Chia sẻ qua

Thiết lập nhà cung cấp OpenID Connect bằng Microsoft Entra ID

  • Bài viết

Microsoft Entra là một trong những nhà cung cấp danh tính OpenID Connect mà bạn có thể sử dụng để xác thực khách truy cập vào trang Power Pages trang web của mình. Cùng với Microsoft Entra ID, ID nhiều người thuê Microsoft Entra và Azure AD B2C, bạn có thể sử dụng bất kỳ nhà cung cấp nào khác tuân thủ ID mở Thông số kết nối.

Bài viết này mô tả các bước sau:

Lưu ý

Các thay đổi đối với thiết đặt xác thực của site có thể mất một vài phút để được phản ánh trên site. Để xem các thay đổi ngay lập tức, hãy khởi động lại site trong trung tâm quản trị.

Thiết lập Microsoft Entra trong Power Pages

Đặt Microsoft Entra làm nhà cung cấp danh tính cho trang web của bạn.

  1. Trong trang web Power Pages, hãy chọn Thiết lập>Nhà cung cấp danh tính.

    Nếu không có nhà cung cấp danh tính nào xuất hiện, hãy đảm bảo đặt Đăng nhập bên ngoài thành Bật trong phần thiết đặt xác thực chung trong trang web của bạn.

  2. Chọn + Nhà cung cấp mới.

  3. Trong mục Chọn nhà cung cấp đăng nhập, chọn Khác.

  4. Trong Giao thức, chọn OpenID Connect.

  5. Nhập tên cho nhà cung cấp; ví dụ: Microsoft Entra ID.

    Tên nhà cung cấp là văn bản trên nút mà người dùng sẽ thấy khi chọn nhà cung cấp danh tính trên trang đăng nhập.

  6. Chọn Tiếp theo.

  7. Trong URL trả lời, chọn Sao chép.

    Đừng đóng tab trình duyệt Power Pages. Bạn sẽ sớm quay lại tab này.

Tạo một đăng ký ứng dụng trong Azure

Tạo đăng ký ứng dụng trong cổng thông tin Azure với URL trả lời của site dưới dạng URI chuyển hướng.

  1. Đăng nhập vào Cổng thông tin Azure.

  2. Tìm kiếm và chọn Azure Active Directory.

  3. Trong Quản lý, hãy chọn Đăng ký ứng dụng.

  4. Chọn Đăng ký mới.

  5. Nhập tên.

  6. Chọn một trong những Loại tài khoản được hỗ trợ phản ánh rõ nhất các yêu cầu của tổ chức bạn.

  7. Trong URI chuyển hướng, chọn Web làm nền tảng, sau đó nhập URL phản hồi của site.

    • Nếu bạn đang sử dụng URL mặc định của trang web, hãy dán URL trả lời bạn đã sao chép.
    • Nếu bạn đang sử dụng tên miền tùy chỉnh, hãy nhập URL tùy chỉnh. Hãy đảm bảo sử dụng cùng một URL tùy chỉnh cho URL chuyển hướng trong phần thiết đặt dành cho nhà cung cấp danh tính trên site của bạn.

  8. Chọn Đăng ký.

  9. Sao chép ID ứng dụng (máy khách).

  10. Ở bên phải Thông tin xác thực của khách hàng, chọn Thêm chứng chỉ hoặc bí mật.

  11. Lựa chọn + Mã bí mật máy khách mới.

  12. Nhập mô tả tùy chọn, chọn ngày hết hạn rồi chọn Thêm.

  13. Trong ID bí mật, chọn biểu tượng Sao chép vào khay nhớ tạm.

  14. Chọn Điểm cuối ở đầu trang.

  15. Tìm URL tài liệu siêu dữ liệu OpenID Connect và chọn biểu tượng sao chép.

  16. Trên bảng điều khiển bên trái, trong phần Quản lý, hãy chọn Xác thực.

  17. Trong phần Cấp quyền ngầm, chọn Mã thông báo ID (dùng cho các dòng ngầm và lai).

  18. Chọn Lưu.

Nhập thiết đặt trang web trong Power Pages

Quay lại trang Power Pages Đặt cấu hình nhà cung cấp danh tính bạn đã rời khỏi trước đó và nhập các giá trị sau. Bạn có thể tùy ý thay đổi các thiết đặt khác nếu cần. Chọn Xác nhận khi bạn hoàn tất.

