แชร์ผ่าน


ตั้งค่าคอนฟิกผู้ให้บริการ OpenID Connect สำหรับพอร์ทัล

หมายเหตุ

พอร์ทัล Power Apps คือ Power Pages โดยมีผลในวันที่ 12 ตุลาคม 2022 ข้อมูลเพิ่มเติม: Microsoft Power Pages มีให้ใช้งานทั่วไป (บล็อก)
ในไม่ช้าเราจะย้ายและรวมคู่มือพอร์ทัล Power Apps เข้ากับ คู่มือ Power Pages

ตัวให้บริการข้อมูลเอกลักษณ์ภายนอกของ OpenID Connect มีการบริการที่สอดคล้องกับ ข้อมูลจำเพาะ Open ID Connect OpenID Connect แนะนำแนวคิดของ โทเค็นรหัส ซึ่งเป็นโทเค็นการรักษาความปลอดภัยที่อนุญาตให้ไคลเอ็นต์ตรวจสอบตัวตนของผู้ใช้ นอกจากนี้ โทเค็นรหัสยังได้รับข้อมูลโปรไฟล์พื้นฐานเกี่ยวกับผู้ใช้—หรือเรียกกันทั่วไปว่า การอ้างสิทธิ์

บทความนี้อธิบายวิธีการที่ผู้ให้บริการข้อมูลประจำตัวที่รองรับ OpenId Connect สามารถรวมเข้ากับพอร์ทัล Power Apps ตัวอย่างบางส่วนของผู้ให้บริการ OpenID Connect สำหรับพอร์ทัล: Azure Active Directory (Azure AD) B2C Azure AD Azure AD ที่มีผู้เช่าหลายราย

โฟลว์การตรวจสอบสิทธิ์ที่รองรับและไม่สนับสนุนในพอร์ทัล

  • การให้สิทธิ์โดยนัย
    • โฟลว์นี้เป็นวิธีการรับรองความถูกต้องเริ่มต้นที่ใช้โดยพอร์ทัล
  • รหัสการอนุญาต
    • พอร์ทัลใช้วิธีการ client_secret_post ในการสื่อสารกับจุดสิ้นสุดโทเค็นของเซิร์ฟเวอร์ข้อมูลประจำตัว
    • ไม่รองรับการใช้วิธีการ private_key_jwt ในการตรวจสอบความถูกต้องด้วยจุดสิ้นสุดโทเค็น
  • ไฮบริด (การสนับสนุนที่จำกัด)
    • พอร์ทัลต้องการให้ id_token ถูกนำเสนอในการตอบสนอง ดังนั้นการมีค่า response_type เป็น รหัสโทเค็น ไม่มีการรองรับ
    • โฟลว์ไฮบริดในพอร์ทัลเป็นไปตามโฟลว์เดียวกับโฟลว์การให้สิทธิ์โดยนัย และใช้ id_token เพื่อเข้าสู่ระบบผู้ใช้โดยตรง
  • พอร์ทัลไม่สนับสนุนเทคนิคที่ใช้ Proof Key for Code Exchange (PKCE)–เพื่อตรวจสอบผู้ใช้

หมายเหตุ

การเปลี่ยนแปลงไปยังการตั้งค่าการรับรองความถูกต้อง อาจใช้เวลาสักครู่ เพื่อให้มีการสะท้อนในพอร์ทัล รีสตาร์ทพอร์ทัลโดยใช้ การดำเนินการพอร์ทัล หากคุณต้องการให้การเปลี่ยนแปลงมีการสะท้อนโดยทันที

ตั้งค่าคอนฟิกผู้ให้บริการ OpenID Connect

เช่นเดียวกันกับผู้ให้บริการรายอื่น คุณต้องลงชื่อเข้าใช้ Power Apps เพื่อกำหนดค่าผู้ให้บริการ OpenID Connect

