Thiết lập một nhà cung cấp OpenID Connect với Azure AD B2C

Azure Active Directory (Azure AD) B2C là một trong những nhà cung cấp danh tính OpenID Connect mà bạn có thể sử dụng để xác thực khách truy cập vào site Power Pages của mình. Bạn có thể sử dụng bất kỳ nhà cung cấp danh tính nào khác tuân thủ thông số kỹ thuật của OpenID Connect.

Bài viết này mô tả các bước sau:

• Thiết lập Azure AD B2C trong Power Pages
• Tạo đăng ký ứng dụng
• Tạo luồng người dùng
• Nhập cài đặt trang web và mật khẩu vào Power Pages

Lưu ý

Các thay đổi đối với thiết đặt xác thực của site có thể mất một vài phút để được phản ánh trên site. Để xem các thay đổi ngay lập tức, hãy khởi động lại site trong trung tâm quản trị.

Thiết lập Azure AD B2C trong Power Pages

Đặt Azure AD B2C làm nhà cung cấp danh tính cho site của bạn.

1. Trong trang web Power Pages, hãy chọn Thiết lập>Nhà cung cấp danh tính.

   Nếu không có nhà cung cấp danh tính nào xuất hiện, hãy đảm bảo đặt Đăng nhập bên ngoài thành Bật trong phần thiết đặt xác thực chung trong trang web của bạn.

2. Ở bên phải Azure Active Directory B2C, chọn Lệnh khác (…) >Đặt cấu hình hoặc chọn tên nhà cung cấp.

3. Để nguyên tên nhà cung cấp hoặc thay đổi nếu bạn muốn.

   Tên nhà cung cấp là văn bản trên nút mà người dùng sẽ thấy khi chọn nhà cung cấp danh tính trên trang đăng nhập.

4. Chọn Tiếp theo.

5. Trong URL trả lời, chọn Sao chép.

6. Chọn Mở Azure.

   Đừng đóng tab trình duyệt Power Pages. Bạn sẽ sớm quay lại tab này.

Tạo đăng ký ứng dụng

Tạo đối tượng thuê cho Azure AD B2C và đăng ký ứng dụng với URL trả lời của trang web của bạn làm URI chuyển hướng.

1. Tạo một đối tượng thuê Azure AD B2C.

2. Tìm kiếm và chọn Azure AD B2C.

3. Trong Quản lý, hãy chọn Đăng ký ứng dụng.

4. Chọn Đăng ký mới.

5. Nhập tên.

6. Chọn một trong những Loại tài khoản được hỗ trợ phản ánh rõ nhất các yêu cầu của tổ chức bạn.

7. Trong URI chuyển hướng, chọn Web làm nền tảng, sau đó nhập URL phản hồi của site.

   • Nếu bạn đang sử dụng URL mặc định của site, hãy dán URL phản hồi bạn đã sao chép.
   • Nếu bạn đang sử dụng tên miền tùy chỉnh, hãy nhập URL tùy chỉnh. Hãy đảm bảo sử dụng cùng một URL tùy chỉnh cho URL chuyển hướng trong phần thiết đặt dành cho nhà cung cấp danh tính trên site của bạn.

8. Chọn Đăng ký.

9. Sao chép ID ứng dụng (máy khách).

10. Trên bảng điều khiển bên trái, trong phần Quản lý, hãy chọn Xác thực.

11. Trong phần Cho phép ngầm, chọn Mã thông báo truy cập (Dùng cho các dòng ngầm).

12. Chọn Lưu.

13. Đặt cấu hình khả năng tương thích của mã thông báo bằng cách sử dụng URL Yêu cầu của người phát hành (iss) bao gồm tfp. Tìm hiểu thêm về khả năng tương thích của mã thông báo.

Tạo dòng người dùng

1. Tạo dòng người dùng đăng ký và đăng nhập.

2. (Tùy chọn) Tạo dòng người dùng đặt lại mật khẩu.

