Konfiguriranje ponudnika OpenID Connect za portale
Opomba
Od 12. oktobra 2022 najprej je portal Power Apps Power Pages. Več informacij: Microsoft Power Pages je zdaj splošno dostopen (spletni dnevnik)
Dokumentacijo portalov Power Apps bomo kmalu preselili in združili z dokumentacijo za Power Pages.
Zunanji ponudniki identitet OpenID Connect so storitve, ki ustrezajo specifikacijam Open ID Connect. OpenID Connect uvaja koncept žeton ID, kar je varnostni žeton, ki omogoča odjemalcu, da preveri identiteto uporabnika. Žeton ID dobi tudi osnovne podatke o profilu o uporabniku; splošno znane kot zahtevki.
Ta članek pojasnjuje, kako je mogoče ponudnika identitet, ki podpira OpenID Connect, integrirati v portale Power Apps. Nekaj primerov ponudnikov OpenID Connect za portale: Azure Active Directory (Azure AD) za prodajo strankam, Azure AD, Azure AD z več najemniki.
Podprti in nepodprti toki preverjanja pristnosti v portalih
- Implicitno dovoljenje
- Ta tok je privzeti način preverjanja pristnosti, ki ga uporabljajo portali.
- Avtorizacijska koda
- Portali uporabljajo način client_secret_post za komunikacijo s končno točko žetona strežnika identitet.
- Način private_key_jwt za preverjanje pristnosti s končno točko žetona ni podprt.
- Hibridno (omejena podpora)
- Portali zahtevajo prisotnost id_token v odgovoru, torej vrednost type_type kot kodni žeton ni podprta.
- Hibridni tok v portalih sledi istemu toku kot implicitno dovoljenje in uporablja id_token za neposredno vpisovanje uporabnikov.
- Portali ne podpirajo tehnik na podlagi Proof Key for Code Exchange (PKCE) za preverjanje pristnosti uporabnikov.
Opomba
Traja lahko nekaj minut, da se spremembe nastavitev preverjanja pristnosti prikažejo na portalu. Če želite, da se spremembe takoj prikažejo, z dejanji portala znova zaženite portal.
Konfiguracija ponudnika OpenID Connect
Podobno kot pri vseh drugih ponudnikih, se morate vpisati v Power Apps, da konfigurirate ponudnika OpenID Connect.
Izberite Dodaj ponudnika za svoj portal.
Za Ponudnik prijave izberite Drugo.
Za Protokol izberite OpenID Connect.
Vnesite ime ponudnika.
Izberite Naprej.
Ustvarite aplikacijo in konfigurirajte nastavitve pri svojem ponudniku identitete.
Opomba
Aplikacija uporablja »URL za odgovor« za preusmerjanje uporabnikov na portal po uspešnem preverjanju pristnosti. Če vaš portal uporablja ime domene po meri, imate morda drugačen URL od tistega, ki je naveden tukaj.
Vnesite naslednje nastavitve spletnega mesta za konfiguracijo portala.
Opomba
Poskrbite, da pregledate – in po potrebi spremenite – privzete vrednosti.
Imenu Opis Pooblastilo URL pooblastila (ali izdajatelja), povezanega s ponudnikom identitete.
Primer (Azure AD):https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/
ID odjemalca ID aplikacije, ustvarjen s ponudnikom identitete, ki naj bo uporabljen s portalom. URL preusmeritve Lokacija, kamor bo ponudnik identitet poslal odgovor za preverjanje pristnosti.
Primer:https://contoso-portal.powerappsportals.com/signin-openid_1
Opomba: če uporabljate privzeti URL portala, lahko kopirate in prilepite možnost URL za odgovor, kot je prikazano pri koraku Ustvarjanje in konfiguracija nastavitev ponudnika OpenID Connect. Če uporabljate ime domene po meri, ročno vnesite URL. Prepričajte se, da je vrednost, ki jo vnesete tukaj, popolnoma enaka vrednosti URI za preusmeritev za aplikacijo v konfiguraciji ponudnika identitete (kot je portal Azure).Naslov metapodatkov Končna točka odkrivanja za pridobitev metapodatkov. Pogosta oblika: [URL pooblastila]/.well-known/openid-configuration.
Primer (Azure AD):https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/v2.0/.well-known/openid-configuration
Scope S presledki ločen seznam obsegov, ki naj bodo zahtevani prek parametra obsega OpenID Connect.
Privzeta vrednost:openid
Primer (Azure AD):openid profile email
Več informacij: Konfiguracija dodatnih zahtevkov ob uporabi storitve OpenID Connect ta portale s storitvijo Azure ADVrsta odziva Vrednost parametra response_type za OpenID Connect.
Možne vrednosti so:-
code
-
code id_token
-
id_token
-
id_token token
-
code id_token token
Privzeta vrednost:code id_token
Skrivnost odjemalca Vrednost skrivnosti odjemalca iz aplikacije ponudnika. To se lahko imenuje tudi skrivnost aplikacije ali skrivnost porabnika. Ta nastavitev je potrebna, če je izbrana vrsta odziva code
.Način odgovora Vrednost parametra response_mode za OpenID Connect. Vrednost mora biti query
, če je izbrana vrsta odzivacode
. Privzeta vrednost:form_post
.-
Konfigurirajte nastavitve za odjavo uporabnikov.
