Konfigurieren Sie einen OpenID Connect-Anbieter für Portale mit Azure AD

In diesem Artikel erfahren Sie, wie Sie einen OpenID Connect-Anbieter für Portale mithilfe von Azure Active Directory (Azure AD) und dem mehrinstanzenfähigen Azure AD konfigurieren.

Um Azure AD als den OpenID Connect-Anbieter mithilfe des impliziten Genehmigungsflows zu konfigurieren:

1. Wählen Sie Anbieter hinzufügen für Ihr Portal aus.

2. Für Anmeldungsanbieter wählen Sie Sonstige aus.

3. Für Protokoll wählen Sie OpenID Connect aus.

4. Geben Sie einen Anbieternamen ein.

   

5. Klicken Sie auf Weiter.

6. Erstellen Sie in diesem Schritt die Anwendung, und konfigurieren Sie die Einstellungen in Ihrem Identitätsanbieter.

   

   Hinweis

   • Die Antwort-URL wird von der App verwendet, um Benutzer nach erfolgreicher Authentifizierung zum Portal umzuleiten. Wenn Ihr Portal einen benutzerdefinierten Domainnamen verwendet, haben Sie möglicherweise eine andere URL als die hier angegebene.
   • Weitere Informationen zum Erstellen der App-Registrierung im Azure-Portal finden Sie unter Schnellstart: Registrieren einer Anwendung bei Microsoft Identity Platform.

   1. Melden Sie sich beim Azure-Portal an.

   2. Suchen Sie nach und wählen Sie Azure Active Directory.

   3. Klicken Sie unter Verwalten auf App-Registrierungen.

   4. Wählen Sie Neue Registrierung aus.

      

   5. Geben Sie einen Namen ein.

   6. Wählen Sie gegebenenfalls einen andere Option unter Unterstützter Kontotyp aus. Weitere Informationen: Unterstützte Kontotypen

   7. Unter URI umleiten, wählen Sie Web (falls noch nicht ausgewählt).

   8. Geben Sie die Antwort-URL für Ihr Portal im Textfeld URI umleiten ein.
      Beispiel: https://contoso-portal.powerappsportals.com/signin-openid_1

      Hinweis

      Wenn Sie die Portal-Standard-URL verwenden, kopieren Sie die Antwort-URL und fügen Sie sie, wie im Abschnitt Erstellen und konfigurieren Sie die Einstellungen für den OpenID Connect-Anbieter im Bildschirm Identitätsanbieter konfigurieren dargestellt, ein (Schritt 6 oben). Wenn Sie einen benutzerdefinierten Domänennamen für das Portal verwenden, geben Sie die benutzerdefinierte URL ein. Stellen Sie sicher, dass Sie diesen Wert verwenden, wenn Sie URL umleiten in Ihren Portaleinstellungen konfigurieren, während Sie den OpenID Connect-Anbieter konfigurieren.
      Wenn Sie beispielsweise die Antwort-URL im Azure-Portal als https://contoso-portal.powerappsportals.com/signin-openid_1 eingeben, verwenden Sie es unverändert für die OpenID Connect-Konfiguration in Portale.

      

   9. Wählen Sie Registrieren aus.

   10. Wählen Sie im linken Bereich unter Verwalten Authentifizierung aus.

       

   11. Markieren Sie unter Implizite Genehmigung das Kontrollkästchen ID-Token.

   12. Wählen Sie Speichern aus.

7. In diesem Schritt geben Sie die Websiteeinstellungen für die Portalkonfiguration ein.

   

   Tipp

   Wenn Sie das Browserfenster nach dem Konfigurieren der App-Registrierung im vorherigen Schritt geschlossen haben, melden Sie sich erneut beim Azure-Portal an, und wechseln Sie zu der App, die Sie für die nächsten Schritte registriert haben.