Nhận URL của nhà phát hành từ luồng người dùng

1. Mở dòng người dùng đăng ký và đăng nhập mà bạn đã tạo trước đó.

2. Truy nhập vào đối tượng thuê Azure AD B2C trong Cổng thông tin Azure.

3. Chọn Chạy luồng người dùng.

4. Mở URL cấu hình OpenID Connect để mở trong tab trình duyệt mới.

   URL đề cập đến tài liệu cấu hình nhà cung cấp danh tính của OpenID Connect, còn được gọi là Điểm cuối cấu hình xác định của OpenID.

5. Sao chép URL Nhà phát hành trong thanh địa chỉ. Không bao gồm dấu ngoặc kép. Đảm bảo URL Yêu cầu của tổ chức phát hành (iss) bao gồm tfp.

6. Mở luồng người dùng đặt lại mật khẩu nếu bạn đã tạo và lặp lại các bước 2–5.

Nhập cài đặt trang web và đặt lại mật khẩu trong Power Pages

1. Quay lại trang Power Pages Định cấu hình nhà cung cấp danh tính mà bạn đã rời đi trước đó.

2. Trong phần Đặt cấu hình cài đặt trang web, nhập các giá trị sau:

   • Thẩm quyền: Dán URL nhà phát hành bạn đã sao chép.​

   • ID khách hàng​: Dán ID ứng dụng (khách hàng) của Azure AD ứng dụng B2C bạn đã tạo.

   • URI chuyển hướng: Nếu site của bạn sử dụng tên miền tùy chỉnh, hãy nhập URL tùy chỉnh; nếu không, hãy giữ lại giá trị mặc định, là URL phản hồi của site.

3. Trong Cài đặt đặt lại mật khẩu, nhập các giá trị sau:

   • ID chính sách mặc định: Nhập tên của dòng quy trình người dùng đăng ký và đăng nhập mà bạn đã tạo. Tên có tiền tố là B2C_1.

   • ID chính sách đặt lại mật khẩu: Nếu bạn đã tạo dòng người dùng đặt lại mật khẩu, hãy nhập tên đó. Tên có tiền tố là B2C_1.

   • Nhà phát hành hợp lệ: Nhập danh sách URL nhà phát hành được phân tách bởi dấu phẩy cho quy trình người dùng đăng ký, đăng nhập và quy trình người dùng đặt lại mật khẩu mà bạn đã tạo.

4. (Tùy chọn) Mở rộng Cài đặt thêm và thay đổi các cài đặt nếu cần.

5. Chọn Xác nhận.

Thiết đặt bổ sung trong Power Pages

Các cài đặt bổ sung giúp bạn kiểm soát tốt hơn cách người dùng xác thực với nhà cung cấp danh tính Azure AD B2C của bạn. Bạn không cần phải đặt bất kỳ giá trị nào trong số này. Chúng hoàn toàn tùy chọn.

• Ánh xạ xác nhận quyền sở hữu đăng ký​ và Ánh xạ xác nhận quyền sở hữu đăng nhập: Trong xác thực người dùng, xác nhận quyền sở hữu là thông tin mô tả danh tính của người dùng, như địa chỉ email hoặc ngày sinh. Khi bạn đăng nhập vào một ứng dụng hoặc một trang web, nó sẽ tạo ra một mã thông báo. Mã thông báo chứa thông tin về danh tính của bạn, bao gồm mọi xác nhận quyền sở hữu liên quan đến nó. Mã thông báo được sử dụng để xác thực danh tính của bạn khi bạn truy cập vào các phần khác của ứng dụng hoặc site hoặc các ứng dụng và site khác được kết nối với cùng một nhà cung cấp danh tính. Ánh xạ xác nhận quyền sở hữu là một cách để thay đổi thông tin có trong mã thông báo. Nó có thể được sử dụng để tùy chỉnh thông tin có sẵn cho ứng dụng hoặc site và để kiểm soát quyền truy cập vào các tính năng hoặc dữ liệu. Ánh xạ xác nhận quyền sở hữu đăng ký sửa đổi các xác nhận quyền sở hữu được đưa ra khi bạn đăng ký một ứng dụng hoặc một site. Ánh xạ xác nhận quyền sở hữu đăng nhập sửa đổi các xác nhận quyền sở hữu được đưa ra khi bạn đăng nhập vào một ứng dụng hoặc một site. Tìm hiểu thêm về chính sách ánh xạ xác nhận quyền sở hữu.