Imenu Opis Zunanja odjava Omogoči ali onemogoči zunanji izpis iz računa. Ko je omogočeno so uporabniki pri izpisu iz portala preusmerjeni na zunanjo uporabniško izkušnjo. Če je onemogočeno, so uporabniki izpisani samo iz portala. URL za preusmeritev po odjavi Mesto, kamor bo ponudnik identitete preusmeril uporabnika po zunanji odjavi. To mesto je treba ustrezno nastaviti tudi v konfiguraciji ponudnika identitete. Odjava, ki jo sproži RP Omogoči ali onemogoči izpis, ki ga je sprožila odvisna stranka. Za uporabo te nastavitve najprej omogočite zunanjo odjavo. (Izbirno) Konfiguriranje dodatnih nastavitev.
Imenu Opis Filter izdajatelja Filter na osnovi nadomestnega znaka, ki se ujema na vseh izdajateljih po vseh najemnikih.
Primer:https://sts.windows.net/*/
Preverjanje veljavnosti občinstva Če je omogočeno, je med preverjanjem veljavnosti žetona preverjena veljavnost občinstva. Veljavna občinstva Seznam URL-jev občinstva, ločen z vejicami. Preverjanje veljavnosti izdajateljev Če je omogočeno, je med preverjanjem veljavnosti žetona preverjena veljavnost izdajatelja. Veljavni izdajatelji Seznam URL-jev izdajatelja, ločen z vejicami. Preslikava zahtevkov za registracijo Seznam parov logično ime–zahtevek za preslikavo vrednosti zahtevka vrnjen iz ponudnika med prijavo za atribute zapisa stika.
Oblika:field_logical_name=jwt_attribute_name
, kjer jefield_logical_name
logično ime polja v portalih injwt_attribute_name
atribut z vrednostjo, vrnjeno iz ponudnika identitet.
Primer:firstname=given_name,lastname=family_name
ob uporabi Obseg kotprofile
za Azure AD. V tem primeru stafirstname
inlastname
logični imeni za polja profila v portalih, medtem ko stagiven_name
infamily_name
atributa z vrednostmi, ki ju vrne ponudnik identitet za zadevna polja.Preslikava zahtevkov za prijavo Seznam parov logično ime–zahtevek za preslikavo vrednosti zahtevka, vrnjen iz ponudnika med vsako prijavo za atribute zapisa stika.
Oblika:field_logical_name=jwt_attribute_name
, kjer jefield_logical_name
logično ime polja v portalih injwt_attribute_name
atribut z vrednostjo, vrnjeno iz ponudnika identitet.
Primer:firstname=given_name,lastname=family_name
ob uporabi Obseg kotprofile
za Azure AD. V tem primeru stafirstname
inlastname
logični imeni za polja profila v portalih, medtem ko stagiven_name
infamily_name
atributa z vrednostmi, ki ju vrne ponudnik identitet za zadevna polja.Življenjska doba žetona Življenjska doba vrednosti žetona v minutah. Privzeto: »10 minut«. Uporabi življenjsko dobo žetona Označuje, da se mora življenjska doba seje preverjanja pristnosti (npr. piškotki) ujemati z žetonom za preverjanje pristnosti. Če je navedeno, ta vrednost preglasi vrednost Življenjska doba žetona za preverjanje pristnosti v nastavitvi mesta Authentication/ApplicationCookie/ExpireTimeSpan. Preslikava stika z e-pošto Določa, ali se stiki preslikajo za ustrezen e-poštni naslov.
Če je možnost nastavljena na Vklopljeno, je enoličen zapis stika povezan z ujemajočim e-poštnim naslovom in zunanji ponudnik identitet je dodeljen stiku, ko se uporabnik uspešno vpiše.Opomba
Parameter zahteve UI_Locales bo zdaj poslan samodejno v zahtevi za preverjanje pristnosti in nastavljen bo na jezik, ki je izbran na portalu.
Urejanje ponudnika OpenID Connect
Če želite urediti konfiguriranega ponudnika OpenID Connect, glejte članek Urejanje ponudnika.
Glejte tudi
Konfigurirajte ponudnika OpenID Connect za portale z Azure AD
Pogosta vprašanja o uporabi OpenID Connect na portalih
Opomba
Ali nam lahko poveste, kateri je vaš prednostni jezik za dokumentacijo? Izpolnite kratko anketo. (upoštevajte, da je v angleščini)
Z anketo boste porabili približno sedem minut. Ne zbiramo nobenih osebnih podatkov (izjava o zasebnosti).
Povratne informacije
https://aka.ms/ContentUserFeedback.
Kmalu na voljo: V letu 2024 bomo ukinili storitev Težave v storitvi GitHub kot mehanizem za povratne informacije za vsebino in jo zamenjali z novim sistemom za povratne informacije. Za več informacij si oglejte:Pošlji in prikaži povratne informacije za