Поділитися через

Налаштування постачальника OpenID Connect с Azure AD B2C

  • Стаття

Azure Active Directory (Azure AD) B2C – це один із постачальників посвідчень OpenID Connect, якого можна використовувати для автентифікації відвідувачів ваших сайтів Power Pages. Ви можете використовувати будь-якого постачальника посвідчень, який відповідає характеристикам OpenID Connect.

Ця стаття описує наступні кроки:

Нотатка

Щоб зміни, внесені до настройок автентифікації, відобразилися на сайті, може знадобитися кілька хвилин. Щоб одразу переглянути зміни, перезапустіть сайт у центрі адміністрування.

Налаштування Azure AD B2C в Power Pages

Установлення Azure AD B2C як постачальника посвідчень для вашого сайту.

  1. На сайті Power Pages виберіть Налаштування постачальників>Постачальники посвідчень.

    Якщо постачальники посвідчень не відображаються, перевірте, щоб для параметру Зовнішній вхід було встановлено значення Ввімк. у загальних параметрах автентифікації вашого сайту.

  2. Праворуч від Azure Active Directory B2C виберіть Інші команди (...) >Налаштувати або виберіть ім’я постачальника.

  3. Залиште ім’я постачальника, як є, або змініть його, якщо потрібно.

    Ім'я постачальника — це текстове значення кнопки, що відображатиметься для користувачів, коли вони вибиратимуть свого постачальника посвідчень на сторінці входу.

  4. Виберіть Далі.

  5. В області URL-адреса відповіді виберіть Копіювати.

  6. Виберіть Відкрити Azure.

    Не закривайте вкладку браузера Power Pages. Незабаром ви повернетесь до нього.

Як створити додаток для реєстрації

Створіть клієнта для Azure AD B2C та зареєструйте програму за допомогою URL-адреси відповіді на сайті як URI-адресу переспрямування.

  1. Створення клієнта Azure AD B2C.

  2. За допомогою пошуку знайдіть і виберіть Azure AD B2C.

  3. В області Керування виберіть Реєстрації програм.

  4. Виберіть Створити реєстрацію.

  5. Введіть ім’я.

  6. Виберіть один із підтримуваних типів облікового запису, який найкраще відповідає вимогам організації.

  7. В області URI-адреса переспрямування виберіть Веб-сайт як платформу, а потім введіть URL-адресу відповіді сайту.

    • Якщо використовується стандартна URL-адреса сайту, вставте скопійовану URL-адресу.
    • Якщо використовується настроюване доменне ім’я, введіть настроювану URL-адресу. Обов’язково використовуйте ту саму настроювану URL-адресу для URL-адреси переспрямування в настройках постачальника посвідчень на вашому сайті.

  8. Виберіть Реєстрація.

  9. Скопіюйте Ідентифікатор програми (клієнта).

  10. на бічній панелі в області Керування натисніть Автентифікації.

  11. У розділі Неявне надання дозволів виберіть Маркери доступу (використовуються для неявних потоків).

  12. Виберіть Зберегти.

  13. Налаштуйте сумісність маркерів, використовуючи URL-адресу Твердження видавця (iss), яка містить tfp. Дізнайтеся більше про сумісність маркерів.

Створення потоків користувача

  1. Створіть потік користувача для реєстрації та входу.

  2. Створіть потік користувача для скидання пароля (необов’язково).

Отримання URL-адреси видавця з потоків користувачів

  1. Відкрийте створений потік користувача для реєстрації та входу.

  2. Перейдіть до клієнта Azure AD B2C на порталі Azure.

  3. Виберіть Запустити потік користувача.

  4. Відкрийте URL-адресу налаштування OpenID Connect у новій вкладці браузера.

    URL-адреса посилається на Документ конфігурації постачальника посвідчень OpenID Connect, також відомий під назвою Загальновідома кінцева точка конфігурації OpenID.

  5. Скопіюйте URL-адресу видавця в рядку адреси. Не додавайте лапки. Переконайтеся, що URL-адреса Твердження видавця (iss) містить tfp.

  6. Відкрийте потік користувача для скидання пароля, якщо його створено, і повторіть кроки 2–5.

Введіть параметри сайту та параметри скидання пароля в Power Pages

  1. Поверніться до сторінки Power Pages Настроювання постачальника посвідчень, яку ви залишили раніше.

  2. У розділі Налаштування параметрів сайту введіть зазначені нижче значення.

    • Повноваження: вставте скопійовану URL-адресу видавця.

    • Ідентифікатор клієнта: вставте ідентифікатор програми (клієнта) створеної Azure AD вами програмиB2C.

