Поширені запитання про використання OpenID Connect на порталах
Примітка
З 12 жовтня 2022 року портали Power Apps перейменовано на Power Pages. Додаткова інформація: Microsoft Power Pages тепер у загальному доступі (блоґ)
Незабаром документацію порталів Power Apps буде перенесено та об’єднано з документацією Power Pages.
У цій статті наведено відомості про загальні сценарії порталів Power Apps і поширені запитання щодо використання постачальника автентифікації, який відповідає технічним характеристикам OpenID Connect.
Чи потрібен мені документ автоматичного визначення OpenID Connect для інтеграції з порталами?
Так. Документ автоматичного визначення (також відомий як /.well-known/openid-configuration) потрібен для інтеграції з порталами. Відомості, що наведені в цьому документі, використовуються порталами для створення запитів авторизації та перевірки маркерів автентифікації.
Якщо постачальник посвідчень не надає цей документ, його можна створити вручну та розмістити в будь-якому загальнодоступному розташуванні (зокрема, на вашому порталі).
Примітка
Аналогічно до документу визначення, портали також вимагають від постачальника посвідчень надання загальнодоступної кінцевої точки JWKS URI, де доступні відкриті ключі для перевірки підпису маркера ідентифікатора. Ця кінцева точка має бути зазначена у документі визначення як ключ jwks_uri.
Чи підтримують портали параметри запиту acr_values у запитах на автентифікацію?
Ні. Портали не підтримують параметри запиту acr_values у запитах авторизації. Проте, функціонал порталів підтримує усі обов’язкові та рекомендовані параметри запиту, визначені в технічних характеристиках OpenID Connect.
Підтримуються нижченаведені необов'язкові параметри.
- Response_mode
- Nonce
- UI_Locales
Чи підтримують портали параметри настроюваної області в запитах на автентифікацію?
Так. Параметри настроюваної області можна вказати за допомогою параметра «область» під час налаштування.
Чому значення імені користувача у контактній особі або в записі зовнішнього посвідчення в Dataverse відображається інакше порівняно з тим, як його вводить користувач на сторінці входу?
Поле імені користувача у записі контактної особи та записі зовнішнього посвідчення відображатиме значення, котре надсилається у дочірньому твердженні або твердженні ідентифікатора об'єкта (OID, лише для постачальників, що працюють на основі Azure AD). Це відбувається тому, що дочірнє твердження представляє ідентифікатор кінцевого користувача, і постачальник посвідчень гарантує його унікальність. Твердження OID (де ідентифікатор об’єкта — це унікальний ідентифікатор для всіх користувачів у клієнті) підтримується, якщо використовуються постачальники, котрі працюють на основі Azure AD із одним клієнтом.
Чи підтримують портали вихід з постачальників, що працюють на основі OpenID Connect?
Так. Функціонал порталів підтримує метод виходу з переднього каналу для виконання виходу як з програми, так і з постачальників, що працюють на основі OpenID Connect.
Чи підтримують портали єдиний вихід?
Ні. Портали не підтримують метод єдиного виходу для постачальників, що працюють на основі OpenID Connect.
Чи вимагають портали яких-небудь особливих тверджень у маркерах ідентифікаторів*?
На додачу до усіх обов’язкових тверджень, функціонал порталів вимагає твердження, що представляє адресу електронної пошти користувачів у маркері ідентифікатора. Це твердження повинно мати ім'я email, emails або upn.
Окремо від усіх обов’язкових тверджень, портали вимагають твердження, що представляє адресу електронної пошти користувачів у id_token. Це твердження повинно мати ім’я «email», «emails» або «upn».
Ці твердження обробляються в наведеному нижче порядку пріоритетів для задавання в якості Основної адреси електронної пошти запису контактної особи в Dataverse.
- електронна пошта
- електронні листи
- upn
Під час використання «emailclaimsmapping» також використовується для пошуку наявної контактної особи (поле «Основна адреса електронної пошти» в Dataverse).
Чи можу я отримати доступ до маркерів (ідентифікатора або доступу), використовуючи JavaScript?
Ні. До маркера ідентифікатора, що надається постачальником посвідчень, не можна отримати доступ жодним із стандартних методів на стороні клієнта; це значення використовується лише для автентифікації. Проте, якщо використовується потік неявного надання, можна використовувати методи, надані постачальником посвідчень, щоб отримати доступ до маркерів ідентифікатора або доступу.
Наприклад, Azure AD пропонує бібліотеку автентифікації Microsoft для виконання такого сценарію на клієнтах.
Чи можу я використовувати замість Azure AD настроюваного постачальника OpenID Connect?
Так. Портали підтримують усіх постачальників OpenID Connect, котрі відповідають стандартним технічним характеристикам OpenID Connect.
Статті за темою
Налаштування постачальника OpenID Connect для порталів
Примітка
Розкажіть нам про свої уподобання щодо мови документації? Візьміть участь в короткому опитуванні. (зверніть увагу, що це опитування англійською мовою)
Проходження опитування займе близько семи хвилин. Персональні дані не збиратимуться (декларація про конфіденційність).
Зворотний зв’язок
Очікується незабаром: протягом 2024 року ми будемо припиняти використання механізму реєстрації проблем у GitHub для зворотного зв’язку щодо вмісту й замінювати його новою системою зворотного зв’язку. Докладніше: https://aka.ms/ContentUserFeedback.
Надіслати й переглянути відгук про