Поділитися через


Налаштування постачальника OpenID Connect

Зовнішні постачальники посвідчень OpenID Connect — це послуги, які відповідають характеристикам Open ID Connect. OpenID Connect представляє концепцію маркера ідентифікації. Маркер ідентифікації є маркером безпеки, що дає змогу клієнту перевірити посвідчення користувача. Він також отримує основні відомості профілю користувача; зазвичай їх називають твердження.

У OpenID Connect вбудовані провайдери Azure AD B2C, Microsoft Entra ID та Microsoft Entra ID з декількома клієнтами Power Pages. У цій статті пояснюється, як додати на сайт Power Pages інших постачальників посвідчень OpenID Connect.

Підтримувані та непідтримувані потоки автентифікації в Power Pages

  • Неявне надання
    • Цей потік — це метод автентифікації, який використовується сайтами Power Pages за замовчуванням.
  • Код авторизації
    • Power Pages використовує метод client_secret_post для обміну даними з кінцевою точкою маркера на сервері посвідчень.
    • Використання методу private_key_jwt для автентифікації на кінцевій точці маркера не підтримується.
  • Гібридний (обмежена підтримка)
    • Power Pages вимагає, щоб id_token був присутнім у відповіді, тому, значення response_type = маркер коду не підтримується.
    • Гібридний потік у Power Pages виконується подібно до неявного надання, і використовує id_token для здійснення входу користувачів безпосередньо.
  • Підтвердження ключа для обміну кодами (PKCE)
    • Методи автентифікації користувачів на основі PKCE не підтримуються.

Нотатка

Щоб зміни, внесені до настройок автентифікації, відобразилися на сайті, може знадобитися кілька хвилин. Щоб одразу переглянути зміни, перезапустіть сайт у центрі адміністрування.

Налаштування постачальника OpenID Connect у Power Pages

  1. На сайті Power Pages виберіть Налаштування постачальників>Постачальники посвідчень.

    Якщо постачальники посвідчень не відображаються, перевірте, щоб для параметру Зовнішній вхід було встановлено значення Ввімк. у загальних параметрах автентифікації вашого сайту.

  2. Виберіть + Створити постачальника.

  3. Для параметру Вибрати постачальника для входу в систему натисніть Інший.

  4. Виберіть для параметра Протокол значення OpenID Connect.

  5. Введіть ім’я постачальника.

    Ім'я постачальника — це текстове значення кнопки, що відображатиметься для користувачів, коли вони вибиратимуть свого постачальника посвідчень на сторінці входу.

  6. Виберіть Далі.

  7. В області URL-адреса відповіді виберіть Копіювати.

    Не закривайте вкладку браузера Power Pages. Незабаром ви повернетесь до нього.

Створення реєстрації програми в постачальника посвідчень

  1. Створюйте та реєструйте програму за допомогою постачальника посвідчень за допомогою скопійованої URL-адреси відповіді.

  2. Скопіюйте програму або ідентифікатор клієнта й секрет клієнта.

  3. Знайдіть кінцеві точки програми та скопіюйте URL-адресу документу метаданих OpenID Connect.

  4. За необхідності змініть інші настройки для постачальника посвідчень.

Введення параметрів сайту в Power Pages

Поверніться до сторінки Power Pages налаштування постачальника посвідчень, яку ви залишили, і введіть наведені нижче значення. За потреби можна змінити додаткові параметри. Коли ви закінчили, виберіть підтвердити.

  • Центр сертифікації: введіть URL-адресу центру сертифікації у наведеному форматі: https://login.microsoftonline.com/<Directory (tenant) ID>/, де <ідентифікатор каталогу (клієнт)> є ідентифікатором катологу (клієнт) програми, яку ви створили. Наприклад, якщо ідентифікатором каталогу (клієнт) на порталі Azure є 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, URL-адреса центру сертифікації буде https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • Ідентифікатор клієнта​: вставте ідентифікатор програми або клієнта програми , яку ви створили.

  • URI-адреса переспрямування: якщо на сайті використовується настроюване ім’я домену, введіть настроювану URL-адресу; в іншому разі залиште стандартне значення, яке має бути URL-адресою відповіді на сайті. Переконайтеся, що значення збігається зі значенням URI-адреси переспрямування програми, яку ви створили.

  • Адреса метаданих: вставте скопійовану URL-адресу документу метаданих OpenID Connect.

  • Область: введіть список областей, розділених пробілами, щоб запитувати за допомогою параметра OpenID Connect scope. Значення за замовчуванням — openid.

    Значення openid обов'язкове. Дізнайтеся про інші вимоги, які можна додавати.

