Vanliga frågor och svar om hur du använder OpenID Connect i Power Pages
Den här artikeln ger information om vanliga scenarier för Power Pages portaler och svarar på vanliga frågor om att använda en autentiseringsprovider som överensstämmer med OpenID Connect specifikation.
Behöver jag OpenId Connect från dokumentet för automatisk identifiering för integrering med Power Pages?
Ett dokument för automatisk identifiering, eller OpenID Connect-metadatadokument (även kallat /.well-known/openid-configuration) krävs för integrering med Power Pages. Power Pages använder information i det här dokumentet används av portaler för att skapa auktoriseringsbegäran och verifiera autentiseringstoken.
Om din identitetsprovider (IDP) inte tillhandahåller dokumentet för automatisk identifiering kan du skapa det manuellt och på så sätt hantera det på valfri offentlig plats inklusive webbplatser.
Kommentar
Precis som för identifieringsdokumentet kräver Power Pages också IDP för att tillhandahålla en offentlig JWKS-URI slutpunkt där de offentliga nycklarna är tillgängliga för verifiering av signaturen för ID-token. Det här slutpunkt måste anges i identifieringsdokumentet som jwks_uri-nyckel.
Har Power Pages stöd acr_values för begäransparametrar i autentiseringsförfrågningarna?
Power Pages stöder inte acr_values för begäransparametrar i autentiseringsförfrågningarna. Men Power Pages-autentisering stöder alla nödvändiga och rekommenderade begärandeparametrar som definieras i OpenID Connect-specifikation. Följande valfria parametrar stöds:
- Response_mode
- Nonce
- UI_Locales
Stöder Power Pages anpassade omfattningsparametrar i autentiseringsbegäranden?
Anpassade omfattningsparametrar kan anges med inställningen omfattning i din konfiguration av provider.
Varför visas ett nytt värde i kontakt eller den externa identitetsposten i Dataverse som skiljer sig från vad användaren angav på inloggningssidan?
Fältet användarnamn för kontakt och en extern identitetspost visas värdet som skickas antingen i underspråket eller OID-anspråk (objekt-ID) (för Microsoft Entra-baserade providers). Detta beror på att under anspråk representerar ID:t för slutanvändaren och garanteras av att identitetsprovider är unikt. OID-anspråk (objekt-ID är en unik identifierare för alla användare i en klientorganisation) stöds när den används med en klientorganisation Microsoft Entra-baserade provider.
Stöder Power Pages stöder du att logga ut från OpenID Connect-baserade leverantörer?
Power Pages autentisering stöder frontkanalen utloggningsteknik för att logga ut från både app och den OpenID Connect-baserade provider.
Stöder Power Pages enkel utloggning?
Power Pages stöder inte en enkel utloggningsteknik för OpenID Connect-baserade provider.
Kräver Power Pages något specifikt anspråk i ID-token?
Power Pages kräver ett anspråk som motsvarar användarens e-postadress i ID-token. Detta anspråk måste ha namnet email, emails eller upn. Dessa anspråk bearbetas i följande ordning för att anges som primär e-postadress till kontaktposten i Dataverse:
- E-post
- e-postmeddelanden
- upn
När du använder används "emailclaimsmapping" även för att söka efter en befintlig kontakt (primär e-postadress i Dataverse).
Kan jag få åtkomst till token (ID eller åtkomst) med hjälp av JavaScript?
ID-token som identitetsprovider tillhandahåller inte tillgängligt med JavaScript eller någon standardteknik på klientsidan. Den används endast för autentisering. Om du använder implicit tilldelning av flöde kan du emellertid använda de metoder som din identitetsprovider tillhandahåller för att få tillgång till ID- eller åtkomsttoken. Tillhandahåller till exempel Microsoft Entra ID Microsoft Authentication Library för detta scenario.
Kan jag använda en anpassad OpenID Connect-leverantör istället för Microsoft Entra ID?
Power Pages stöder alla identitetsprovider som följer standarden OpenID Connect-specifikation.