Deli putem

Konfigurisanje OpenID Connect dobavljača za portale

  • Članak

Napomena

Od 12. oktobra 2022. Power Apps portali postaju Power Pages. Više informacija: Usluga Microsoft Power Pages je sada opštedostupna (blog)
Uskoro ćemo migrirati i objediniti dokumentaciju o Power Apps portalima sa dokumentacijom o usluzi Power Pages.

OpenID Connect spoljni dobavljači identiteta su usluge koje su usklađene sa OpenID Connect specifikacijom. OpenID Connect uvodi koncept ID tokena, što je bezbednosni token koji omogućava klijentu da proveri identitet korisnika. ID tokena takođe dobija osnovne informacije o profilu o korisniku; obično poznat kao zahtevi.

Ovaj članak objašnjava kako dobavljač identiteta koji podržava OpenId Connect može da se integriše sa Power Apps portalima. Neki od primera dobavljača OpenID Connect za portale: Azure Active Directory (Azure AD) B2C, Azure AD, Azure AD sa više zakupaca.

Podržani i nepodržani tokovi potvrde identiteta na portalima

  • Implicitno odobrenje
    • Ovaj tok je zadati metod potvrde identiteta koji koriste portali.
  • Kôd za potvrdu identiteta
    • Portali koriste metod client_secret_post za komunikaciju sa krajnjom tačkom tokena servera identiteta.
    • Korišćenje metoda private_key_jwt za potvrdu identiteta pomoću krajnje tačke tokena nije podržano.
  • Hibrid (ograničena podrška)
    • Portali zahtevaju da id_token bude prisutan u odgovoru, pa raspolaganje vrednošću response_type kao tokenom koda nije podržano.
    • Hibridni tok na portalima prati isti tok kao i implicitno odobrenje i koristi id_token za direktno prijavljivanje korisnika.
  • Portali ne podržavaju tehnike zasnovane na ključu za proveru za razmenu koda (PKCE) za potvrdu identiteta korisnika.

Napomena

Promene u podešavanjima potvrde identiteta mogu da potraju nekoliko minuta pre nego što se odraze na portalu. Ponovo pokrenite portal pomoću radnji portala ako želite da se promene odmah odraze.

Konfigurisanje OpenID Connect dobavljača

Slično svim ostalim dobavljačima, morate se prijaviti u Power Apps da biste konfigurisali OpenID Connect dobavljača.

  1. Izaberite Dodavanje dobavljača za vaš portal.

  2. Izaberite da Dobavljač za prijavljivanje bude Ostali.

  3. Izaberite da Protokol bude OpenID Connect.

  4. Unesite naziv dobavljača.

    Ime dobavljača.

  5. Izaberite Sledeće.

  6. Kreirajte aplikaciju i konfigurišite podešavanja kod svog dobavljača identiteta.

    Kreiranje aplikacije.

    Napomena

    URL adresa za odgovor za preusmeravanje korisnika na portal nakon uspešne potvrde identiteta. Ako vaš portal koristi prilagođeno ime domena, možda ćete imati URL adresu drugačiju od one navedene ovde.

  7. Unesite sledeća podešavanja lokacije za konfiguraciju portala.

    Konfigurisanje podešavanja OpenID lokacija.

    Napomena

    Obavezno pregledajte – i ako je potrebno, promenite – podrazumevane vrednosti.

    +Ime Opis
    Autoritet URL adresa autoriteta (ili izdavaoca) povezanog sa dobavljačem identiteta.
    Primer (Azure AD): https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/
    ID klijenta ID aplikacije kreirane sa dobavljačem identiteta i koji se koristi sa portalom.
    URL adresa za preusmeravanje Lokacija gde će dobavljač identiteta poslati odgovor za potvrdu identiteta.
    Primer: https://contoso-portal.powerappsportals.com/signin-openid_1
    Napomena: Ako koristite podrazumevanu URL adresu portala, možete da prekopirate URL adresu za odgovor, kao što je prikazano u koraku Kreiranje i konfigurisanje podešavanja OpenID Connect dobavljača. Ako koristite prilagođeno ime domena, unesite URL adresu ručno. Uverite se da je ovde uneta vrednost potpuno ista kao vrednost URI za preusmeravanje za aplikaciju u konfiguraciji dobavljača identiteta (kao što je Azure portal).
    Adresa metapodataka Pronalaženje krajnje tačke za nabavku metapodataka. Uobičajeni format: [URL adresa ovlašćenja]/.poznata/openid-konfiguracija.
    Primer (Azure AD): https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/v2.0/.well-known/openid-configuration
    Scope Lista opsega razdvojena razmacima za zahtevanje pomoću parametra za OpenID Connect opseg.
    Podrazumevana vrednost: openid
    Primer (Azure AD): openid profile email
    Još informacija: Konfigurisanje dodatnih zahteva kada koristite OpenID Connect za portale sa uslugom Azure AD
    Tip odgovora Vrednost OpenID Connect parametra response_type.
    Moguće vrednosti uključuju:
    • code
    • code id_token
    • id_token
    • id_token token
    • code id_token token

    Podrazumevana vrednost: code id_token
    Tajna klijenta Vrednost tajne klijenta iz aplikacije dobavljača. To može da se zove i tajna aplikacije ili tajna potrošača. Ovo podešavanje je obavezno ako je izabrani tip odgovora code.
    Režim odziva Vrednost OpenID Connect parametra response_mode. Vrednost treba da bude query ako je izabrani tip odgovora code. Podrazumevana vrednost: form_post.

