Deli z drugimi prek

Nastavitev ponudnika OpenID Connect

Ponudniki identitete OpenID Connect so storitve, ki so skladne s specifikacijo Open ID Connect . ... OpenID Connect uvaja koncept žetona ID. Žeton ID je varnostni žeton, ki odjemalcu omogoča, da preveri identiteto uporabnika. Žeton pridobi tudi osnovne podatke o uporabnikih iz profilov, imenovane zahtevki.

Ponudniki OpenID Connect Azure AD B2C, Microsoft Entra ID in Microsoft Entra ID z več najemniki so vgrajeni v Power Pages. V tem članku je razloženo, kako na svoje spletno mesto Power Pages dodate druge ponudnike identitet OpenID Connect.

Podprti in nepodprti tokovi preverjanja pristnosti na platformi Power Pages

  • Implicitno dovoljenje
    • Ta tok je privzeti način preverjanja pristnosti za spletna mesta Power Pages.
  • Avtorizacijska koda
    • Platforma Power Pages za komunikacijo s končno točko žetona strežnika identitet uporablja način client_secret_post.
    • Način private_key_jwt za preverjanje pristnosti s končno točko žetona ni podprt.
  • Hibridno (omejena podpora)
    • Platforma Power Pages zahteva, da je v odgovoru prisoten id_token, zato ne podpira response_type = code token.
    • Hibridni tok platforme Power Pages je enak kot tok implicitnega dovoljenja, pri čemer uporablja id_token za neposredno vpisovanje uporabnikov.
  • Proof Key for Code Exchange (PKCE)
    • Tehnike za preverjanje pristnosti uporabnikov, ki temeljijo na PKCE, niso podprte.

opomba,

Traja lahko nekaj minut, da se spremembe nastavitev preverjanja pristnosti za vaše mesto uveljavijo na vašem mestu. Če želite spremembe videti takoj, znova zaženite spletno mesto v skrbniškem središču .

Nastavitev ponudnika OpenID Connect na platformi Power Pages

  1. Na svojem spletnem mestu izberite Varnost Ponudniki identitete. Power Pages >

    Če se ponudniki identitete ne prikažejo, preverite, ali je možnost Zunanja prijava nastavljena na Vklopljeno v splošnih nastavitvah preverjanja pristnosti vašega spletnega mesta.

  2. Izberite + Nov ponudnik.

  3. V razdelki Izberite ponudnika prijave izberite Drugo.

  4. V razdelku Protokol izberite OpenID Connect.

  5. Vnesite ime ponudnika.

    Ime ponudnika je besedilo na gumbu, ki ga uporabniki vidijo, ko na strani za prijavo izberejo svojega ponudnika identitete.

  6. Izberite Naprej.

  7. V razdelku URL za odgovor izberite Kopiraj.

    Ne zapirajte zavihka brskalnika. Kmalu se boste vrnili nanj. Power Pages

Ustvarite registracijo aplikacije pri ponudniku identitete

  1. Ustvarite in registrirajte aplikacijo s svojim ponudnikom z uporabo URL-ja za odgovor, ki ste ga kopirali.

  2. Kopirajte ID aplikacije ali odjemalca in skrivnost odjemalca.

  3. Poiščite končne točke aplikacije in kopirajte URL dokumenta metapodatkov OpenID Connect.

  4. Po potrebi spremenite druge nastavitve za ponudnika identitete.

Odpiranje nastavitev mesta na platformi Power Pages

Vrnite se na stran Konfiguriraj ponudnika identitete platforme Power Pages , ki ste jo prej zapustili, in vnesite naslednje vrednosti. Izbirno lahko spremenite dodatne nastavitve, če je to potrebno. Ko končate, izberite Potrdi.