  • Тип відповіді: введіть значення параметра OpenID Connect response_type. Можливі значення включають code, code id_token, id_token, id_token token і code id_token token. Значення за замовчуванням — code id_token.

  • Секрет клієнта: вставте секрет клієнта з програми постачальника. Він може також згадуватися як секретний код програми або секретний код споживача. Цей параметр обов'язковий, якщо тип відповіді code.

  • Режим відповіді: введіть значення параметру response_mode OpenID Connect. Значення має бути query, якщо тип відповіді code. Значення за замовчуванням — form_post.

  • Зовнішні виходи: цей параметр визначає, чи використовується федеративний вихід із сайту. Завдяки федеративному виходу під час виходу користувачів із програми або сайту вони також виходять із усіх програм і сайтів, які використовують такий самий постачальник посвідчень. Увімкніть, щоб переспрямувати користувачів до інтерфейсу федеративного виходу після виходу з вашого веб-сайту. Вимкніть, щоб користувачі виходили лише з вашого веб-сайту.

  • Розмістіть URL-адресу переспрямування виходу: введіть URL-адресу, на яку постачальник посвідчень має переспрямувати користувачів після виходу.Це місце має бути налаштовано відповідно до настройок постачальника посвідчень.

  • Вихід, ініційований RP: цей параметр визначає, чи має сторона-довіритель (клієнтський застосунок OpenID Connect) виконувати вихід користувачів. Щоб скористатися цим параметром, увімкніть Зовнішній вихід.

Додаткові параметри в Power Pages

Додаткові параметри дають точніший контроль над тим, як користувачі автентифікуються за допомогою постачальника посвідчень OpenID Connect. Не потрібно встановлювати жодне з цих значень. Вони необов’язкові.

  • Фільтр постачальників: введіть фільтр із символами підстановки, який відповідає всім постачальникам у всіх клієнтах, наприклад, https://sts.windows.net/*/. Якщо ви використовуєте постачальника Microsoft Entra автентифікації ідентифікаторів, фільтр URL-адрес емітента буде таким https://login.microsoftonline.com/*/v2.0/.

  • Перевірка аудиторії: увімкніть цей параметр, щоб перевірити аудиторію під час перевірки маркера.

  • Дійсні аудиторії: введіть список URL-адрес аудиторій, розділених комами.

  • Перевірка постачальників: увімкніть цей параметр, щоб перевірити постачальника під час перевірки маркера.

  • Дійсні постачальники: введіть список URL-адрес постачальників, розділених комами.

  • Зіставлення тверджень для реєстрації та зіставлення тверджень для входу. Під час автентифікації користувача твердженням називається інформація, яка описує ідентифікаційні дані користувача, наприклад адреса електронної пошти або дата народження. Під час входу до програми або веб-сайту створюється маркер. Маркер містить інформацію про особу, включно з усіма пов’язаними з ним твердженнями. Маркери використовуються для автентифікації особи під час доступу до інших частин програми або сайту або інших програм і сайтів, підключених до одного постачальника посвідчень. Зіставлення тверджень — це спосіб змінити інформацію, яка міститься в маркері. З його допомогою можна настроювати відомості, доступні для прогами або сайту, та керувати доступом до функцій або даних. Зіставлення тверджень про реєстрацію змінює твердження, які видаються під час реєстрації програми або сайту. Зіставлення тверджень щодо входу змінює твердження, які видаються під час входу в програму або на сайт. Докладніше про політики зіставлення тверджень

  • Термін дії Nonce:введіть термін дії значення nonce у хвилинах. Значенням за замовчуванням становить 10 хвилин.

  • Використовувати термін дії маркера: цей параметр визначає, чи відповідає термін дії сеансу автентифікації, як-от файли cookie, терміну дії маркера для автентифікації. Якщо ввімкнути цей параметр, це значення замістить значення Термін дії файлів cookie програми параметру сайту Authentication/ApplicationCookie/ExpireTimeSpan.

  • Зіставлення контакту з адресою електронної пошти: визначає, чи зіставляються контакти з відповідною адресою електронної пошти під час входу.

    • Увімкнено: пов’язує унікальний запис контакту з відповідною електронною адресою, а потім автоматично призначає контакту зовнішнього постачальника посвідчень, після того як користувач входить до облікового запису.
    • Вимкнуто

Нотатка

Параметр запиту UI_Locales буде автоматично надіслано в запит автентифікації, і для нього буде встановлено мову, вибрану на порталі.

Див. також

Налаштування провайдера OpenID Connect за допомогою Azure Active Directory (Azure AD) B2C
Налаштування провайдера OpenID Connect з Microsoft Entra ідентифікатором
Поширені запитання про OpenID Connect