Delen via

Een OpenID Connect-provider instellen

OpenID Connect-id-providers zijn services die voldoen aan de specificatie van OpenID Connect. OpenID Connect Connect introduceert het concept van een id-token. Een id-token is een beveiligingstoken waarmee een client de identiteit van een gebruiker kan verifiëren. Er wordt tevens basisprofielinformatie verstrekt over gebruikers, de zogenaamde claims.

OpenID Connect-providers Microsoft Entra External ID, Microsoft Entra ID en Microsoft Entra IDmet meerdere tenants zijn ingebouwd in Power Pages. In dit artikel wordt uitgelegd hoe u andere OpenID Connect-identiteitsproviders kunt toevoegen aan uw Power Pages-site.

Ondersteunde en niet-ondersteunde verificatiestromen in Power Pages

  • Impliciete toekenning
    • Deze stroom is de standaardverificatiemethode voor Power Pages-sites.
  • Autorisatiecode
    • Power Pages gebruikt de methode client_secret_post om te communiceren met het tokeneindpunt van de identiteitsserver.
    • De methode private_key_jwt voor verificatie met het tokeneindpunt wordt niet ondersteund.
  • Hybride (beperkte ondersteuning)
    • Power Pages vereist dat de id_token aanwezig is in de respons, dus wordt het response_type = codetoken niet ondersteund.
    • De hybride stroom in Power Pages volgt dezelfde stroom als impliciete toekenning en gebruikt id_token om de gebruikers direct aan te melden.
  • PKCE (Proof Key for Code Exchange)
    • Op PKCE gebaseerde technieken om gebruikers te verifiëren worden niet ondersteund.

Opmerking

Wijzigingen in de verificatie-instellingen van uw site kunnen enkele minuten op zich laten wachten voordat ze zichtbaar zijn op de site. Als u de wijzigingen direct wilt zien, start u de site opnieuw in het beheercentrum.

De OpenID Connect-provider instellen in Power Pages

  1. Selecteer op uw Power Pages-site de optie Beveiliging>Id-providers.

    Als er geen identiteitsproviders worden weergegeven, controleert u of Externe aanmelding is ingesteld op Aan in de algemene verificatie-instellingen van uw site.

  2. Selecteer + Nieuwe provider.

  3. Selecteer onder Aanmeldingsprovider selecteren de waarde Overig.

  4. Selecteer bij Protocol de optie OpenID Connect.

  5. Voer een naam voor de webinarprovider in.

    De providernaam is de tekst op de knop die gebruikers zien wanneer ze hun identiteitsprovider selecteren op de aanmeldpagina.

  6. Selecteer Volgende.

  7. Onder Antwoord-URL selecteert u Kopiëren.

    Sluit uw Power Pages-browsertabblad niet. U komt er zo weer terug.

Een app-registratie in de id-provider maken

  1. Maak en registreer een toepassing bij uw identiteitsprovider met behulp van de antwoord-URL die u hebt gekopieerd.

  2. Kopieer de toepassings- of client-id en het clientgeheim.

  3. Zoek de eindpunten van de toepassing en kopieer de URL van het OpenID Connect-metagegevensdocument.

  4. Wijzig indien nodig andere instellingen voor uw identiteitsprovider.

Site-instellingen invoeren in Power Pages

Ga terug naar de Power Pages-pagina Identiteitsprovider configureren die u eerder hebt verlaten en voer de volgende waarden in. Wijzig desgewenst de aanvullende instellingen indien nodig. Selecteer Bevestigen als u gereed bent.

  • Autoriteit: voer de autoriteits-URL in de volgende indeling in: https://login.microsoftonline.com/<Directory (tenant) ID>/, waarbij <(tenant-)id van map> de (tenant-)id van de map is van de toepassing die u hebt gemaakt. Als de (tenant-)id van de map in de Azure Portal bijvoorbeeld aaaabbbb-0000-cccc-1111-dddd2222eeee is, is https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​ de instantie-URL.

  • Client-id: plak de toepassings- of client-id van de toepassing die u hebt gemaakt.

  • Omleidings-URL: als uw site een aangepaste domeinnaam gebruikt, voert u de aangepaste URL in; laat anders de standaardwaarde staan. Zorg ervoor dat de waarde precies hetzelfde is als de omleidings-URI van de toepassing die u hebt gemaakt.

  • Metagegevensadres: plak de URL van het OpenID Connect-metagegevensdocument die u hebt gekopieerd.

  • Bereik: voer een door spaties gescheiden lijst met bereiken die moeten worden opgevraagd via de OpenID Connect-parameter scope. De standaardwaarde is openid.

    De openid-waarde is verplicht. Meer informatie over andere claims die u kunt toevoegen.

  • Responstype: voer de waarde van de OpenID Connect-parameter response_type in. Mogelijke waarden zijn onder andere code, code id_token, id_token, id_token token en code id_token token. De standaardwaarde is code id_token.

  • Clientgeheim: plak het clientgeheim vanuit de toepassing van de provider. Dit kan ook worden aangeduid als app-geheim of consumentgeheim. Deze instelling is vereist als het responstype code is.