  • Avtoriteta: Vnesite URL avtoritete v naslednji obliki: https://login.microsoftonline.com/<Directory (tenant) ID>/, kjer je <ID imenika (najemnika)> ID imenika (najemnika) aplikacije, ki ste jo ustvarili. Če je na primer ID imenika (najemnika) v portalu Azure aaaabbbb-0000-cccc-1111-dddd2222eeee, potem je URL avtoritete https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • ID odjemalca​: Prilepite aplikacijo ali ID odjemalca aplikacije , ki ste jo ustvarili.

  • URL za preusmeritev: Če vaše spletno mesto uporablja ime domene po meri, vnesite URL po meri; sicer pustite privzeto vrednost. Prepričajte se, da se vrednost natančno ujema z URI-jem za preusmeritev aplikacije, ki ste jo ustvarili.

  • Naslov metapodatkov: Prilepite URL dokumenta z metapodatki OpenID Connect , ki ste ga kopirali.

  • Scope: Vnesite s presledki ločen seznam obsegov, ki jih želite zahtevati z uporabo parametra OpenID Connect scope . Privzeta vrednost je openid.

    Vrednost openid je obvezna. Preberite več o drugih trditvah, ki jih lahko dodate.

  • Vrsta odgovora: Vnesite vrednost parametra OpenID Connect response_type . Možne vrednosti so code, code id_token, id_token, id_token token in code id_token token. Privzeta vrednost je code id_token.

  • Skrivnost odjemalca: Prilepite skrivnost odjemalca iz aplikacije ponudnika. Imenuje se lahko tudi skrivnost aplikacije ali skrivnost porabnika. Ta nastavitev je zahtevana, če je izbrana vrsta odgovora code.

  • Način odziva: Vnesite vrednost parametra response_mode za OpenID Connect. Če je odgovor vrste code, mora biti način odgovora query. Privzeta vrednost je form_post.

  • Zunanja odjava: Ta nastavitev nadzoruje, ali vaše spletno mesto uporablja združeno odjavo. Pri združeni odjavi se uporabniki, ko se odjavijo iz aplikacije ali spletnega mesta, odjavijo tudi iz vseh aplikacij in spletnih mest, ki uporabljajo istega ponudnika identitete. To možnost vklopite, če želite uporabnike pri izpisu iz vašega spletnega mesta preusmeriti na izkušnjo izpisa prek povezanega ponudnika identitet. Če želite, da se uporabniki izpišejo samo iz vašega spletnega mesta, to možnost izklopite.

  • URL za preusmeritev po odjavi: Vnesite URL, kamor naj ponudnik identitete preusmeri uporabnike po odjavi. To mesto je treba ustrezno nastaviti v konfiguraciji ponudnika identitete.

  • Odjava, ki jo sproži RP: Ta nastavitev nadzoruje, ali lahko odvisni ponudnik – odjemalska aplikacija OpenID Connect – odjavlja uporabnike. Za uporabo te nastavitve vklopite možnost Zunanja odjava.

Dodatne nastavitve na platformi Power Pages

Dodatne nastavitve vam omogočajo natančnejši nadzor nad načinom preverjanja pristnosti uporabnikov s ponudnikom identitet OpenID Connect. Teh vrednosti vam ni treba nastaviti. So povsem neobvezne.

  • Filter izdajatelja: Vnesite filter na osnovi nadomestnih znakov, ki se ujema z vsemi izdajatelji v vseh najemnikih; na primer https://sts.windows.net/*/. Če uporabljate ponudnika overjanja ID-ja, bi bil filter URL-ja izdajatelja Microsoft Entra . https://login.microsoftonline.com/*/v2.0/

  • Preveri občinstvo: Vklopite to nastavitev, da med preverjanjem žetona preverite občinstvo.

  • Veljavne ciljne skupine: Vnesite seznam URL-jev ciljnih skupin, ločenih z vejicami.

  • Preverjanje izdajateljev: Vklopite to nastavitev, da med preverjanjem žetonov preverite izdajatelja.

  • Veljavni izdajatelji: Vnesite seznam URL-jev izdajateljev, ločenih z vejicami.