  • Bạn không cần nhập giá trị cho các cài đặt này nếu bạn sử dụng các thuộc tính email, tên hoặc họ. Đối với các thuộc tính khác, hãy nhập danh sách các cặp tên/giá trị logic. Nhập chúng ở định dạng field_logical_name=jwt_attribute_name, trong đó field_logical_name là tên logic của trường trong Power Pages và jwt_attribute_name là thuộc tính có giá trị được trả về từ nhà cung cấp danh tính. Các cặp này được dùng để ánh xạ các giá trị xác nhận quyền sở hữu (được tạo trong quá trình đăng ký hoặc đăng nhập và được trả về từ Azure AD B2C) tới các thuộc tính trong bản ghi người liên hệ.

    Ví dụ: bạn sử dụng Chức danh công việc (jobTitle) và Mã bưu điện (postalCode) là Thuộc tính người dùng trong luồng người dùng của bạn. Bạn muốn cập nhật các trường bảng tương ứng ContactChức danh (jobtitle) và Địa chỉ 1: ZIP / Mã bưu chính ( address1_postalcode). Trong trường hợp này, hãy nhập ánh xạ xác nhận quyền sở hữu dưới dạng jobtitle=jobTitle,address1_postalcode=postalCode.

• Đăng xuất bên ngoài: Thiết đặt này kiểm soát xem site của bạn có sử dụng đăng xuất liên kết hay không. Với tính năng đăng xuất liên kết, khi người dùng đăng xuất khỏi một ứng dụng hoặc site, họ cũng đăng xuất khỏi tất cả các ứng dụng và site sử dụng cùng một nhà cung cấp danh tính. Ví dụ: nếu bạn đăng nhập vào một trang web bằng tài khoản Microsoft của mình rồi đăng xuất khỏi tài khoản Microsoft, tính năng đăng xuất liên kết sẽ đảm bảo rằng bạn cũng đã đăng xuất khỏi trang web đó.

  • Bật: Chuyển hướng tới người dùng tới trải nghiệm đăng xuất liên kết khi họ đăng xuất khỏi trang web của bạn.
  • Tắt: Chỉ đăng xuất người dùng khỏi trang web của bạn.

• Ánh xạ người liên hệ với email: Thiết đặt này xác định xem người liên hệ có được ánh xạ đến địa chỉ email tương ứng hay không khi họ đăng nhập.

  • Bật: Liên kết một hồ sơ liên hệ duy nhất với một địa chỉ email trùng khớp và tự động chỉ định nhà cung cấp danh tính bên ngoài cho mục liên hệ đó sau khi người dùng đăng nhập thành công.
  • Tắt: Bản ghi liên hệ không khớp với nhà cung cấp danh tính. Đây là tùy chọn mặc định thiết đặt này.

• Đã bật đăng ký: Cài đặt này kiểm soát xem người dùng có thể đăng ký trên trang web của bạn hay không.

  • Bật: Hiển thị trang đăng ký nơi người dùng có thể tạo tài khoản trên trang web của bạn.
  • Tắt: Vô hiệu hóa và ẩn trang đăng ký tài khoản bên ngoài.

Xem thêm

Thiết lập xác thực trang web
Di chuyển nhà cung cấp danh tính sang Azure AD B2C