  • Responsmodus: voer de waarde voor de OpenID Connect-parameter response_mode in. Dit zou query moeten zijn als het geselecteerde responstype code is. De standaardwaarde is form_post.

  • Externe afmelding: deze instelling bepaalt of uw site federatieve afmelding gebruikt. Met federatieve afmelding worden gebruikers die zich afmelden bij een toepassing of site, ook afgemeld bij alle toepassingen en sites die dezelfde identiteitsprovider gebruiken. Schakel deze optie in om gebruikers om te leiden naar de federatieve afmeldingservaring wanneer ze zich afmelden bij uw website. Schakel deze optie uit om gebruikers alleen van uw website af te melden.

  • Omleidings-URL na afmelding: voer de URL in waarnaar de id-provider gebruikers moet omleiden nadat zij zich hebben afgemeld. Deze locatie moet ook correct worden ingesteld in de configuratie van de id-provider.

  • Door RP geïnitieerde afmelding: deze instelling bepaalt of de Relying Party (de OpenID Connect-clienttoepassing) gebruikers kan afmelden. Als u deze instelling wilt gebruiken, schakelt u Externe afmelding in.

Aanvullende instellingen in Power Pages

De aanvullende instellingen geven u meer controle over hoe gebruikers zich verifiëren bij uw OpenID Connect-identiteitsprovider. U hoeft geen van deze waarden in te stellen. Ze zijn volledig optioneel.

  • Filter van uitgever: voer een op jokertekens gebaseerd filter in dat overeenkomt met alle uitgevers voor alle tenants, bijvoorbeeld https://sts.windows.net/*/. Als u een Microsoft Entra ID-verificatieprovider gebruikt, is het URL-filter van de uitgever https://login.microsoftonline.com/*/v2.0/.

  • Doelgroep valideren: schakel deze instelling in om de doelgroep te valideren tijdens tokenvalidatie.

  • Geldige doelgroepen: voer een door komma's gescheiden lijst met doelgroep-URL's in.

  • Uitgevers valideren: schakel deze instelling in om de uitgever te valideren tijdens tokenvalidatie.

  • Geldige uitgevers: voer een door komma's gescheiden lijst met uitgever-URL's in.

  • Toewijzing van registratieclaims en Toewijzing van aanmeldingsclaims: in gebruikersverificatie is een claim informatie die de identiteit van een gebruiker beschrijft, zoals een e-mailadres of geboortedatum. Wanneer u zich aanmeldt bij een applicatie of een website, maakt dit een token aan. Een token bevat informatie over uw identiteit, inclusief eventuele claims die daarmee verband houden. Tokens worden gebruikt om uw identiteit te verifiëren wanneer u toegang krijgt tot andere delen van de applicatie of site of andere applicaties en sites die zijn verbonden met dezelfde identiteitsprovider. Claims toewijzen is een manier om de informatie in een token te wijzigen. Het kan worden gebruikt om de informatie aan te passen die beschikbaar is voor de toepassing of site en om de toegang tot functies of gegevens te regelen. Toewijzing van registratieclaims wijzigt de claims die worden verzonden wanneer u zich registreert voor een toepassing of een site. Toewijzing van aanmeldingsclaims wijzigt de claims die worden verzonden wanneer u zich aanmeldt bij een toepassing of een site. Meer informatie over het claimtoewijzingsbeleid.

    Gebruikersinformatie kan op twee manieren worden aangeboden:

    • ID-tokenclaims – Basisgebruikerskenmerken zoals voornaam en e-mailadres zijn opgenomen in het token.
    • UserInfo-eindpunt – Een beveiligde API die gedetailleerde gebruikersinformatie retourneert na verificatie.

    Als u het UserInfo-eindpunt wilt gebruiken, maakt u een site-instelling met de naam Authentication/OpenIdConnect/{ProviderName}/UseUserInfoEndpointforClaims en stelt u de waarde in op true.

    U kunt ook een site-instelling genaamd Authentication/OpenIdConnect/{ProviderName}/UserInfoEndpoint maken en de waarde instellen op de URL van het UserInfo-eindpunt. Als u deze instelling niet opgeeft, probeert Power Pages het eindpunt te vinden via OIDC-metagegevens.

    Foutafhandeling:

    • Als de eindpunt-URL niet is ingesteld en Power Pages deze niet in de metagegevens kan vinden, wordt het inloggen voortgezet en wordt er een waarschuwing geregistreerd.
    • Als de URL is ingesteld, maar niet toegankelijk is, wordt het inloggen voortgezet met een waarschuwing.
    • Als het eindpunt een authenticatiefout retourneert (zoals 401 of 403), wordt de aanmelding voortgezet met een waarschuwing waarin de foutmelding is opgenomen.

    Toewijzingssyntaxis:

    Om UserInfo-claims te gebruiken in toewijzingen van login- of registratieclaims, gebruikt u deze indeling:

    Veldnaam = gebruikersinfo.claimnaam

    Als UseUserInfoEndpointforClaims niet is ingeschakeld, worden toewijzingen genegeerd die het voorvoegsel userinfo. gebruiken.

