Dela via

Konfigurera OpenID Connect-provider med Microsoft Entra ID

  • Artikel

Microsoft Entra är en av de OpenID Connect identitetsleverantörer du kan använda för att autentisera besökare till din Power Pages webbplatsen. Tillsammans med Microsoft Entra ID, med flera organisationer i samma installation Microsoft Entra ID och Azure AD B2C kan du använda vilken annan leverantör som helst som överensstämmer med Open ID Connect-specifikationen.

Denna artikel beskriver följande steg:

Kommentar

Ändringar i webbplats med autentiseringsinställningarna kan ta några minuter för att visa på webbplatsen. Om du vill se ändringarna omedelbart startar du om webbplatsen i administrationscenter.

Konfigurera Microsoft Entra i Power Pages

Konfigurera Microsoft Entra som en identitetskälla för webbplats

  1. I Power Pages webbplatsen, välj Konfigurera>identitetsleverantörer.

    Om inga identitetsleverantörer visas, se till Extern inloggning anges till i webbplatsens allmänna autentiseringsinställningar.

  2. Välj + Ny provider.

  3. Under Välj inloggningsprovider som Annat.

  4. Under protokoll som OpenID Connect.

  5. Ange ett namn för leverantören, till exempel, Microsoft Entra ID.

    Leverantörens namn är texten på knappen som användare ser när de väljer sin identitetsleverantör på inloggningssidan.

  6. Välj Nästa.

  7. Under Svars-URL, välj Kopiera.

    Stäng inte webbläsarfliken Power Pages. Du kommer snart tillbaka till det.

Skapa en appregistrering i Azure

Skapa en appregistrering i Azure-portalen med webbplatsens svars-URL som omdirigerings-URI.

  1. Logga in på Azure-portal.

  2. Sök efter och markera Azure Active Directory.

  3. Under Hantera, välj Appregistreringar.

  4. Välj Ny registrering.

  5. Ange ett namn.

  6. Välj en av de kontotyper som stöds som bäst återspeglar dina organisationskrav.

  7. Under Omdirigerings-URI, välj Webb som plattform och ange sedan svarsadressen för din webbplats.

    • Om du använder webbplatsens standard-URL klistrar du in svars-URL:en du kopierade.
    • Om du använder ett anpassat domännamn anger du anpassad URL. Se till att du använder samma anpassade URL för om omdirigerar-URL:en i inställningarna för identitetsprovider på webbplatsen.

  8. Välj Registrera.

  9. Kopiera App-ID (klient) .

  10. Till höger om Klientautentiseringsuppgifter, välj Lägg till ett certifikat eller en hemlighet.

  11. Välj + Ny klienthemlighet.

  12. Ange en valfri beskrivning, välj en förfalloperiod och välj sedan Lägg till.

  13. Under Hemlighets-ID, välj ikonen Kopiera till urklipp.

  14. Överst på sidan väljer du Slutpunkter.

  15. Sök efter Metadatadokument för OpenID Connect URL och välj kopieringsikonen.

  16. I vänstra sidopanelen, under Hantera, välj Autentisering.

  17. Under implicit beviljande, markera ID-token (används för implicita och hybrida flöden).

  18. Välj Spara.

Ange webbplatsinställningar i Power Pages

Gå tillbaka till sidan Power Pages Konfigurera identitetsprovider som du lämnade tidigare och ange följande värden. Alternativt kan du ändra övriga inställningarna efter behov. När du är klar väljer du Bekräfta.

  • Utfärdare: Ange utfärdar-URL i följande format: https://login.microsoftonline.com/<Directory (tenant) ID>/, där <katalog-ID (klientorganisation)> är katalog-ID (klientorganisation) för appen du skapat. Om till exempel katalog-ID (klientorganisation) i Azure-portalen är 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, är utfärdar-URL https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • Klient-ID​: Klistra in app- eller klient-ID för appen du skapade.

  • Omdirigerings-URL: Om ett anpassat domännamn används för webbplatsen anger du den anpassade URL-adressen. I annat fall lämnar du standardvärdet. Se till att värdet är exakt detsamma som omdirigerings-URI för appen du skapade.

  • Metadataadress: Klistra in metadatadokument för OpenID Connect URL du kopierade.

  • Omfattning: Ange openid email.

    Värdet openid är obligatoriskt. Värdet email är valfritt. Det säkerställer att användarens e-postadress automatiskt fylls i och visas på profilsidan efter att användaren loggat in. Läs om andra anspråk som du kan lägga till.

  • Svarstyp: Välj code id_token.

  • Klienthemlighet: Klistra in klienthemligheten från programmet du skapade. Den här inställningen är obligatorisk om svarstypen är code.

