Deli z drugimi prek

Konfiguriranje ponudnika OpenID Connect za portale

  • Članek

Opomba

Od 12. oktobra 2022 najprej je portal Power Apps Power Pages. Več informacij: Microsoft Power Pages je zdaj splošno dostopen (spletni dnevnik)
Dokumentacijo portalov Power Apps bomo kmalu preselili in združili z dokumentacijo za Power Pages.

Zunanji ponudniki identitet OpenID Connect so storitve, ki ustrezajo specifikacijam Open ID Connect. OpenID Connect uvaja koncept žeton ID, kar je varnostni žeton, ki omogoča odjemalcu, da preveri identiteto uporabnika. Žeton ID dobi tudi osnovne podatke o profilu o uporabniku; splošno znane kot zahtevki.

Ta članek pojasnjuje, kako je mogoče ponudnika identitet, ki podpira OpenID Connect, integrirati v portale Power Apps. Nekaj primerov ponudnikov OpenID Connect za portale: Azure Active Directory (Azure AD) za prodajo strankam, Azure AD, Azure AD z več najemniki.

Podprti in nepodprti toki preverjanja pristnosti v portalih

  • Implicitno dovoljenje
    • Ta tok je privzeti način preverjanja pristnosti, ki ga uporabljajo portali.
  • Avtorizacijska koda
    • Portali uporabljajo način client_secret_post za komunikacijo s končno točko žetona strežnika identitet.
    • Način private_key_jwt za preverjanje pristnosti s končno točko žetona ni podprt.
  • Hibridno (omejena podpora)
    • Portali zahtevajo prisotnost id_token v odgovoru, torej vrednost type_type kot kodni žeton ni podprta.
    • Hibridni tok v portalih sledi istemu toku kot implicitno dovoljenje in uporablja id_token za neposredno vpisovanje uporabnikov.
  • Portali ne podpirajo tehnik na podlagi Proof Key for Code Exchange (PKCE) za preverjanje pristnosti uporabnikov.

Opomba

Traja lahko nekaj minut, da se spremembe nastavitev preverjanja pristnosti prikažejo na portalu. Če želite, da se spremembe takoj prikažejo, z dejanji portala znova zaženite portal.

Konfiguracija ponudnika OpenID Connect

Podobno kot pri vseh drugih ponudnikih, se morate vpisati v Power Apps, da konfigurirate ponudnika OpenID Connect.

  1. Izberite Dodaj ponudnika za svoj portal.

  2. Za Ponudnik prijave izberite Drugo.

  3. Za Protokol izberite OpenID Connect.

  4. Vnesite ime ponudnika.

    Ime ponudnika.

  5. Izberite Naprej.

  6. Ustvarite aplikacijo in konfigurirajte nastavitve pri svojem ponudniku identitete.

    Ustvarjanje aplikacije.

    Opomba

    Aplikacija uporablja »URL za odgovor« za preusmerjanje uporabnikov na portal po uspešnem preverjanju pristnosti. Če vaš portal uporablja ime domene po meri, imate morda drugačen URL od tistega, ki je naveden tukaj.

  7. Vnesite naslednje nastavitve spletnega mesta za konfiguracijo portala.

    Konfiguracija nastavitev mesta OpenID.

    Opomba

    Poskrbite, da pregledate – in po potrebi spremenite – privzete vrednosti.

    Imenu Opis
    Pooblastilo URL pooblastila (ali izdajatelja), povezanega s ponudnikom identitete.
    Primer (Azure AD): https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/
    ID odjemalca ID aplikacije, ustvarjen s ponudnikom identitete, ki naj bo uporabljen s portalom.
    URL preusmeritve Lokacija, kamor bo ponudnik identitet poslal odgovor za preverjanje pristnosti.
    Primer: https://contoso-portal.powerappsportals.com/signin-openid_1
    Opomba: če uporabljate privzeti URL portala, lahko kopirate in prilepite možnost URL za odgovor, kot je prikazano pri koraku Ustvarjanje in konfiguracija nastavitev ponudnika OpenID Connect. Če uporabljate ime domene po meri, ročno vnesite URL. Prepričajte se, da je vrednost, ki jo vnesete tukaj, popolnoma enaka vrednosti URI za preusmeritev za aplikacijo v konfiguraciji ponudnika identitete (kot je portal Azure).
    Naslov metapodatkov Končna točka odkrivanja za pridobitev metapodatkov. Pogosta oblika: [URL pooblastila]/.well-known/openid-configuration.
    Primer (Azure AD): https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/v2.0/.well-known/openid-configuration
    Scope S presledki ločen seznam obsegov, ki naj bodo zahtevani prek parametra obsega OpenID Connect.
    Privzeta vrednost: openid
    Primer (Azure AD): openid profile email
    Več informacij: Konfiguracija dodatnih zahtevkov ob uporabi storitve OpenID Connect ta portale s storitvijo Azure AD
    Vrsta odziva Vrednost parametra response_type za OpenID Connect.
    Možne vrednosti so:
    • code
    • code id_token
    • id_token
    • id_token token
    • code id_token token

    Privzeta vrednost: code id_token
    Skrivnost odjemalca Vrednost skrivnosti odjemalca iz aplikacije ponudnika. To se lahko imenuje tudi skrivnost aplikacije ali skrivnost porabnika. Ta nastavitev je potrebna, če je izbrana vrsta odziva code.
    Način odgovora Vrednost parametra response_mode za OpenID Connect. Vrednost mora biti query, če je izbrana vrsta odziva code. Privzeta vrednost: form_post.

