在 Power Pages 中使用 OpenID Connect 的常見問題集
本文提供有關一般 Power Pages 案例的資訊,和使用符合 OpenId Connect 規格之驗證提供者的常見問題解答。
我需要 OpenId Connect 自動探索文件才能與 Power Pages 整合?
與 Power Pages 整合需要自動探索文件或 OpenID Connect 中繼資料文件 (也稱為 /.well-known/openid-configuration
)。 Power Pages 使用文件中的資訊來建立授權要求,並驗證驗證權杖。
如果您的識別提供者未提供自動探索文件,您可以自行手動建立它,並將它放在任何公用位置 (包括您的網站)。
注意
與探索文件類似,Power Pages 也需要識別提供者來提供公用 JWKS URI 端點,讓公開金鑰可以用來驗證識別碼權杖的簽章。 此端點必須在探索文件中指定為 jwks_uri 鍵。
在驗證要求中,Power Pages 是否支援 acr_values 要求參數?
在驗證要求中,Power Pages 不支援 acr_values 要求參數。 但是,Power Pages 驗證確實支援 OpenID Connect 規格中定義的所有必要和建議的要求參數。 也支援下列選擇性參數:
- Response_mode
- Nonce
- UI_Locales
Power Pages 是否在驗證要求中支援自訂範圍參數?
可以使用提供者設定中的範圍設定來指定自訂範圍參數。
為何 Dataverse 中的連絡人或外部身分識別記錄中的使用者名稱,與使用者在登入頁面上輸入的使用者名稱相比不同?
連絡人記錄及外部身分識別記錄中的使用者名稱欄位,將會顯示在 Microsoft Entra 型提供者的子宣告或物件識別碼 (OID) 宣告中傳送的值。 這是因為子宣告代表使用者識別碼,並由識別提供者保證為唯一。 與單一租用戶 Microsoft Entra 型提供者一起使用時,支援 OID 宣告 (物件識別碼為租用戶中所有使用者的唯一識別碼)。
Power Pages 是否支援從 OpenId Connect 型提供者登出?
Power Pages 驗證支援前管道登出技術,可從應用程式和 OpenId Connect型提供者登出。
Power Pages 是否支援單一登出?
Power Pages 不支援 OpenID Connect 型提供者的單一登出技術。
Power Pages 是否需要識別碼權杖中的特定宣告?
Power Pages 需要一個在識別碼權杖中代表使用者電子郵件地址的宣告。 此宣告必須命名為 email
、emails
或 upn
。 將按照以下順序處理這些宣告,將其設定為 Dataverse 中連絡人記錄的主要電子郵件地址:
- 電子郵件
- 電子郵件
- upn
當使用時,"emailclaimsmapping" 也會用來搜尋現有的連絡人(Dataverse 中的主要電子郵件地址欄位)。
我可以使用 JavaScript 來存取權杖 (識別碼或存取權) 嗎?
識別提供者提供的識別碼權杖不能透過在用戶端使用 JavaScript 或任何標準技巧獲得。 它僅用於驗證。 不過,如果您使用的是隱含授與流程,則可以使用您的識別提供者提供的方法來取得識別碼或存取權杖的存取權。 例如,Microsoft Entra ID 為此案例提供了 Microsoft 驗證程式庫。
我可以使用自訂 OpenID Connect 提供者,而不是 Microsoft Entra ID 嗎?
Power Pages 支援任何符合標準 OpenID Connect 規格的識別提供者。