  • Svarsläge: Välj form_post.

  • Extern inloggning: Den här inställningen styr om en extern utloggning används för webbplatsen. När användare loggar ut från ett program eller en webbplats med extern inloggning är de också inloggade på alla program och webbplatser som använder samma identitetsleverantör. Aktivera den för att omdirigera användarna till den externa miljön för utloggning när de loggar ut från webbplatsen. Stäng av den för att endast registrera användare på webbplatsen.

  • Omdirigerings-URL efter utloggning: Ange webbadressen dit identitetsprovider ska omdirigera användare efter att de loggat ut. Denna plats bör ställas in på lämpligt sätt i konfiguration av identitetsprovidern.

  • RP-initierad utloggning: Den här inställningen styr om den förlitande parten – OpenID Connect klientapp kan logga ut användare. Om du vill använda den här inställningen ska den externa utloggningen aktiveras.

Ytterligare inställningar i Power Pages

De ytterligare inställningarna ger bättre kontroll över hur användare autentiserar med din Microsoft Entra-identitetsprovidern. Du behöver inte ange något av dessa värden. De är helt valfria.

  • Utfärdarfilter: Ange ett jokerbaserat filter som passar för alla utfärdare över alla innehavare, t.ex. https://sts.windows.net/*/.

  • Verifiera målgrupp: Aktivera den här inställningen om du vill verifiera målgrupp vid tokenvalidering.

  • Validera målgrupper: Ange en kommaavgränsad lista med URL:er för målgrupper.

  • Verifiera utfärdare: Aktivera den här inställningen om du vill verifiera utfärdare vid tokenvalidering.

  • Verifiera utfärdare: Ange en kommaavgränsad lista med URL:er för utfärdare.

  • Mappning av registreringsanspråk och Mappning av inloggningsanspråk: I användarautentisering är ett anspråk information som beskriver en användares identitet, som en e-postadress eller datum för registrering. När du loggar in på ett program eller en webbplats skapas en token. En token innehåller information om din identitet, inklusive eventuella anspråk som är associerade med den. Token används för att autentisera din identitet när du öppnar andra delar av programmet eller webbplatsen eller andra program och webbplatser som är anslutna till samma identitetsleverantör. Anspråksmappning är ett sätt att ändra informationen som ingår i en token. Den kan användas för att anpassa den information som är tillgänglig för programmet eller webbplatsen och för att styra åtkomsten till funktioner eller data. Mappningen av registreringsanspråk ändrar de krav som genereras när du registrerar dig för ett program eller en webbplats. Mappning av inloggningsanspråk ändrar de krav som genereras när du loggar in för ett program eller en webbplats. Läs mer om policyer för anspråksmappning.

  • Nonce-livstid: Ange nonce-värdets livstid i minuter. Standardvärdet är 10 minuter.

  • Använd livslängden för token: Denna inställning kontrollerar om livslängden för autentiseringssessionen (till exempel cookies) ska matcha autentiseringstokens livslängd. Om du slår på den, åsidosätter detta värdet tidsintervallet för programcookien i webbplatsinställningen Authentication/ApplicationCookie/ExpireTimeSpan.

  • Kontaktmappning med e-post: Den här inställningen avgör om kontakter mappas till en motsvarande e-postadress när de loggar in.

    • : Associerar en unik kontaktpost till en matchande e-postadress och tilldelar automatiskt den externa identitetsleverantören till kontakten när användaren har loggat in.
    • Av

Kommentar

UI_Locales skickas nu automatiskt i autentiseringsbegäran och anges till det språk som väljs på portalen.

Konfigurera ytterligare anspråk

  1. Aktivera valfria anspråk i Microsoft Entra ID.

  2. Ange omfattning för att inkludera ytterligare anspråk, t.ex. openid email profile.

  3. Ange alternativet för Mappning av registreringsanspråk ytterligare webbplatsinställning, t.ex. firstname=given_name,lastname=family_name.

  4. Ange alternativet för Mappning av inloggningsanspråk ytterligare webbplatsinställning, t.ex. firstname=given_name,lastname=family_name.

I dessa exempel blir förnamn, efternamn och e-postadresser som ingår i de nya anspråken standardvärden på webbsidans profilsida.

Kommentar

Anspråksmappning stöds för Text och Booleska datatyper.

Tillåt Microsoft Entra-autentisering med flera organisationer i samma installation

För att tillåta användare Microsoft Entra att autentisera från valfri klientorganisation i Azure, inte bara från en specifik klientorganisation, ändra Microsoft Entra programregistreringen till flera innehavare.

Du måste också ange Utfärdarfilter i providerns ytterligare inställningar.

Se även

Vanliga frågor och svar om OpenID Connect