je presne rovnaká ako URI presmerovania aplikácie, ktorú ste vytvorili.
Adresa metadát: Vložte adresu URL dokumentu metadát OpenID Connect, ktorú ste skopírovali.
Rozsah: Zadajte medzerami oddelený zoznam rozsahov používajúcich parameter
scope
OpenID Connect. Predvolená hodnota jeopenid
.Hodnota
openid
je povinná. Prečítajte si o ďalších nárokoch, ktoré môžete pridať.Typ odpovede: Zadajte hodnotu parametra
response_type
OpenID Connect. Možné hodnoty:code
,code id_token
,id_token
,id_token token
acode id_token token
. Predvolená hodnota jecode id_token
.Tajný kľúč klienta: Vložte tajný kľúč klienta z aplikácie poskytovateľa. Možno ho označovať aj ako tajný kľúč aplikácie alebo tajný kľúč zákazníka. Toto nastavenie je potrebné, ak je typ odpovede
code
.Režim odpovede: Zadajte hodnotu parametra response_mode OpenID Connect. Mala by byť
query
, ak je typom odpovedecode
. Predvolená hodnota jeform_post
.Externé odhlásenie: Toto nastavenie určuje, či vaša lokalita používa federatívne odhlásenie. Vďaka federatívnemu odhláseniu, keď sa používatelia odhlásia z aplikácie alebo lokality, zároveň sa odhlásia aj zo všetkých aplikácií a lokalít, ktoré používajú rovnakého poskytovateľa identity. Zapnite na presmerovanie používateľov pri odhlásení z lokality s funkciou federatívneho prostredia. Funkciu vypnite, ak chcete používateľa odhlásiť iba zo svojej webovej lokality.
Adresa URL presmerovania po odhlásení: Zadajte adresu URL, kam sprostredkovateľ identity presmeruje používateľa po odhlásení. Toto umiestnenie musí byť správne nastavené v konfigurácii sprostredkovateľa identity.
Odhlásenie začaté RP: Toto nastavenie určuje, či prijímajúca strana – klientska aplikácia OpenID Connect – môže odhlásiť používateľov. Ak chcete použiť toto nastavenie, je potrebné zapnúť externé odhlásenie.
Ďalšie nastavenia v službe Power Pages
Ďalšie nastavenia vám poskytujú jemnejšiu kontrolu nad tým, ako sa používatelia overujú u poskytovateľa identitu OpenID Connect. Nemusíte nastavovať žiadnu z týchto hodnôt. Sú úplne voliteľné.
Filter vydavateľa: Zadajte filter založený na zástupnom znaku, ktorý vyhľadá všetkých vydavateľov naprieč všetkými nájomníkmi, napr.
https://sts.windows.net/*/
. Ak používate Microsoft Entra poskytovateľa autorizácie ID, filter adresy URL vydavateľa by bolhttps://login.microsoftonline.com/*/v2.0/
.Overiť cieľovú skupinu: Zapnutím tohto nastavenia overíte cieľovú skupinu počas overovania tokenu.
Platné cieľové skupiny: Zadajte čiarkami oddelený zoznam adries URL cieľových skupín.
Overiť vydavateľov: Zapnutím tohto nastavenia overíte vydavateľa počas overovania tokenu.
Platní vydavatelia: Zadajte čiarkami oddelený zoznam adries URL vydavateľov.
Mapovanie nárokov na registráciu a Mapovanie nárokov na prihlásenie: Pri overovaní používateľa predstavujú nárok informácie, ktoré popisujú identitu používateľa, ako je e-mailová adresa alebo dátum narodenia. Keď sa prihlásite do aplikácie alebo webovej lokality, vytvorí sa token. Token obsahuje informácie o vašej identite, vrátane akýchkoľvek nárokov, ktoré sú s ním spojené. Tokeny sa používajú na overenie vašej identity, keď pristupujete k iným častiam aplikácie alebo lokality alebo iným aplikáciám a lokalitám, ktoré sú pripojené k rovnakému poskytovateľovi identity. Mapovanie nárokov je spôsob, ako zmeniť informácie obsiahnuté v tokene. Možno ho použiť na prispôsobenie informácií, ktoré má aplikácia alebo lokalita k dispozícii, a na kontrolu prístupu k funkciám alebo údajom. Mapovanie nárokov na registráciou upravuje nároky, ktoré sa vydávajú pri registrácii pre aplikáciu alebo lokalitu. Mapovanie nárokov na prihlásenie upravuje nároky, ktoré sa vydávajú pri prihlásení do aplikácie alebo lokality. Ďalšie informácie o zásadách upravujúcich nároky na mapovanie.
Životnosť hodnoty Nonce: Zadajte dĺžku trvania hodnoty Nonce v minútach. Predvolená hodnota je 10 minút.
Použiť životnosť tokenu: Toto nastavenie určuje, či sa životnosť relácie overovania, napríklad súbory cookie, zhoduje so životnosťou overovacieho tokenu. Ak túto funkciu zapnete, táto hodnota prepíše hodnotu Časové rozpätie uplynutia platnosti súboru v nastaveniach lokality Authentication/ApplicationCookie/ExpireTimeSpan.
Priradenie kontaktov pomocou e-mailu: Toto nastavenie určuje, či sa kontakty priraďujú k príslušnej e-mailovej adrese, keď sa prihlásia.
- Zapnuté: Priradí jedinečný záznam kontaktu k zodpovedajúcej e-mailovej adrese a potom automaticky priradí externého poskytovateľa identít ku kontaktu, keď sa používateľ úspešne prihlási.
- Vypnuté
Poznámka
Parameter požiadavky UI_Locales sa bude teraz automaticky odosielať v žiadosti o overenie a nastaví sa na jazyk vybraný na portáli.
Pozrite si tiež
Nastavte poskytovateľa OpenID Connect s Azure Active Directory (Azure AD) B2C
Nastavte poskytovateľa OpenID Connect s Microsoft Entra ID
Najčastejšie otázky týkajúce sa protokolu OpenID Connect
Pripomienky
https://aka.ms/ContentUserFeedback.
Pripravujeme: V priebehu roka 2024 postupne zrušíme službu Problémy v službe GitHub ako mechanizmus pripomienok týkajúcich sa obsahu a nahradíme ju novým systémom pripomienok. Ďalšie informácie nájdete na stránke:Odoslať a zobraziť pripomienky pre