Zdieľať cez

Nastavte poskytovateľa OpenID Connect s Microsoft Entra ID

  • Článok

Microsoft Entra je jedným z poskytovateľov identity OpenID Connect, ktorých môžete použiť na overenie návštevníkov vašej Power Pages stránky. Spolu s Microsoft Entra ID, multitenant Microsoft Entra ID a Azure AD B2C môžete použiť akéhokoľvek iného poskytovateľa, ktorý je v súlade s Open ID Špecifikácia pripojenia.

V tomto článku sú opísané nasledujúce kroky:

Poznámka

Zmeny nastavení overovania na vašej lokalite sa môžu prejaviť o niekoľko minút. Ak chcete zmeny okamžite zobraziť, reštartujte lokalitu v centre pre správu.

Nastaviť Microsoft Entra v Power Pages

Nastavte Microsoft Entra ako poskytovateľa identity pre svoj web.

  1. Na svojom Power Pages stránke vyberte Zabezpečenie>Poskytovatelia identity.

    Ak sa nezobrazujú žiadni poskytovatelia identity, uistite sa, že je Externé prihlásenie nastavené na Zapnuté vo všeobecných nastaveniach overovania vašej lokality.

  2. Vyberte možnosť + Nový poskytovateľ.

  3. V časti Výber poskytovateľa prihlásenia stlačte Ostatné.

  4. V časti Protokol vyberte možnosť OpenID Connect.

  5. Zadajte názov poskytovateľa; napríklad Microsoft Entra ID.

    Názov poskytovateľa je text na tlačidle, ktorý sa používateľom zobrazí pri výbere poskytovateľa identity na prihlasovacej stránke.

  6. Vyberte Ďalej.

  7. V časti Adresa URL odpovede vyberte možnosť Kopírovať.

    Nezatvárajte kartu prehliadača Power Pages. Čoskoro sa k nej vrátite.

Vytvorenie registrácie aplikácie v prostredí Azure

Vytvorte registráciu aplikácie na portáli Azure s adresou URL odpovede vašej lokality ako identifikátorom URI presmerovania.

  1. Prihláste sa do portálu Azurel.

  2. Vyhľadajte a vyberte možnosť Azure Active Directory.

  3. V časti Spravovať vyberte Registrácie aplikácií.

  4. Vyberte položku Nová registrácia.

  5. Zadajte názov.

  6. Vyberte jeden z typov podporovaných účtov, ktorý najlepšie zodpovedá požiadavkám vašej organizácie.

  7. V časti Adresa URI presmerovania vyberte ako platformu Web a potom zadajte adresu URL odpovede pre svoju lokalitu.

    • Ak používate predvolenú adresu URL svojho webu, prilepte adresu URL odpovede , ktorú ste skopírovali.
    • Ak používate vlastný názov domény, zadajte vlastnú adresu URL. Nezabudnite použiť rovnakú vlastnú adresu URL presmerovania v nastavení poskytovateľa identity na vašej lokalite.

  8. Vyberte položku Registrovať.

  9. Skopírujte ID aplikácie (klienta).

  10. Napravo od položky Prihlasovacie údaje klienta vyberte možnosť Pridať certifikát alebo tajný kľúč.

  11. Vyberte položku + Nové klientske tajomstvo.

  12. Zadajte voliteľný opis, vyberte uplynutie platnosti a potom vyberte možnosť Pridať.

  13. V časti ID tajného kľúča vyberte ikonu Kopírovať do schránky .

  14. Vyberte Koncové body v hornej časti stránky.

  15. Vyhľadajte adresu URL dokumentu metadát OpenID Connect a vyberte ikonu kopírovania.

  16. Na bočnom paneli v časti Spravovať vyberte Overenie.

  17. V časti Implicitné udelenie vyberte možnosť Tokeny ID (používajú sa na implicitné a hybridné postupy).

  18. Vyberte položku Uložiť.

Zadanie nastavení lokality v Power Pages

Vráťte sa na stránku Power Pages Konfigurácia poskytovateľa identity, ktorú ste predtým opustili, a zadajte nasledujúce hodnoty. Podľa potreby môžete zmeniť ďalšie nastavenia. Po skončení vyberte možnosť Potvrdiť.

  • Oprávnenie: Zadajte adresu URL oprávnenia v nasledujúcom formáte: https://login.microsoftonline.com/<Directory (tenant) ID>/, kde <ID adresára (nájomca)> je adresár ( nájomník) ID aplikácie , ktorú ste vytvorili. Napríklad ak je ID adresára (nájomníka) na portáli Azure 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, adresa URL orgánu je https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • Client ID​: Prilepte aplikáciu alebo ID klienta aplikácie , ktorú ste vytvorili.

  • Adresa URL presmerovania: Ak vaša lokalita používa vlastný názov domény, zadajte vlastnú adresu URL. v opačnom prípade ponechajte predvolenú hodnotu. Uistite sa, že hodnota je presne rovnaká ako URI presmerovania aplikácie, ktorú ste vytvorili.

  • Adresa metadát: Prilepte webovú adresu dokumentu metadát OpenID Connect , ktorú ste skopírovali.

  • Rozsah: Zadajte openid email.

    Hodnota openid je povinná. Hodnota email je voliteľná a zabezpečí, že sa e-mailová adresa používateľa vopred vyplní a zobrazí sa na stránke profilu po prihlásení používateľa. Prečítajte si o ďalších nárokoch, ktoré môžete pridať.

  • odpoveď typ: Vyberte code id_token.

  • Tajný kľúč klienta: Prilepte tajný kľúč klienta z aplikácie , ktorú ste vytvorili. Toto nastavenie je potrebné, ak je typ odpovede code.

  • odpoveď režim: Vyberte form_post.

