Chia sẻ qua

Đặt cấu hình nhà cung cấp OpenID Connect cho cổng thông tin

  • Bài viết

Lưu ý

Từ ngày 12 tháng 10 năm 2022, cổng thông tin Power Apps sẽ trở thành Power Pages. Thông tin khác: Microsoft Power Pages hiện đã được phát hành rộng rãi (blog)
Chúng tôi sẽ sớm di chuyển và hợp nhất hướng dẫn sử dụng cổng thông tin Power Apps với hướng dẫn sử dụng Power Pages.

Nhà cung cấp danh tính bên ngoài OpenID Connect là các dịch vụ tuân theo Thông số kỹ thuật Open ID Connect. OpenID Connect giới thiệu khái niệm mã thông báo ID là mã thông báo bảo mật cho phép khách hàng xác minh danh tính của người dùng. Mã thông báo ID cũng nhận được thông tin hồ sơ cơ bản về người dùng—thường được gọi là yêu cầu.

Bài viết này giải thích cách một nhà cung cấp danh tính hỗ trợ OpenID Connect có thể được tích hợp với cổng thông tin Power Apps. Một số ví dụ về các nhà cung cấp OpenID Connect cho các cổng: Azure Active Directory (Azure AD) B2C, Azure AD,Azure AD với nhiều đối tượng thuê.

Các dòng xác thực được hỗ trợ và không được hỗ trợ trong các cổng thông tin

  • Cấp quyền ẩn
    • Dòng này là phương thức xác thực mặc định được sử dụng bởi các cổng.
  • Mã xác thực
    • Cổng thông tin sử dụng phương pháp client_secret_post để giao tiếp với điểm cuối mã thông báo của máy chủ nhận dạng.
    • Sử dụng phương pháp private_key_jwt để xác thực bằng điểm cuối mã thông báo không được hỗ trợ.
  • Kết hợp (hỗ trợ hạn chế)
    • Cổng thông tin yêu cầu id_token sẽ có trong phản hồi, vì vậy có giá trị response_type như mã thông báo không được hỗ trợ.
    • Quy trình kết hợp trong các cổng tuân theo cùng một quy trình với quy trình Cấp quyền ẩn và sử dụng id_token để đăng nhập trực tiếp người dùng.
  • Cổng thông tin không hỗ trợ các kỹ thuật dựa trên–Khóa chứng minh cho trao đổi mã (PKCE) để xác thực người dùng.

Lưu ý

Các thay đổi đối với cài đặt xác thực có thể mất một vài phút để được phản ánh trên cổng thông tin. Khởi động lại cổng bằng cách sử dụng hành động cổng thông tin nếu bạn muốn phản ánh những thay đổi ngay lập tức.

Đặt cấu hình nhà cung cấp OpenID Connect

Tương tự như tất cả các nhà cung cấp khác, bạn phải đăng nhập vào Power Apps để đặt cấu hình nhà cung cấp OpenID Connect.

  1. Chọn Thêm nhà cung cấp cho cổng thông tin của bạn.

  2. Đối với Nhà cung cấp đăng nhập, chọn Khác.

  3. Đối với Giao thức, chọn OpenID Connect.

  4. Nhập tên nhà cung cấp.

    Tên nhà cung cấp.

  5. Chọn Tiếp theo.

  6. Tạo ứng dụng và đặt cấu hình thiết đặt với nhà cung cấp danh tính của bạn.

    Tạo ứng dụng SAML.

    Lưu ý

    URL trả lời được ứng dụng sử dụng để chuyển hướng người dùng đến cổng sau khi xác thực thành công. Nếu cổng thông tin của bạn sử dụng một tên miền tùy chỉnh, thì bạn có thể có URL khác với URL được cung cấp ở đây.

  7. Nhập các thiết đặt trang web sau cho cấu hình cổng thông tin.

    Đặt cấu hình thiết đặt trang web OpenID.

    Lưu ý

    Đảm bảo xem xét—và nếu được yêu cầu, hãy thay đổi—các giá trị mặc định.