  1. เลือก เพิ่มผู้ให้บริการ สำหรับพอร์ทัลของคุณ

  2. สำหรับ ผู้ให้บริการเข้าสู่ระบบ เลือก อื่นๆ

  3. สำหรับ โปรโตคอล เลือก OpenID Connect

  4. ป้อนชื่อผู้ให้บริการ

    ชื่อตัวให้บริการ

  5. เลือก ถัดไป

  6. ให้สร้างแอปพลิเคชัน และตั้งค่าคอนฟิกการตั้งค่ากับผู้ให้บริการข้อมูลประจำตัวของคุณ

    สร้างแอปพลิเคชัน

    หมายเหตุ

    URL ตอบกลับใช้โดยแอปเพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังพอร์ทัลหลังจากการรับรองความถูกต้องสำเร็จ หากพอร์ทัลของคุณใช้ชื่อโดเมนที่กำหนดเอง คุณอาจมี URL ที่แตกต่างจากที่ระบุไว้ที่นี่

  7. ป้อนค่าติดตั้งไซต์ต่อไปนี้สำหรับการกำหนดค่าพอร์ทัล

    กำหนดค่าการตั้งค่าไซต์ OpenID

    หมายเหตุ

    ตรวจสอบให้แน่ใจว่าคุณได้ทบทวน—และหากจำเป็น ให้เปลี่ยน—ค่าเริ่มต้น

    ชื่อ รายละเอียด
    หน่วยงาน URL ของหน่วยงาน (หรือผู้ออก) ที่เชื่อมโยงกับตัวให้บริการข้อมูลเอกลักษณ์
    ตัวอย่าง (Azure AD) : https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/
    ID ไคลเอ็นต์ รหัสของแอปพลิเคชันที่สร้างด้วยตัวให้บริการข้อมูลเอกลักษณ์ที่จะถูกใช้กับพอร์ทัล​
    เปลี่ยนเส้นทาง URL ตำแหน่งที่ตัวให้บริการข้อมูลเอกลักษณ์จะส่งการตอบกลับการรับรองความถูกต้อง​
    ตัวอย่าง: https://contoso-portal.powerappsportals.com/signin-openid_1
    หมายเหตุ: หากคุณกำลังใช้ URL พอร์ทัลเริ่มต้น คุณสามารถคัดลอกและวาง URL ตอบกลับ ดังแสดงในขั้นตอน สร้างและตั้งค่าคอนฟิกการตั้งค่าผู้ให้บริการ OpenID Connect หากคุณใช้ชื่อโดเมนที่กำหนดเอง ให้ป้อน URL ด้วยตนเอง ตรวจสอบให้แน่ใจว่าค่าที่คุณป้อนค่าตรงนี้ตรงกับค่า เปลี่ยนเส้นทาง URI สำหรับแอปพลิเคชันในการตั้งค่าคอนฟิกผู้ให้บริการข้อมูลประจำตัว (เช่น พอร์ทัล Azure)
    ที่อยู่เมตาดาต้า จุดสิ้นสุดการค้นพบสำหรับเมตาดาต้าที่ได้รับ รูปแบบทั่วไป: [URL หน่วยงาน]/.well-known/openid-configuration.
    ตัวอย่าง (Azure AD) : https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/v2.0/.well-known/openid-configuration
    Scope รายการคั่นด้วยช่องว่างของขอบเขตที่จะร้องขอผ่านพารามิเตอร์ขอบเขต OpenID Connect
    ค่าเริ่มต้น: openid
    ตัวอย่าง (Azure AD) : openid profile email
    ข้อมูลเพิ่มเติม: กำหนดค่าการอ้างสิทธิ์เพิ่มเติมเมื่อใช้ OpenID Connect สำหรับพอร์ทัลกับ Azure AD
    ชนิดการตอบรับ ​ค่าสำหรับพารามิเตอร์ response_type ของ OpenID Connect
    ค่าที่เป็นไปได้ ได้แก่:
    • code
    • code id_token
    • id_token
    • id_token token
    • code id_token token