   1. Autoritative Stelle: Verwenden Sie zum Konfigurieren der Autoritäts-URL folgendes Format:

      https://login.microsoftonline.com/<Directory (tenant) ID>/

      Wenn die Verzeichnis-ID (Mandanten) im Azure-Portal beispielsweise 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb ist, ist die Autoritäts-URL https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/

   2. Client-ID: Kopieren Sie die Anwendungs-ID (Client) aus dem Azure-Portal als Client-ID.

      

   3. URL umleiten: Bestätigen Sie, dass der Websiteeinstellungswert URL umleiten derselbe ist wie der für URI umleiten, den Sie zuvor im Azure-Portal festgelegt haben.

      

      Hinweis

      Wenn Sie die Standard-Portal-URL verwenden, können Sie die Antwort-URL kopieren und einfügen, so wie dies unter Einstellungen für OpenID Connect-Anbieter erstellen und konfigurieren dargestellt. Wenn Sie einen benutzerdefinierten Domänennamen verwenden, geben Sie die URL manuell ein. Stellen Sie sicher, dass der hier eingegebene Wert genau dem Wert entspricht, den Sie zuvor für URI umleiten im Azure-Portal eingegeben haben.

   4. Metadatenadresse: So konfigurieren Sie die Metadatenadresse:

      1. Wählen Sie im Azure-Portal die Option Übersicht aus.

      2. Wählen Sie Endpunkte aus.

         

      3. Kopieren Sie die URL in OpenID Connect-Metadatendokument.

         

      4. Fügen Sie die URL des kopierten Dokuments als Metadatenadresse für Portale ein.

   5. Bereich: Stellen Sie den Websiteeinstellungswert Bereich wie folgt ein:

      openid email

      Hinweis

      Der openid-Wert im Bereich ist obligatorisch. Der email-Wert ist optional; wenn Sie ihn im Bereich email-Wert angeben, wird sichergestellt, dass die E-Mail-Adresse des Portalbenutzers (Kontaktdatensatz) vorab ausgefüllt und auf der Profil-Seite angezeigt wird, nachdem sich der Benutzer angemeldet hat. Informationen zu weiteren Ansprüchen finden Sie unter Konfigurieren Sie zusätzliche Ansprüche später in diesem Artikel.

   6. Für Antworttyp wählen Sie code id_token aus.

   7. Für Antwortmodus wählen Sie form_post aus.

8. Wählen Sie Bestätigen aus.

   

9. Klicken Sie auf Schließen.

Zusätzliche Ansprüche konfigurieren

1. Aktivieren Sie optionale Ansprüche in Azure AD.

2. Stellen Sie den Bereich ein, um die zusätzlichen Ansprüche aufzunehmen.
   Beispiel: openid email profile

3. Stellen Sie die zusätzliche Websiteeinstellung Zuordnung von Registrierungsansprüchen ein.
   Beispiel: firstname=given_name,lastname=family_name

4. Stellen Sie die zusätzliche Websiteeinstellung Zuordnung der Anmeldungsansprüche ein.
   Beispiel: firstname=given_name,lastname=family_name

Vorname, Nachname und E-Mail-Adressen, die beispielsweise mit den zusätzlichen Ansprüchen bereitgestellt werden, werden zu Standardwerten auf der Profilseite im Portal.

Aktivieren Sie die Authentifizierung mithilfe einer mehrinstanzfähigen Azure AD-Anwendung

Sie können das Portal konfigurieren, um Azure AD Benutzer von einem anderen Benutzer in Azure zu akzeptieren und nicht nur einen bestimmten Mandanten, indem Sie die Multi-Mandanten-Anwendung verwenden, die in Azure AD registriert ist. Zur Aktivierung der Mehrinstanzenfähigkeit, aktualisieren Sie die Anwendungsregistrierung in der Azure AD Anwendung.

Um die Authentifizierung von Azure AD für die Verwendung einer mehrinstanzenfähigen Anwendung zu unterstützen, müssen Sie die zusätzliche Websiteeinstellung Ausstellerfilter erstellen oder diese konfigurieren.

Diese Websiteeinstellung ist ein Platzhalter-basierter Filter, der auf alle Aussteller über alle Instanzen passt. Beispiel: https://sts.windows.net/*/

Siehe auch

FAQ zur Verwendung von OpenID Connect in Portalen