OpenID Connect-Anbieter einrichten
OpenID Connect-Identitätsanbieter sind Dienste, die den OpenID Connect-Spezifikationen entsprechen. OpenID Connect führt das Konzept eines ID-Tokens ein. Ein ID-Token ist ein Sicherheitstoken, mit dem der Client die Identität eines Benutzers überprüfen kann. Es erhält auch grundlegende Profilinformationen über den Benutzer, auch Ansprüche genannt.
OpenID Connect-Anbieter Azure AD B2C, Microsoft Entra ID und Microsoft Entra ID mit mehreren Mandanten sind in Power Pages eingebaut. In diesem Artikel wird erläutert, wie Sie Ihrer Power Pages Site weitere OpenID Connect-Identitätsanbieter hinzufügen.
Unterstützte und nicht unterstützte Authentifizierungsflows in Power Pages
- Implizite Genehmigung
- Bei diesem Flow handelt es sich um die Standardauthentifizierungsmethode für Power Pages Websites.
- Autorisierungscode
- Power Pages verwendet die client_secret_post-Methode zur Kommunikation mit dem Token-Endpunkt des Identitätsservers.
- Die private_key_jwt-Methode zur Authentifizierung mit dem Token-Endpunkt wird nicht unterstützt.
- Hybrid (eingeschränkte Unterstützung)
- Power Pages erfordert id_Token in der Antwort, Antworttyp = Code-Token wird nicht unterstützt.
- Der Hybridflow in Power Pages folgt demselben Flow wie die implizite Genehmigungund verwendet id_token, um die Benutzer direkt anzumelden.
- Beweis-Schlüssel für Code-Austausch (PKCE)
- PKCE-basierte Techniken zur Authentifizierung von Benutzern werden nicht unterstützt.
Anmerkung
Es kann einige Minuten dauern bis die Änderungen an den Authentifizierungseinstellungen auf Ihrer Website wiedergegeben werden. Um die Änderungen sofort zu sehen, starten Sie die Website im Admin Center neu.
Den OpenID Connect-Anbieter in Power Pages konfigurieren
Wählen Sie auf Ihrer Power Pages-Website Sicherheit>Identitätsanbieter aus.
Wenn keine Identitätsanbieter angezeigt werden, stellen Sie sicher, dass Externe Anmeldung auf Ein in den allgemeinen Authentifizierungseinstellungen Ihrer Website festgelegt ist.
Wählen Sie + Neuer Anbieter aus.
Unter Anmeldungsanbieter auswählen wählen Sie Sonstige aus.
Unter Protokoll wählen Sie OpenID Connect aus.
Benennen Sie den Anbieter.
Der Anbietername ist der Text auf der Schaltfläche, die Benutzer sehen, wenn sie ihren Identitätsanbieter auf der Anmeldeseite auswählen.
Wählen Sie Weiter.
Wählen Sie unter Antwort-URL die Option Kopieren aus.
Schließen Sie nicht Ihre Power Pages-Browserregisterkarte. Sie werden bald dazu zurückkehren.
Erstellen Sie eine App-Registrierung beim Identitätsanbieter
Erstellen und registrieren Sie eine Anwendung bei Ihrem Identitätsanbieter unter Verwendung der Antwort-URL, die Sie kopiert haben.
Die Anwendungs-ID oder Client-ID und den geheimen Clientschlüssel kopieren.
Suchen Sie den Anwendungsendpunkt und kopieren Sie die URL OpenID Connect Metadatendokument.
Ändern Sie nach Bedarf weitere Einstellungen für Ihren Identitätsanbieter.
Website-Einstellungen in Power Pages eingeben
Kehren Sie zur Seite Power Pages Identitätsanbieter konfigurieren zurück, die Sie zuvor verlassen haben, und geben Sie die folgenden Werte ein. Ändern Sie optional die zusätzlichen Einstellungen nach Bedarf. Wählen Sie Bestätigen aus, wenn Sie fertig sind.
Autoritative Stelle: Geben Sie die URL der autoritativen Stelle im folgenden Format ein:
https://login.microsoftonline.com/<Directory (tenant) ID>/
, wobei <Directory (tenant) ID> die Verzeichnis-(Mandanten-)ID der Anwendung ist, die Sie erstellt haben. Wenn die Verzeichnis-ID (Mandanten) im Azure-Portal beispielsweiseaaaabbbb-0000-cccc-1111-dddd2222eeee
ist, ist die Autoritäts-URLhttps://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/
.Client-ID: Fügen Sie die Anwendungs- oder Client-ID der Anwendung ein, die Sie erstellt haben.
Umleitungs-URL: Wenn Ihre Website einen benutzerdefinierten Domänennamen verwendet, geben Sie die benutzerdefinierte URL ein. Andernfalls lassen Sie den Standardwert. Stellen Sie sicher, dass der Wert genau mit der Umleitungs-URl der von Ihnen erstellten Anwendung übereinstimmt.
Metadatenadresse: Fügen Sie die OpenID Connect-Metadaten-Dokument-URL ein, die Sie kopiert haben.