  • Preslikava zahtevkov za registracijo​ in Preslikava zahtevkov za prijavo: Pri preverjanju pristnosti uporabnikov je zahtevek informacija, ki opisuje identiteto uporabnika, kot je e-poštni naslov ali datum rojstva. Ob vpisu v aplikacijo ali spletno mesto ustvari žeton. Žeton vsebuje podatke o vaši identiteti, vključno z vsemi povezanimi zahtevki. Žetoni se uporabljajo za preverjanje pristnosti vaše identitete, ko dostopate do drugih delov aplikacije ali mesta ali do drugih aplikacij in mest, povezanih z istim ponudnikom identitet. Preslikava zahtevkov je način za spreminjanje informacij, ki so vključene v žeton. Uporablja se lahko za prilagoditev informacij, ki so na voljo aplikaciji ali spletnemu mestu, in za nadzor dostopa do funkcij ali podatkov. Preslikava zahtevkov za registracijo spreminje zahtevke, ki se oddajo ob registraciji za aplikacijo ali spletno mesto. Preslikava zahtevkov za prijavo spreminja zahtevke, ki se oddajo ob prijavi v aplikacijo ali na spletno mesto. Več o pravilnikih za preslikavo zahtevkov.

    Uporabniške podatke je mogoče posredovati na dva načina:

    • Zahtevki za žetone ID – Osnovni uporabniški atributi, kot sta ime ali e-pošta, so v žetonu.
    • Končna točka UserInfo – varen API, ki po preverjanju pristnosti vrne podrobne podatke o uporabniku.

    Če želite uporabiti končno točko UserInfo, ustvarite nastavitev spletnega mesta z imenom Authentication/OpenIdConnect/ /UseUserInfoEndpointforClaims in nastavite vrednost na {ProviderName}true .

    Po želji ustvarite nastavitev spletnega mesta z imenom Authentication/OpenIdConnect/{ProviderName}/UserInfoEndpoint in nastavite vrednost na URL končne točke UserInfo. Če te nastavitve ne navedete, Power Pages poskusi najti končno točko iz metapodatkov OIDC.

    Obravnava napak:

    • Če URL končne točke ni nastavljen in ga ni mogoče najti v metapodatkih, se prijava nadaljuje in zabeleži opozorilo. Power Pages
    • Če je URL nastavljen, vendar ni dostopen, se prijava nadaljuje z opozorilom.
    • Če končna točka vrne napako pri preverjanju pristnosti (na primer 401 ali 403), se prijava nadaljuje z opozorilom, ki vključuje sporočilo o napaki.

    Sintaksa preslikave:

    Če želite uporabiti zahtevke UserInfo v preslikavah zahtevkov za prijavo ali registracijo, uporabite to obliko zapisa:

    ImePolja = uporabniškeInformacije.ImeZahteve

    Če možnost UseUserInfoEndpointforClaims ni omogočena, se preslikave, ki uporabljajo predpono userinfo. , prezrejo.

  • Življenjska doba vrednosti nonce: Vnesite življenjsko dobo vrednosti nonce v minutah. Privzeta vrednost je 10 minut.

  • Uporabi življenjsko dobo žetona: Ta nastavitev nadzoruje, ali se mora življenjska doba seje preverjanja pristnosti, na primer piškotkov, ujemati z življenjsko dobo žetona za preverjanje pristnosti. Če je vklopljena, potem preglasi vrednost Časovno obdobje poteka veljavnosti piškotka aplikacije v nastavitvi mesta Authentication/ApplicationCookie/ExpireTimeSpan.

  • Preslikava stikov z e-poštnim naslovom: Ta nastavitev določa, ali so stiki ob prijavi preslikani na ustrezen e-poštni naslov.

    • Vklopljeno: Poveže enolični zapis stika z ustreznim e-poštnim naslovom in samodejno dodeli zunanjega ponudnika identitete stiku, ko se uporabnik uspešno prijavi.
    • Izklopljeno

opomba,

Parameter zahteve UI_Locales se samodejno pošlje v zahtevi za preverjanje pristnosti in nastavi na jezik, ki je izbran na portalu.

