在入口網站中使用 OpenID Connect 的常見問題集
注意
自 2022 年 10 月 12 日起,Power Apps 入口網站為 Power Pages。 其他資訊:Microsoft Power Pages 現在已推出 (部落格)
我們很快就會遷移並將 Power Apps 入口網站文件與 Power Pages 文件併合。
本文包含有關一般 Power Apps 入口網站案例的資訊,和使用符合 OpenId Connect 規格 之驗證提供者的常見問題。
我需要 OpenId Connect 自動探索文件來與入口網站整合嗎?
是的。 與入口網站整合需要自動探索文件 (也稱為 /.well-known/openid-configuration)。 此文件所提供的資訊由入口網站用來建立授權要求,並驗證驗證權杖。
如果您的識別提供者不提供此文件,您可以手動建立它,並將它放在任何公用位置 (包括您的入口網站)。
注意
與探索文件類似,入口網站也需要識別提供者來提供公用 JWKS URI 端點,讓公開金鑰可以用來驗證識別碼權杖的簽章。 此端點必須在探索文件中指定為 jwks_uri 鍵。
在驗證要求中,入口網站是否支援 acr_values 要求參數?
不行。 在驗證要求中,入口網站不支援 acr_values 要求參數。 但是,入口網站功能支援 OpenID Connect 規格 中定義的所有必要—和建議的—要求參數。
支援下列選擇性參數:
- Response_mode
- Nonce
- UI_Locales
入口網站在驗證要求中支援自訂範圍參數嗎?
是的。 您可以在設定期間使用範圍選項指定自訂範圍參數。
為何連絡人中的使用者名稱值或 Dataverse 中的外部身分識別記錄,與使用者在登入頁面上輸入的值相比,會顯示不同的值?
連絡人記錄的使用者名稱欄位及外部身分識別記錄,將會顯示在子宣告或物件識別碼 (OID) 宣告 (適用於 Azure AD–型提供者) 中傳送的值。 這是因為子宣告代表最終使用者的識別碼,並由識別提供者 (IDP) 保證為唯一。 當與單一租用戶 Azure AD–型提供者一起使用時,將支援 OID 宣告 (物件識別碼為租用戶中所有使用者的唯一識別碼)。
入口網站是否支援從 OpenId Connect–型提供者登出?
是的。 入口網站功能支援前管道登出技術,讓它從兩個應用程式和 OpenId Connect–型提供者登出。
入口網站是否支援單一登出?
否。 入口網站不支援 OpenID Connect–型提供者的單一登出技術。
在識別碼權杖中,入口網站是否需要任何特定宣告?
除了所有必要的宣告之外,入口網站功能需要代表識別碼權杖中之使用者電子郵件地址的宣告。 此宣告必須命名為 email、emails 或 upn。
除了所有需要的宣告之外,入口網站需要代表 id_token 中之使用者電子郵件地址的宣告。 此宣告必須命名為「email」、「emails」或「upn」。
將按照以下優先順序處理這些宣告,將其設定為 Dataverse 中連絡人記錄的主要電子郵件地址:
- 電子郵件
- 電子郵件
- upn
當使用時,"emailclaimsmapping" 也會用來搜尋現有的連絡人(Dataverse 中的主要電子郵件地址欄位)。
我可以使用 JavaScript 來存取權杖 (識別碼或存取) 嗎?
否。 識別提供者提供的識別碼權杖不能透過用戶端的任何標準技巧使用;且僅用於驗證目的。 不過,如果您使用的是隱含授與流程,則可以使用您的識別提供者提供的方法來取得識別碼或存取權杖的存取權。
例如,Azure AD 提供 Microsoft 驗證程式庫,以便在用戶端中達成這種應用場景。
我可以使用自訂 OpenID Connect 提供者,而不是 Azure AD 嗎?
是的。 入口網站支援任何支援標準 OpenID Connect 規格 的 OpenID Connect 提供者。
請參閱
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應