Umfang: Geben Sie eine durch Leerzeichen getrennte Liste von Bereichen ein, die mit dem OpenID Connect-Parameter
scope
anzufordern sind. Der Standardwert istopenid
.Der
openid
-Wert ist obligatorisch. Erfahren Sie mehr über weitere Ansprüche, die Sie hinzufügen können.Antworttyp: Geben Sie den Wert des OpenID Connect-Parameters
response_type
ein. Mögliche Werte umfassencode
,code id_token
,id_token
,id_token token
undcode id_token token
. Der Standardwert istcode id_token
.Geheimer Clientschlüssel: Fügen Sie den geheimen Clientschlüssel aus der Anbieteranwendung ein. Er wird möglicherweise auch als App-Geheimnis oder als Verbraucher-Geheimnis bezeichnet. Diese Einstellung ist erforderlich, wenn der ausgewählte Antworttyp
code
ist.Antwortmodus: Geben Sie den Wert des OpenID Connect-Parameters response_mode ein. Er sollte
query
sein, wenn der ausgewählte Antworttypcode
ist. Der Standardwert istform_post
.Externe Abmeldung: Diese Einstellung steuert, ob Ihre Website die verbundbasierten Abmeldung verwendet. Wenn Benutzer sich mit der Verbundabmeldung von einer Anwendung oder Website abmelden, werden sie auch von allen Anwendungen und Websites abgemeldet, die denselben Identitätsanbieter verwenden. Aktivieren Sie ihn, um Benutzer zur verbundbasierten Abmeldeoberfläche weiterzuleiten, wenn sie sich vom Ihrer Website abmelden. Deaktivieren Sie ihn, um Benutzer von Ihrer Website abzumelden.
Umleitungs-URL nach Abmeldung: Geben Sie die URL ein, auf die der Identitätsanbieter den Benutzer nach der Abmeldung umleiten sollte. Dieser Speicherort sollte auch in der Konfiguration des Identitätsanbieters entsprechend festgelegt werden.
Von RP initiierte Abmeldung: Diese Einstellung steuert, ob die vertrauende Seite – die OpenID Connect-Clientanwendung – den Benutzer abmelden kann. Um diese Einstellung verwenden zu können, muss die Externe Abmeldung aktiviert werden.
Zusätzliche Einstellungen in Power Pages
Mit den zusätzlichen Einstellungen können Sie genauer steuern, wie sich Benutzer mit Ihrem OpenID Connect-Identitätsanbieter authentifizieren. Sie müssen keinen dieser Werte festlegen. Sie sind völlig optional.
Aussteller-Filter: Geben Sie einen Platzhalter-basierten Filter ein, der auf alle Aussteller über alle Mandanten passt, beispielsweise
https://sts.windows.net/*/
. Wenn Sie einen Microsoft Entra ID-Authentifizierungsanbieter verwenden, wäre der Aussteller-URL-Filterhttps://login.microsoftonline.com/*/v2.0/
.Zielgruppe validieren: Aktivieren Sie diese Einstellung, um die Zielgruppe während der Token-Validierung zu validieren.
Gültige Zielgruppe: Geben Sie eine durch Komma getrennte Liste mit Zielgruppen-URLs ein.
Aussteller validieren: Aktivieren Sie diese Einstellung, um die Aussteller während der Token-Validierung zu validieren.
Gültige Aussteller: Geben Sie eine durch Komma getrennte Liste mit Ausstellungs-URLs ein.
Zuordnung von Registrierungsansprüchen und Zuordnung von Anmeldeansprüchen: Bei der Benutzerauthentifizierung handelt es sich bei einem Anspruch um Informationen, die die Identität eines Benutzers beschreiben, wie z. B. eine E-Mail-Adresse oder ein Geburtsdatum. Wenn Sie sich bei einer Anwendung oder einer Website anmelden, wird ein Token erstellt. Ein Token enthält Informationen über Ihre Identität, einschließlich aller damit verbundenen Ansprüche. Token werden zur Authentifizierung Ihrer Identität verwendet, wenn Sie auf andere Teile der Anwendung oder Website oder auf andere Anwendungen und Websites zugreifen, die mit demselben Identitätsanbieter verbunden sind. Die Anspruchszuordnung ist eine Möglichkeit, die in einem Token enthaltenen Informationen zu ändern. Er kann verwendet werden, um die für die Anwendung oder Website verfügbaren Informationen anzupassen und den Zugriff auf Funktionen oder Daten zu steuern. Die Registrierungsanspruchszuordnung ändert die Ansprüche, die ausgegeben werden, wenn Sie sich für eine Anwendung oder eine Website registrieren. Die Anmeldeanspruchszuordnung ändert die Ansprüche, die ausgegeben werden, wenn Sie sich bei einer Anwendung oder einer Website anmelden. Weitere Informationen zu Anspruchszuordnungsrichtlinien.
Nonce-Lebensdauer: Geben Sie die Lebensdauer des Nonce-Werts in Minuten ein. Der Standardwert ist 10 Minuten
Tokengültigkeitsdauer verwenden: Diese Einstellung steuert, ob die Gültigkeitsdauer der Authentifizierungssitzung, z. B. Cookies, mit der des Authentifizierungstokens übereinstimmen muss. Wenn aktiviert, überschreibt dieser Wert den Wert für den Gültigkeitszeitraum des Anwendungscookies in der Authentication/ApplicationCookie/ExpireTimeSpan Websiteeinstellung.
Zuordnung von Kontakt und E-Mail-Adresse: Diese Einstellung legt fest, ob Kontakte einer entsprechenden E-Mail-Adresse zugeordnet werden, wenn sie sich anmelden.
- Ein: Ordnet einen eindeutigen Kontaktdatensatz einer entsprechenden E-Mail-Adresse zu und weist den externen Identitätsanbieter automatisch dem Kontakt zu, wenn der Benutzer sich erfolgreich angemeldet hat.
- Deaktiviert
Anmerkung
Der Anfrageparameter UI_Locales wird automatisch in der Authentifizierungsanfrage gesendet und wird auf die im Portal ausgewählte Sprache festgelegt.
Siehe auch
OpenID Connect-Anbieter einrichten mit Azure Active Directory (Azure AD) B2C
OpenID Connect-Anbieter einrichten mit Microsoft Entra ID
Häufig gestellte Fragen zu OpenID Connect