  • Externé odhlásenie: Toto nastavenie určuje, či vaša lokalita používa združené odhlásenie. Pri federatívnom odhlásení, keď sa používatelia odhlásia z aplikácie alebo lokality, sú odhlásení aj zo všetkých aplikácií a lokalít, ktoré používajú rovnakého poskytovateľa identity. Zapnite na presmerovanie používateľov pri odhlásení z lokality s funkciou federatívneho prostredia. Funkciu vypnite, ak chcete používateľa odhlásiť iba zo svojej webovej lokality.

  • Adresa URL presmerovania po odhlásení: Zadajte adresu URL, na ktorú má poskytovateľ identity presmerovať používateľov po ich odhlásení. Toto umiestnenie by malo byť vhodne nastavené v konfigurácii poskytovateľa identity.

  • Odhlásenie iniciované RP: Toto nastavenie určuje, či môže závislá strana – klientska aplikácia OpenID Connect – odhlásiť používateľov. Ak chcete použiť toto nastavenie, je potrebné zapnúť externé odhlásenie.

Ďalšie nastavenia v službe Power Pages

Ďalšie nastavenia vám poskytujú jemnejšiu kontrolu nad tým, ako sa používatelia overujú u vášho Microsoft Entra poskytovateľa identity. Nemusíte nastavovať žiadnu z týchto hodnôt. Sú úplne voliteľné.

  • Filter vydavateľa: Zadajte filter založený na zástupných znakoch, ktorý sa zhoduje so všetkými vydavateľmi vo všetkých nájomcoch; napríklad https://sts.windows.net/*/.

  • Overiť publikum: Toto nastavenie zapnite, ak chcete overiť publikum počas overovania tokenu.

  • Platné publiká: Zadajte zoznam adries URL publika oddelených čiarkami.

  • Overiť vydavateľov: Toto nastavenie zapnite, ak chcete overiť vydavateľa počas overovania tokenu.

  • Platní vydavatelia: Zadajte zoznam adries URL vydavateľov oddelených čiarkami.

  • Nároky na registráciu mapovanie​ a Nároky na prihlásenie mapovanie: Pri overovaní používateľa platí nárok je informácia, ktorá popisuje identitu používateľa, ako je e-mailová adresa alebo dátum narodenia. Keď sa prihlásite do aplikácie alebo webovej lokality, vytvorí sa token. Token obsahuje informácie o vašej identite, vrátane akýchkoľvek nárokov, ktoré sú s ním spojené. Tokeny sa používajú na overenie vašej identity, keď pristupujete k iným častiam aplikácie alebo lokality alebo iným aplikáciám a lokalitám, ktoré sú pripojené k rovnakému poskytovateľovi identity. Nároky mapovanie je spôsob, ako zmeniť informácie, ktoré sú zahrnuté v tokene. Možno ho použiť na prispôsobenie informácií, ktoré má aplikácia alebo lokalita k dispozícii, a na kontrolu prístupu k funkciám alebo údajom. Nároky na registráciu mapovanie upravuje nároky, ktoré sa vydávajú pri registrácii aplikácie alebo stránky. Nároky na prihlásenie mapovanie upravuje nároky, ktoré sa vygenerujú, keď sa prihlásite do aplikácie alebo na stránku. Prečítajte si viac o nárokoch mapovanie pravidlách.

  • Životnosť nonce: Zadajte dobu životnosti hodnoty nonce v minútach. Predvolená hodnota je 10 minút.

  • Použiť životnosť tokenu: Toto nastavenie riadi, či sa má životnosť relácie overenia, ako sú napríklad súbory cookie, zhodovať so životnosťou tokenu overenia. Ak túto funkciu zapnete, táto hodnota prepíše hodnotu Časové rozpätie uplynutia platnosti súboru v nastaveniach lokality Authentication/ApplicationCookie/ExpireTimeSpan.

  • Kontakt mapovanie s e-mailom: Toto nastavenie určuje, či sú kontakty pri prihlásení namapované na zodpovedajúcu e-mailovú adresu.

    • On: Priradí jedinečný záznam kontaktu so zodpovedajúcou e-mailovou adresou a po úspešnom prihlásení používateľa automaticky priradí ku kontaktu externého poskytovateľa identity.
    • Vypnuté

Poznámka

Parameter požiadavky UI_Locales sa bude teraz automaticky odosielať v žiadosti o overenie a nastaví sa na jazyk vybraný na portáli.

Nastavenie ďalších nárokov

  1. Povoľte voliteľné nároky v Microsoft Entra ID.

  2. Nastavte Rozsah tak, aby zhŕňal ďalšie nároky. Napríklad, openid email profile.

  3. Nastavte dodatočné nastavenie lokality Mapovanie nárokov na registráciu, napríklad firstname=given_name,lastname=family_name.

  4. Nastavte dodatočné nastavenie lokality Mapovanie nárokov na prihlásenie, napríklad firstname=given_name,lastname=family_name.

V týchto príkladoch sa meno, priezvisko a e-mailové adresy dodané spolu s ďalšími nárokmi stanú predvolenými hodnotami na stránke profilu na webovej lokalite.

Poznámka

Mapovanie nárokov je podporované pre typy údajov text a logická hodnota.

Povoliť overenie Microsoft Entra viacerých nájomníkov

Ak chcete Microsoft Entra používateľom umožniť autentifikáciu od ktoréhokoľvek nájomníka v Azure, nielen od konkrétneho nájomníka, zmeňte Microsoft Entra registráciu aplikácie na viacerých nájomníkov.

Navyše musíte nastaviť Filter vydavateľa v ďalších nastaveniach poskytovateľa.

Pozrite si tiež

Časté otázky o OpenID Connect