  8. Konfigurirajte nastavitve za odjavo uporabnikov.

    Nastavitve odjave.

    Imenu Opis
    Zunanja odjava Omogoči ali onemogoči zunanji izpis iz računa. Ko je omogočeno so uporabniki pri izpisu iz portala preusmerjeni na zunanjo uporabniško izkušnjo. Če je onemogočeno, so uporabniki izpisani samo iz portala.
    URL za preusmeritev po odjavi Mesto, kamor bo ponudnik identitete preusmeril uporabnika po zunanji odjavi. To mesto je treba ustrezno nastaviti tudi v konfiguraciji ponudnika identitete.
    Odjava, ki jo sproži RP Omogoči ali onemogoči izpis, ki ga je sprožila odvisna stranka. Za uporabo te nastavitve najprej omogočite zunanjo odjavo.

  9. (Izbirno) Konfiguriranje dodatnih nastavitev.

    Dodatne nastavitve.

    Imenu Opis
    Filter izdajatelja Filter na osnovi nadomestnega znaka, ki se ujema na vseh izdajateljih po vseh najemnikih.
    Primer: https://sts.windows.net/*/
    Preverjanje veljavnosti občinstva Če je omogočeno, je med preverjanjem veljavnosti žetona preverjena veljavnost občinstva.
    Veljavna občinstva Seznam URL-jev občinstva, ločen z vejicami.
    Preverjanje veljavnosti izdajateljev Če je omogočeno, je med preverjanjem veljavnosti žetona preverjena veljavnost izdajatelja.
    Veljavni izdajatelji Seznam URL-jev izdajatelja, ločen z vejicami.
    Preslikava zahtevkov za registracijo Seznam parov logično ime–zahtevek za preslikavo vrednosti zahtevka vrnjen iz ponudnika med prijavo za atribute zapisa stika.
    Oblika: field_logical_name=jwt_attribute_name, kjer je field_logical_name logično ime polja v portalih in jwt_attribute_name atribut z vrednostjo, vrnjeno iz ponudnika identitet.
    Primer: firstname=given_name,lastname=family_name ob uporabi Obseg kot profile za Azure AD. V tem primeru sta firstname in lastname logični imeni za polja profila v portalih, medtem ko sta given_name in family_name atributa z vrednostmi, ki ju vrne ponudnik identitet za zadevna polja.
    Preslikava zahtevkov za prijavo Seznam parov logično ime–zahtevek za preslikavo vrednosti zahtevka, vrnjen iz ponudnika med vsako prijavo za atribute zapisa stika.
    Oblika: field_logical_name=jwt_attribute_name, kjer je field_logical_name logično ime polja v portalih in jwt_attribute_name atribut z vrednostjo, vrnjeno iz ponudnika identitet.
    Primer: firstname=given_name,lastname=family_name ob uporabi Obseg kot profile za Azure AD. V tem primeru sta firstname in lastname logični imeni za polja profila v portalih, medtem ko sta given_name in family_name atributa z vrednostmi, ki ju vrne ponudnik identitet za zadevna polja.
    Življenjska doba žetona Življenjska doba vrednosti žetona v minutah. Privzeto: »10 minut«.
    Uporabi življenjsko dobo žetona Označuje, da se mora življenjska doba seje preverjanja pristnosti (npr. piškotki) ujemati z žetonom za preverjanje pristnosti. Če je navedeno, ta vrednost preglasi vrednost Življenjska doba žetona za preverjanje pristnosti v nastavitvi mesta Authentication/ApplicationCookie/ExpireTimeSpan.
    Preslikava stika z e-pošto Določa, ali se stiki preslikajo za ustrezen e-poštni naslov.
    Če je možnost nastavljena na Vklopljeno, je enoličen zapis stika povezan z ujemajočim e-poštnim naslovom in zunanji ponudnik identitet je dodeljen stiku, ko se uporabnik uspešno vpiše.

    Opomba

    Parameter zahteve UI_Locales bo zdaj poslan samodejno v zahtevi za preverjanje pristnosti in nastavljen bo na jezik, ki je izbran na portalu.

Urejanje ponudnika OpenID Connect

Če želite urediti konfiguriranega ponudnika OpenID Connect, glejte članek Urejanje ponudnika.

Glejte tudi

Konfigurirajte ponudnika OpenID Connect za portale z Azure AD
Pogosta vprašanja o uporabi OpenID Connect na portalih

Opomba

Ali nam lahko poveste, kateri je vaš prednostni jezik za dokumentacijo? Izpolnite kratko anketo. (upoštevajte, da je v angleščini)

Z anketo boste porabili približno sedem minut. Ne zbiramo nobenih osebnih podatkov (izjava o zasebnosti).