    ค่าเริ่มต้น: code id_token
    ข้อมูลลับของไคลเอ็นต์ ค่าความลับของไคลเอ็นต์จากแอปพลิเคชันของผู้ให้บริการ นอกจากนั้น นี่อาจยังถูกอ้างอิงเป็น ความลับของแอป หรือ ความลับของผู้บริโภค จำเป็นต้องมีการตั้งค่านี้ หากชนิดการตอบกลับที่เลือกคือ code
    โหมดคำตอบ ​ค่าสำหรับพารามิเตอร์ response_mode ของ OpenID Connect ค่าควรเป็น query หากชนิดการตอบกลับที่เลือกคือ code ค่าเริ่มต้น: form_post
  8. ตั้งค่าคอนฟิกการตั้งค่าสำหรับการออกจากระบบของผู้ใช้

    การตั้งค่าออกจากระบบ

    ชื่อ รายละเอียด
    การออกจากระบบจากภายนอก เปิดใช้งานหรือยกเลิกการใช้งานการลงชื่อออกบัญชีภายนอก เมื่อเปิดใช้งาน ผู้ใช้จะถูกเปลี่ยนเส้นทางไปยังประสบการณ์ผู้ใช้ที่ลงชื่อออกแบบภายนอก เมื่อพวกเขาลงชื่อออกจากพอร์ทัล เมื่อปิดใช้งาน ผู้ใช้จะถูกลงชื่อออกจากพอร์ทัลเท่านั้น
    URL การเปลี่ยนเส้นทางการออกจากโพสต์​ ​ตำแหน่งที่ตัวให้บริการข้อมูลเอกลักษณ์จะเปลี่ยนเส้นทางผู้ใช้หลังออกจากระบบภายนอก ตำแหน่งนี้ควรถูกตั้งค่าอย่างเหมาะสมในการตั้งค่าคอนฟิกตัวให้บริการข้อมูลเอกลักษณ์
    RP ที่เริ่มออกจากระบบ เปิดใช้งานหรือปิดใช้งานการลงชื่อออกที่เริ่มต้นโดยฝ่ายที่เกี่ยวข้อง ในการใช้การตั้งค่านี้ เปิดใช้งาน การออกจากระบบภายนอก เป็นอันดับแรก
  9. (เลือกได้) กำหนดค่าการตั้งค่าเพิ่มเติม