  8. Konfigurišite postavke za odjavu korisnika.

    Podešavanja odjave.

    +Ime Opis
    Spoljna odjava Omogućava ili onemogućava spoljno odjavljivanje sa naloga. Kada je omogućeno, korisnici se preusmeravaju na iskustvo korisnika spoljnog odjavljivanja prilikom odjavljivanja sa portala. Kada je onemogućeno, korisnici se odjavljuju samo sa portala.
    URL adresa za preusmeravanje nakon odjavljivanja Lokacija na koju će dobavljač identiteta preusmeravati korisnika nakon spoljne odjave. Ova lokacija treba da bude podešena na odgovarajući način u konfiguraciji dobavljača identiteta.
    Odjavljivanje koje pokreće RP Omogućava ili onemogućava odjavu koju je pokrenula pouzdana strana. Da biste koristili ovo podešavanje, prvo treba da omogućite spoljnu odjavu.

  9. (Opcionalno) Konfigurišite dodatna podešavanja.

    Dodatna podešavanja

    +Ime Opis
    Filter izdavaoca Filter zasnovan na džoker-znaku koji se podudara sa svim izdavaocima u svim zakupcima.
    Primer: https://sts.windows.net/*/
    Provera valjanosti ciljne grupe Ako je omogućeno, ciljna grupa se proverava tokom provere valjanosti tokena.
    Važeće ciljne grupe Lista URL adresa ciljne grupe razdvojena zarezima.
    Proverite valjanost izdavaoca Ako je omogućeno, izdavalac se proverava tokom provere valjanosti tokena.
    Važeći izdavaoci Lista URL adresa izdavaoca razdvojena zarezima.
    Mapiranje zahteva za registraciju Spisak logičkih parova ime-zahtev za mapiranje vrednosti zahteva vraćenih od dobavljača tokom registracije za atribute zapisa kontakata.
    Format: field_logical_name=jwt_attribute_name, gde je field_logical_name logički naziv polja na portalima, a jwt_attribute_name je atribut sa vrednošću vraćenom od dobavljača identiteta.
    Primer: firstname=given_name,lastname=family_name kada koristite Opseg kao profile za Azure AD. U ovom primeru, firstname i lastname su logička imena za polja profila na portalima, dok su given_name i family_name atributi sa vrednostima koje je dobavljač identiteta vratio za odgovarajuća polja.
    Mapiranje zahteva za prijavljivanje Spisak logičkih parova ime-zahtev za mapiranje vrednosti zahteva vraćenih od dobavljača tokom svakog prijavljivanja za atribute zapisa kontakata.
    Format: field_logical_name=jwt_attribute_name, gde je field_logical_name logički naziv polja na portalima, a jwt_attribute_name je atribut sa vrednošću vraćenom od dobavljača identiteta.
    Primer: firstname=given_name,lastname=family_name kada koristite Opseg kao profile za Azure AD. U ovom primeru, firstname i lastname su logička imena za polja profila na portalima, dok su given_name i family_name atributi sa vrednostima koje je dobavljač identiteta vratio za odgovarajuća polja.
    Trajanje jednokratnog ključa Trajanje vrednosti jednokratnog ključa, u minutima. Podrazumevano: 10 minuta
    Koristi trajanje tokena Označava da životni vek sesije potvrde identiteta (kao što su kolačići) treba da se podudara sa životnim vekom tokena za potvrdu identiteta. Ako je navedena, ova vrednost će zameniti vrednost vremenskog raspona isteka kolačića aplikacije u podešavanju lokacije Authentication/ApplicationCookie/ExpireTimeSpan.
    Mapiranje kontakata putem e-pošte Navedite da li se kontakti mapiraju na odgovarajuću e-poštu.
    Kada je podešeno na uključeno, jedinstveni zapis kontakta se povezuje sa e-adresom koja se podudara, dodeljujući dobavljača spoljnog identiteta kontaktu kada se korisnik uspešno prijavi.

    Napomena

    Parametar zahteva UI_Locales će sada biti automatski poslat u zahtevu za potvrdu identiteta i biće postavljen na jezik izabran na portalu.

Uređivanje OpenID Connect dobavljača

Da biste uredili konfigurisanog OpenID Connect dobavljača, pogledajte odeljak Uređivanje dobavljača.

Pogledajte i ovo

Konfigurisanje OpenID connect dobavljača za portale sa Azure AD
Najčešća pitanja o korišćenju OpenID Connect na portalima

Napomena

Možete li nam reći o svojim željenim postavkama jezika u dokumentaciji? Ispunite kratku anketu. (imajte na umu da je ova anketa na engleskom jeziku)

Anketa će trajati oko sedam minuta. Ne prikupljaju se lični podaci (izjava o privatnosti).