  • Ủy quyền: Nhập URL ủy quyền theo định dạng sau: https://login.microsoftonline.com/<Directory (tenant) ID>/, trong đó <ID thư mục (đối tượng thuê)> là ID (đối tượng thuê) thư mục của ứng dụng bạn đã tạo. Ví dụ: nếu ID (đối tượng thuê) thư mục trong cổng thông tin Azure là 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, thì URL ủy quyền là https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • ID ứng dụng khách​: Dán ID ứng dụng hoặc ID ứng dụng khách của ứng dụng bạn tạo.

  • URL chuyển hướng: Nếu site của bạn sử dụng tên miền tùy chỉnh, hãy nhập URL tùy chỉnh; nếu không, hãy giữ lại giá trị mặc định. Đảm bảo giá trị hoàn toàn giống với URI chuyển hướng của ứng dụng bạn đã tạo.

  • Địa chỉ siêu dữ liệu: Dán URL tài liệu siêu dữ liệu OpenID Connect bạn đã sao chép.

  • Phạm vi: Nhập openid email.

    Giá trị openid là bắt buộc. Giá trị email là tùy chọn; nó đảm bảo rằng địa chỉ email của người dùng được tự động điền và hiển thị trên trang hồ sơ sau khi người dùng đăng nhập. Tìm hiểu về các xác nhận quyền sở hữu khác mà bạn có thể thêm.

  • Loại phản hồi: Chọn code id_token.

  • Mã bí mật máy khách: Dán mã bí mật máy khách từ ứng dụng bạn đã tạo. Thiết đặt này là bắt buộc nếu loại phản hồi là code.

  • Chế độ phản hồi: Chọn form_post.

  • Đăng xuất bên ngoài: Thiết đặt này kiểm soát xem site của bạn có sử dụng đăng xuất liên kết hay không. Với tính năng đăng xuất liên kết, khi người dùng đăng xuất khỏi một ứng dụng hoặc site, họ cũng đăng xuất khỏi tất cả các ứng dụng và site sử dụng cùng một nhà cung cấp danh tính. Bật để chuyển hướng tới người dùng tới trải nghiệm đăng xuất liên kết khi họ đăng xuất khỏi trang web của bạn. Tắt để chỉ đăng xuất người dùng khỏi trang web của bạn.

  • URL chuyển hướng sau đăng xuất: Nhập URL mà nhà cung cấp danh tính sẽ chuyển hướng người dùng sau khi đăng xuất. Vị trí này cũng sẽ được đặt một cách phù hợp trong cấu hình nhà cung cấp danh tính.

  • Đăng xuất do RP khởi tạo: Thiết đặt này kiểm soát xem bên phụ thuộc—ứng dụng khách OpenID Connect—có thể đăng xuất người dùng hay không. Để sử dụng thiết đặt này, trước tiên hãy bật Đăng xuất bên ngoài.

Thiết đặt bổ sung trong Power Pages

Cài đặt bổ sung giúp bạn kiểm soát tốt hơn cách người dùng xác thực với Microsoft Entra nhà cung cấp danh tính của bạn. Bạn không cần phải đặt bất kỳ giá trị nào trong số này. Chúng hoàn toàn tùy chọn.

  • Bộ lọc nhà phát hành: Nhập bộ lọc dựa vào ký tự đại diện phù hợp với tất cả những nhà phát hành trong tất cả các đối tượng thuê; ví dụ: https://sts.windows.net/*/.

  • Xác thực đối tượng: Bật thiết đặt này để xác thực đối tượng trong quá trình xác thực mã thông báo.

  • Đối tượng hợp lệ: Nhập danh sách URL đối tượng được phân tách bằng dấu phẩy.

  • Xác thực nhà phát hành: Bật thiết đặt này để xác thực nhà phát hành trong quá trình xác thực mã thông báo.

  • Nhà phát hành hợp lệ: Nhập danh sách URL nhà phát hành được phân tách bằng dấu phẩy.