  • Nonce-levensduur: voer de levensduur van de nonce-waarde in minuten in. De standaardwaarde is 10 minuten.

  • Levensduur van token gebruiken: met deze instelling wordt bepaald of de levensduur van de verificatiesessie, bijvoorbeeld cookies, moet overeenkomen met die van het verificatietoken. Als u deze optie inschakelt, overschrijft deze waarde de waarde van Tijdsduur verlopen toepassingscookie in de site-instelling Authentication/ApplicationCookie/ExpireTimeSpan.

  • Toewijzing van contactpersoon aan e-mailadres: deze instelling bepaalt of contactpersonen worden toegewezen aan een bijbehorend e-mailadres wanneer ze zich aanmelden.

    • Aan: koppelt een uniek contactpersoonrecord aan een overeenkomend e-mailadres en wijst automatisch de externe identiteitsprovider toe aan de contactpersoon nadat de gebruiker zich heeft aangemeld.
    • Uit

Opmerking

De aanvraagparameter UI_Locales wordt automatisch verzonden in de verificatieaanvraag en ingesteld op de taal die is geselecteerd in de portal.

Overige autorisatieparameters

Gebruik de volgende autorisatieparameters, maar stel ze niet in de OpenID Connect-provider in Power Pages in:

  • acr_values: met de parameter acr_values kunnen identiteitsproviders beveiligingsniveaus afdwingen, zoals meervoudige verificatie (MFA). Hiermee kan de app aangeven welk authenticatieniveau vereist is.

    Als u de parameter acr_values wilt gebruiken, maakt u een site-instelling met de naam Authentication/OpenIdConnect/{ProviderName}/AcrValues en stelt u de gewenste waarde in. Wanneer u deze waarde instelt, wordt de parameter acr_values opgenomen in de autorisatieaanvraag in Power Pages.

  • Dynamische autorisatieparameters: met dynamische parameters kunt u de autorisatieaanvraag aanpassen voor verschillende gebruikscontexten, zoals ingesloten apps of scenario's met meerdere tenants.

    • Promptparameter:

      Met deze parameter bepaalt u of de aanmeldpagina of het toestemmingsscherm wordt weergegeven. Als u deze wilt gebruiken, voegt u een aanpassing toe om deze als een queryreeksparameter naar het ExternalLogin-eindpunt te verzenden.

      Ondersteunde waarden:

      • Geen
      • aanmelden
      • toestemming
      • select_account

      URL-notatie:

      {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&prompt={value}

      Power Pages verzendt deze waarde naar de identiteitsprovider in de promptparameter.

    • Parameter voor inloghint:

      Met deze parameter kunt u een bekende gebruikers-ID, zoals een e-mailadres, doorgeven om aanmeldschermen vooraf in te vullen of over te slaan. Als u deze wilt gebruiken, voegt u een aanpassing toe om deze als een queryreeksparameter naar het ExternalLogin-eindpunt te verzenden.

      URL-notatie:

      {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&login_hint={value}

      Dit is handig als gebruikers al zijn ingelogd via een andere identiteit, zoals Microsoft Entra ID of een Microsoft-account (MSA), in dezelfde sessie.

  • Parameters voor aangepaste autorisatie: sommige identiteitsproviders ondersteunen eigen parameters voor specifiek autorisatiegedrag. Met Power Pages kunnen makers deze parameters veilig instellen en doorgeven. Als u deze parameters wilt gebruiken, voegt u een aanpassing toe om ze als queryreeksparameters naar het ExternalLogin-eindpunt te verzenden.

    Maak een site-instelling met de naam Authentication/OpenIdConnect/{Provider}/AllowedDynamicAuthorizationParameters en stel de waarde in op een door komma's gescheiden lijst met parameternamen, zoals param1,param2,param3.

    Voorbeeld van URL-notatie:

    {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&param1=value&param2=value&param3=value

    Als een van de parameters (param1, param2 of param3) niet in de lijst met toegestane parameters is opgenomen, wordt deze genegeerd door Power Pages.

    Met deze instelling wordt een lijst met aangepaste parameters gedefinieerd die in het autorisatieverzoek kunnen worden verzonden.

    Gedrag

    • Geef parameters door in de querytekenreeks van het ExternalLogin-eindpunt.
    • Power Pages bevat alleen parameters uit de lijst in de autorisatieaanvraag.
    • Standaardparameters zoals prompt, login_hint en ReturnUrl zijn altijd toegestaan en hoeven niet te worden vermeld.

    Voorbeeld van URL-notatie:

    {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&custom_param=value

    Als custom_param niet in de lijst met toegestane parameters is opgenomen, wordt deze genegeerd door Power Pages.

Zie ook

Externe Microsoft Entra-id instellen met Power Pages
Een OpenID Connect-provider instellen met Microsoft Entra ID
Veelgestelde vragen over OpenID Connect

  • Last updated on