Drugi parametri avtorizacije

Uporabite naslednje parametre avtorizacije, vendar jih ne nastavljajte znotraj ponudnika OpenID Connect v Power Pages:

  • acr_values: Parameter acr_values ponudnikom identitet omogoča uveljavljanje ravni zagotavljanja varnosti, kot je večfaktorsko preverjanje pristnosti (MFA). Aplikaciji omogoča, da navede zahtevano raven preverjanja pristnosti.

    Če želite uporabiti parameter acr_values, ustvarite nastavitev spletnega mesta z imenom Authentication/OpenIdConnect/ /AcrValues in nastavite želeno vrednost.{ProviderName} Ko nastavite to vrednost, Power Pages v zahtevo za avtorizacijo vključi parameter acr_values.

  • Dinamični parametri avtorizacije: Dinamični parametri vam omogočajo, da prilagodite zahtevo za avtorizacijo različnim kontekstom uporabe, kot so vgrajene aplikacije ali scenariji z več najemniki.

    • Parameter poziva:

      Ta parameter nadzoruje, ali se prikaže stran za prijavo ali zaslon za soglasje. Če ga želite uporabiti, dodajte prilagoditev, ki ga bo poslala kot parameter niza poizvedbe končni točki ExternalLogin.

      Podprte vrednosti:

      • brez
      • prijaviti
      • soglasje
      • izberi_račun

      Oblika URL-ja:

      {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&prompt={value}

      Power Pages to vrednost pošlje ponudniku identitete v parametru poziva.

    • Parameter namiga za prijavo:

      Ta parameter vam omogoča, da posredujete znani identifikator uporabnika, kot je e-poštni naslov, za predhodno izpolnjevanje ali obhod zaslonov za prijavo. Če ga želite uporabiti, dodajte prilagoditev, ki ga bo poslala kot parameter niza poizvedbe končni točki ExternalLogin.

      Oblika URL-ja:

      {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&login_hint={value}

      To pomaga, kadar so uporabniki v isti seji že prijavljeni z drugo identiteto, kot je ID ali Microsoftov račun (MSA). Microsoft Entra

  • Parametri avtorizacije po meri: Nekateri ponudniki identitet podpirajo lastniške parametre za specifično vedenje avtorizacije. Power Pages Naj ustvarjalci te parametre varno nastavijo in posredujejo. Če želite uporabiti te parametre, dodajte prilagoditev, ki jih bo pošiljala kot parametre niza poizvedbe končni točki ExternalLogin.

    Ustvarite nastavitev spletnega mesta z imenom *Authentication/OpenIdConnect/*/*AllowedDynamicAuthorizationParameters* in vrednost nastavite na seznam imen parametrov, ločenih z vejicami, kot so param1, param2, param3. ...{Provider}

    Primer oblike URL-ja:

    {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&param1=value&param2=value&param3=value

    Če katerega od parametrov (param1, param2 ali param3) ni na seznamu dovoljenih parametrov, ga Power Pages prezre.

    Ta nastavitev določa seznam parametrov po meri, ki jih je mogoče poslati v zahtevi za avtorizacijo.

    Vedenje

    • Parametre posredujte v nizu poizvedbe končne točke ExternalLogin.
    • Power Pages vključuje samo parametre s seznama v zahtevi za avtorizacijo.
    • Privzeti parametri, kot so prompt, login_hint in ReturnUrl, so vedno dovoljeni in jih ni treba navajati.

    Primer oblike URL-ja:

    {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&custom_param=value

    Če parametra custom_param ni na seznamu dovoljenih parametrov, ga Power Pages prezre.

Glejte tudi

Nastavite ponudnika OpenID Connect z Azure Active Directory (Azure AD) B2C
Nastavite ponudnika OpenID Connect z ID-jem Microsoft Entra
Pogosta vprašanja o OpenID Connectu