    การตั้งค่าเพิ่มเติม

    ชื่อ รายละเอียด
    ตัวกรองผู้ออก ตัวกรองที่ใช้อักขระตัวแทนที่ตรงกับผู้ออกทั้งหมดในผู้เช่าทั้งหมด
    ตัวอย่าง: https://sts.windows.net/*/
    ตรวจสอบความถูกต้องผู้ชม​ ​หากเปิดใช้งาน ระบบจะตรวจสอบความถูกต้องของผู้ชมระหว่างการตรวจสอบความถูกต้องของโทเค็น
    ผู้ชมที่ถูกต้อง​ รายการ URL ของผู้ชมที่คั่นด้วยจุลภาค
    ตรวจสอบความถูกต้องผู้ออก​ หากเปิดใช้งาน ระบบจะตรวจสอบความถูกต้องของผู้ออกระหว่างการตรวจสอบความถูกต้องของโทเค็น
    ผู้ออกที่ถูกต้อง รายการ URL ของผู้ออกที่คั่นด้วยจุลภาค
    การแม็ปการอ้างสิทธิ์ในการลงทะเบียน รายชื่อคู่การอ้างสิทธิ์ชื่อเชิงตรรกะเพื่อแม็ปค่าการอ้างสิทธิ์ที่ส่งคืนจากผู้ให้บริการ ในระหว่างการลงทะเบียนไปยังแอตทริบิวต์ของเรกคอร์ดผู้ติดต่อ
    รูปแบบ: field_logical_name=jwt_attribute_name ที่ field_logical_name คือชื่อตรรกะของฟิลด์ในพอร์ทัล และ jwt_attribute_name คือแอตทริบิวต์ที่มีค่าที่ส่งคืนจากผู้ให้บริการข้อมูลประจำตัว
    ตัวอย่าง: firstname=given_name,lastname=family_name เมื่อใช้ ขอบเขต เป็น profile สำหรับ Azure AD ในตัวอย่างนี้ firstname และ lastname เป็นชื่อตรรกะสำหรับฟิลด์โปรไฟล์ในพอร์ทัล ในขณะที่ given_name และ family_name คือแอตทริบิวต์ที่มีค่าที่ส่งคืนโดยผู้ให้บริการข้อมูลประจำตัวสำหรับฟิลด์ที่เกี่ยวข้อง
    การแม็ปการอ้างสิทธิ์ในการเข้าสู่ระบบ รายการของคู่ชื่อตรรกะ-การอ้างสิทธิ์เพื่อแมปค่าการอ้างสิทธิ์ที่ส่งคืนจากผู้ให้บริการทุกครั้งที่ลงชื่อเข้าใช้แอตทริบิวต์ของเรกคอร์ดผู้ติดต่อ
    รูปแบบ: field_logical_name=jwt_attribute_name ที่ field_logical_name คือชื่อตรรกะของฟิลด์ในพอร์ทัล และ jwt_attribute_name คือแอตทริบิวต์ที่มีค่าที่ส่งคืนจากผู้ให้บริการข้อมูลประจำตัว
    ตัวอย่าง: firstname=given_name,lastname=family_name เมื่อใช้ ขอบเขต เป็น profile สำหรับ Azure AD ในตัวอย่างนี้ firstname และ lastname เป็นชื่อตรรกะสำหรับฟิลด์โปรไฟล์ในพอร์ทัล ในขณะที่ given_name และ family_name คือแอตทริบิวต์ที่มีค่าที่ส่งคืนโดยผู้ให้บริการข้อมูลประจำตัวสำหรับฟิลด์ที่เกี่ยวข้อง
    อายุการใช้งานปัจจุบัน อายุของค่าปัจจุบัน เป็นนาที ค่าเริ่มต้น: 10 นาที
    ใช้อายุการใช้งานของโทเค็น​ ระบุว่าอายุเซสชันอายุการใช้งานการรับรองความถูกต้อง (เช่น คุกกี้) ควรตรงกับโทเค็นการรับรองความถูกต้องหรือไม่ หากระบุไว้ ค่านี้จะแทนที่ค่า Application Cookie Expire Timespan ในการตั้งค่าไซต์ Authentication/ApplicationCookie/ExpireTimeSpan
    การแม็ปผู้ติดต่อกับอีเมล ระบุว่าผู้ติดต่อได้รับการแม็ปไปยังอีเมลที่สอดคล้องกันหรือไม่
    เมื่อตั้งค่าเป็น เปิด การตั้งค่านี้จะเชื่อมโยงกับเรกคอร์ดผู้ติดต่อที่ไม่ซ้ำกันที่มีที่อยู่อีเมลที่ตรงกัน จากนั้นระบบจะกำหนดตัวให้บริการข้อมูลเฉพาะตัวภายนอกไปยังผู้ติดต่อหลังจากที่ผู้ใช้ได้เข้าสู่ระบบเสร็จสมบูรณ์แล้ว

    หมายเหตุ

    พารามิเตอร์คำขอ UI_Locales จะถูกส่งโดยอัตโนมัติในคำขอการรับรองความถูกต้องและจะถูกตั้งค่าเป็นภาษาที่เลือกในพอร์ทัล

แก้ไขผู้ให้บริการ OpenID Connect

หากต้องการแก้ไขผู้ให้บริการ OpenID Connect ที่กำหนดค่าไว้ โปรดดู แก้ไขผู้ให้บริการ

ดูเพิ่มเติม

ตั้งค่าคอนฟิกผู้ให้บริการ OpenID Connect สำหรับพอร์ทัลด้วย Azure AD
คำถามที่พบบ่อยสำหรับการใช้ OpenID Connect ในพอร์ทัล

หมายเหตุ

บอกให้เราทราบเกี่ยวกับภาษาที่คุณต้องการในคู่มือ ทำแบบสำรวจสั้นๆ (โปรดทราบว่าแบบสำรวจนี้เป็นภาษาอังกฤษ)

แบบสำรวจนี้ใช้เวลาทำประมาณเจ็ดนาที ไม่มีการเก็บข้อมูลส่วนบุคคล (คำชี้แจงสิทธิ์ส่วนบุคคล)