  • Ánh xạ xác nhận quyền sở hữu đăng ký​Ánh xạ xác nhận quyền sở hữu đăng nhập: Trong xác thực người dùng, xác nhận quyền sở hữu là thông tin mô tả danh tính của người dùng, như địa chỉ email hoặc ngày sinh. Khi bạn đăng nhập vào một ứng dụng hoặc một trang web, nó sẽ tạo ra một mã thông báo. Mã thông báo chứa thông tin về danh tính của bạn, bao gồm mọi xác nhận quyền sở hữu liên quan đến nó. Mã thông báo được sử dụng để xác thực danh tính của bạn khi bạn truy cập vào các phần khác của ứng dụng hoặc site hoặc các ứng dụng và site khác được kết nối với cùng một nhà cung cấp danh tính. Ánh xạ xác nhận quyền sở hữu là một cách để thay đổi thông tin có trong mã thông báo. Nó có thể được sử dụng để tùy chỉnh thông tin có sẵn cho ứng dụng hoặc site và để kiểm soát quyền truy cập vào các tính năng hoặc dữ liệu. Ánh xạ xác nhận quyền sở hữu đăng ký sửa đổi các xác nhận quyền sở hữu được đưa ra khi bạn đăng ký một ứng dụng hoặc một site. Ánh xạ xác nhận quyền sở hữu đăng nhập sửa đổi các xác nhận quyền sở hữu được đưa ra khi bạn đăng nhập vào một ứng dụng hoặc một site. Tìm hiểu thêm về chính sách ánh xạ xác nhận quyền sở hữu.

  • Thời gian tồn tại của nonce: Nhập thời gian tồn tại của giá trị nonce, tính bằng phút. Giá trị mặc định là 10 phút.

  • Sử dụng thời gian tồn tại của mã thông báo: Thiết đặt này kiểm soát xem thời gian tồn tại của phiên xác thực (ví dụ như cookie) có phải khớp với thời gian tồn tại của mã thông báo xác thực hay không. Nếu bạn bật thiết đặt này, giá trị này sẽ ghi đè giá trị Khoảng thời gian hết hạn cookie ứng dụng trong thiết đặt site Authentication/ApplicationCookie/ExpireTimeSpan.

  • Ánh xạ người liên hệ với email: Thiết đặt này xác định xem người liên hệ có được ánh xạ đến địa chỉ email tương ứng hay không khi họ đăng nhập.

    • Bật: Liên kết một hồ sơ liên hệ duy nhất với một địa chỉ email trùng khớp và tự động chỉ định nhà cung cấp danh tính bên ngoài cho mục liên hệ đó sau khi người dùng đăng nhập thành công.
    • Tắt

Lưu ý

Tham số yêu cầu UI_Locales được gửi tự động trong yêu cầu xác thực và được đặt thành ngôn ngữ được chọn trên cổng thông tin.

Thiết lập các yêu cầu bổ sung

  1. Bật xác nhận quyền sở hữu tùy chọn trong Microsoft Entra ID.

  2. Đặt Phạm vi để bao gồm các yêu cầu bổ sung; ví dụ: openid email profile.

  3. Đặt thiết đặt site bổ sung Ánh xạ xác nhận sở hữu đăng ký; ví dụ: firstname=given_name,lastname=family_name.

  4. Đặt thiết đặt site bổ sung Ánh xạ xác nhận sở hữu đăng nhập; ví dụ: firstname=given_name,lastname=family_name.

Trong những ví dụ này, tên, họ và địa chỉ email được cung cấp cùng với các xác nhận quyền sở hữu bổ sung trở thành giá trị mặc định trong trang hồ sơ trong trang web.

Lưu ý

Ánh xạ xác nhận quyền sở hữu được hỗ trợ cho các kiểu dữ liệu văn bản và boolean.

Cho phép xác thực nhiều bên thuê Microsoft Entra

Để cho phép Microsoft Entra người dùng xác thực từ bất kỳ đối tượng thuê nào trong Azure, không chỉ từ một đối tượng thuê cụ thể, hãy thay đổi Microsoft Entra đăng ký ứng dụng cho nhiều người thuê nhà.

Bạn cũng cần đặt Bộ lọc nhà phát hành trong thiết đặt bổ sung của nhà cung cấp của bạn.

Xem thêm

Câu hỏi thường gặp về OpenID Connect