    Tên Nội dung mô tả
    Thẩm quyền URL của tổ chức (hoặc nhà phát hành) được liên kết với nhà cung cấp danh tính.
    Ví dụ (Azure AD) : https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/
    ID máy khách ID của ứng dụng được tạo bằng nhà cung cấp danh tính và được dùng với cổng thông tin.
    URL chuyển hướng Vị trí mà nhà cung cấp danh tính sẽ gửi phản hồi xác thực.
    Ví dụ: https://contoso-portal.powerappsportals.com/signin-openid_1
    Ghi chú: Nếu bạn đang sử dụng URL cổng thông tin mặc định, bạn có thể sao chép và dán URL trả lời như hiển thị trong bước Tạo và đặt cấu hình cài đặt nhà cung cấp OpenID Connect. Nếu bạn đang sử dụng tên miền tùy chỉnh, hãy nhập URL theo cách thủ công. Hãy đảm bảo rằng bạn giá trị nhập ở đây hoàn toàn giống với giá trị URI chuyển hướng cho ứng dụng trong cấu hình nhà cung cấp danh tính (chẳng hạn như cổng Azure).
    Địa chỉ siêu dữ liệu Điểm cuối khám phá để lấy siêu dữ liệu. Định dạng phổ biến: [URL cấp quyền]/.well-known/openid-configuration.
    Ví dụ (Azure AD) : https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/v2.0/.well-known/openid-configuration
    Phạm vi Danh sách phạm vi được phân tách bằng dấu cách để yêu cầu qua tham số phạm vi OpenID Connect.
    Giá trị mặc định: openid
    Ví dụ (Azure AD) : openid profile email
    Thông tin thêm: Đặt cấu hình các yêu cầu bổ sung khi sử dụng OpenID Connect cho các cổng thông tin có Azure AD
    Loại phản hồi Giá trị cho tham số response_type của OpenID Connect.
    Các giá trị có thể bao gồm:
    • code
    • code id_token
    • id_token
    • id_token token
    • code id_token token

    Giá trị mặc định: code id_token
    Mã bí mật máy khách Giá trị bí mật của khách hàng từ ứng dụng nhà cung cấp. Giá trị này cũng có thể được gọi là app secret hoặc consumer secret. Cài đặt này là bắt buộc nếu loại phản hồi đã chọn là code.
    Chế độ phản hồi Giá trị cho tham số response_mode của OpenID Connect. Giá trị phải là query nếu loại phản hồi đã chọn là code. Giá trị mặc định: form_post.

  8. Đặt cấu hình cài đặt để đăng xuất người dùng.

    Thiết đặt đăng xuất.

    Tên Mô tả
    Đăng xuất từ bên ngoài Bật hoặc tắt đăng xuất tài khoản bên ngoài. Khi bật, người dùng sẽ được chuyển hướng đến trải nghiệm người dùng đăng xuất bên ngoài khi họ đăng xuất khỏi cổng thông tin. Khi được đặt thành tắt, người dùng chỉ được đăng xuất từ cổng thông tin.
    URL chuyển hướng đăng xuất bài đăng Vị trí mà nhà cung cấp danh tính sẽ chuyển hướng người dùng sau khi đăng xuất bên ngoài. Vị trí này cũng sẽ được đặt một cách phù hợp trong cấu hình nhà cung cấp danh tính.
    Thao tác đăng xuất do RP khởi tạo Bật hoặc tắt đăng xuất do bên phụ thuộc thực hiện. Để sử dụng cài đặt này, trước tiên hãy bật Đăng xuất bên ngoài.

  9. (Tùy chọn) Đặt cấu hình các thiết đặt bổ sung.

    Thiết đặt bổ sung.