    • URI переспрямування: якщо на сайті використовується настроюване ім’я домену, введіть настроювану URL-адресу; в іншому разі залиште стандартне значення, яке має бути URL-адресою відповіді на сайті.

  3. У розділі Параметри скидання паролю введіть зазначені нижче значення.

    • Ідентифікатор політики за замовчуванням: введіть ім'я для створеного потоку користувача для реєстрації та входу. Перед ім'ям стоїть префікс B2C_1.

    • Ідентифікатор політики скидання пароля: якщо ви створили потік користувача для скидання пароля, введіть його ім’я. Перед ім'ям стоїть префікс B2C_1.

    • Дійсні видавці: введіть розділений комами список URL-адрес видавців для потоків користувача для реєстрації, входу та скидання паролю, створених раніше.

  4. (Необов’язково) Розгорніть Додаткові параметри та за потреби змініть параметри.

  5. Виберіть Підтвердити.

Додаткові параметри в Power Pages

Додаткові параметри дають точніший контроль над тим, як користувачі автентифікуються за допомогою постачальника посвідчень Azure AD B2C. Не потрібно встановлювати жодне з цих значень. Вони необов’язкові.

  • Зіставлення тверджень для реєстрації та зіставлення тверджень для входу. Під час автентифікації користувача твердженням називається інформація, яка описує ідентифікаційні дані користувача, наприклад адреса електронної пошти або дата народження. Під час входу до програми або веб-сайту створюється маркер. Маркер містить інформацію про особу, включно з усіма пов’язаними з ним твердженнями. Маркери використовуються для автентифікації особи під час доступу до інших частин програми або сайту або інших програм і сайтів, підключених до одного постачальника посвідчень. Зіставлення тверджень — це спосіб змінити інформацію, яка міститься в маркері. З його допомогою можна настроювати відомості, доступні для прогами або сайту, та керувати доступом до функцій або даних. Зіставлення тверджень про реєстрацію змінює твердження, які видаються під час реєстрації програми або сайту. Зіставлення тверджень щодо входу змінює твердження, які видаються під час входу в програму або на сайт. Докладніше про політики зіставлення тверджень

    • Значення для цих параметрів вводити не потрібно, якщо використовуються атрибути електронна пошта, ім’я або прізвище. Для інших атрибутів введіть список пар «логічне ім’я/значення». Введіть їх у форматі field_logical_name=jwt_attribute_name, де field_logical_name – це логічне ім'я поля в Power Pages, а jwt_attribute_name – це атрибут зі значенням, отриманим від постачальника посвідчень. Ці пари використовуються для зіставлення значень тверджень ( створених під час реєстрації або входу і повернутих з Azure AD B2C) з атрибутами запису контактної особи.

      Наприклад, ви використовуєте Посаду (jobTitle) і Поштовий індекс (postalCode) як Атрибути користувача в потоку користувача. Ви бажаєте оновити відповідні поля таблиці Contact: Посада (jobtitle) і Адреса 1: ZIP / Поштовий індекс (address1_postalcode). У цьому разі введіть зіставлення тверджень як jobtitle=jobTitle,address1_postalcode=postalCode.

  • Зовнішні виходи: цей параметр визначає, чи використовується федеративний вихід із сайту. Завдяки федеративному виходу під час виходу користувачів із програми або сайту вони також виходять із усіх програм і сайтів, які використовують такий самий постачальник посвідчень. Наприклад, якщо ви входите на сайт за допомогою облікового запису Microsoft, а потім виходите з облікового запису Microsoft, федеративний вихід гарантує, що ви вийшли із сайту теж.

    • Увімкнуто: переспрямовує користувачів до інтерфейсу федеративного виходу після виходу з вашого вебсайту.
    • Вимкнуто: користувачі виходять лише з вашого вебсайту.

  • Зіставлення контакту з адресою електронної пошти: визначає, чи зіставляються контакти з відповідною адресою електронної пошти під час входу.

    • Увімкнено: пов’язує унікальний запис контакту з відповідною електронною адресою, а потім автоматично призначає контакту зовнішнього постачальника посвідчень, після того як користувач входить до облікового запису.
    • Вимкнуто: запис контактної особи не відповідає постачальнику посвідчень. Це стандартний варіант для цього параметра.

  • Реєстрацію ввімкнуто : цей параметр визначає, чи можуть користувачі реєструватися на вашому сайті.

    • Увімкнуто: відображає сторінку реєстрації, на якій користувачі можуть створити обліковий запис на вашому сайті.
    • Вимкнуто: деактивує та приховує зовнішню сторінку реєстрації облікового запису.

Див. також

Налаштування автентифікації сайту
Міграція постачальників посвідчень до Azure AD B2C