    Tên Mô tả
    Bộ lọc nhà phát hành Bộ lọc dựa vào ký tự đại diện phù hợp với tất cả những nhà phát hành trong tất cả các đối tượng thuê.
    Ví dụ: https://sts.windows.net/*/
    Xác thực đối tượng Nếu bật, đối tượng sẽ được xác thực trong quá trình xác thực mã thông báo.
    Đối tượng hợp lệ Danh sách URL đối tượng được phân tách bằng dấu phẩy.
    Xác thực nhà phát hành Nếu bật, nhà phát hành sẽ được xác thực trong quá trình xác thực mã thông báo.
    Nhà phát hành hợp lệ Danh sách URL nhà phát hành được phân tách bằng dấu phẩy.
    Ánh xạ tuyên bố đăng ký Danh sách các cặp yêu cầu tên hợp lý để ánh xạ các giá trị yêu cầu được trả về từ nhà cung cấp trong quá trình đăng ký các thuộc tính của bản ghi liên hệ.
    Định dạng: field_logical_name=jwt_attribute_name trong đó field_logical_name là tên logic của trường trong cổng thông tin và jwt_attribute_name là thuộc tính có giá trị được trả về từ nhà cung cấp danh tính.
    Ví dụ: firstname=given_name,lastname=family_name khi đang sử dụng Phạm vi làm profile cho Azure AD. Trong ví dụ này, firstnamelastname là tên logic cho các trường hồ sơ trong cổng thông tin trong khi given_namefamily_name là các thuộc tính có giá trị được trả về bởi nhà cung cấp danh tính cho các trường tương ứng.
    Ánh xạ tuyên bố đăng nhập Danh sách các cặp yêu cầu tên hợp lý để ánh xạ các giá trị yêu cầu được trả về từ nhà cung cấp trong mỗi lần đăng nhập vào các thuộc tính của bản ghi liên hệ.
    Định dạng: field_logical_name=jwt_attribute_name trong đó field_logical_name là tên logic của trường trong cổng thông tin và jwt_attribute_name là thuộc tính có giá trị được trả về từ nhà cung cấp danh tính.
    Ví dụ: firstname=given_name,lastname=family_name khi đang sử dụng Phạm vi làm profile cho Azure AD. Trong ví dụ này, firstnamelastname là tên logic cho các trường hồ sơ trong cổng thông tin trong khi given_namefamily_name là các thuộc tính có giá trị được trả về bởi nhà cung cấp danh tính cho các trường tương ứng.
    Thời hạn của số dùng một lần Thời gian tồn tại của giá trị ngẫu nhiên, tính bằng phút. Mặc định: 10 phút.
    Sử dụng thời hạn mã thông báo Cho biết rằng thời hạn của phiên xác thực (ví dụ như cookie) phải khớp với thời hạn của mã thông báo xác thực. Nếu được chỉ định, giá trị này sẽ ghi đè giá trị Khoảng thời gian hết hạn cookie ứng dụng trong cài đặt trang web Xác thực/ApplicationCookie/ExpireTimeSpan.
    Ánh xạ người liên hệ với email Chỉ định liên hệ có được ánh xạ tới email tương ứng hay không.
    Khi được đặt thành Bật, bản ghi liên hệ duy nhất liên kết với địa chỉ email trùng khớp, chỉ định nhà cung cấp danh tính bên ngoài cho liên hệ sau khi người dùng đăng nhập thành công.

    Lưu ý

    Tham số yêu cầu UI_Locales bây giờ sẽ được gửi tự động trong yêu cầu xác thực và sẽ được đặt thành ngôn ngữ được chọn trên cổng thông tin.

Chỉnh sửa nhà cung cấp OpenID Connect

Để chỉnh sửa nhà cung cấp OpenID Connect đã đặt cấu hình, hãy xem Chỉnh sửa nhà cung cấp.

Xem thêm

Định cấu hình nhà cung cấp OpenID Connect cho cổng thông tin với Azure AD
Câu hỏi thường gặp về cách sử dụng OpenID Connect trong các cổng thông tin

Lưu ý

Bạn có thể cho chúng tôi biết bạn thích dùng ngôn ngữ nào cho tài liệu không? Làm một cuộc khảo sát ngắn. (xin lưu ý, khảo sát này bằng tiếng Anh)

Cuộc khảo sát sẽ mất khoảng bảy phút. Không có dữ liệu cá nhân nào được thu thập (điều khoản về quyền riêng tư).