Configurare un provider OpenID Connect

  • Articolo

I provider di identità OpenID Connect sono servizi conformi alla specifica di Open ID Connect. OpenID Connect introduce il concetto di token ID. Un token ID è un token di sicurezza che consente a un client di verificare l'identità di un utente. Ottiene anche informazioni di base sul profilo dell'utente, note anche come attestazioni.

I provider OpenID Connect Azure AD B2C, Microsoft Entra ID e Microsoft Entra ID con più tenant sono incorporati in Power Pages. Questo articolo spiega come aggiungere altri provider di identità OpenID Connect al tuo sito Power Pages.

Flussi di autenticazione supportati e non supportati in Power Pages

  • Concessione implicita
    • Questo flusso è il metodo di autenticazione predefinito utilizzato dai siti Power Pages.
  • Codice di autorizzazione
    • Power Pages utilizza il metodo client_secret_post per comunicare con l' endpoint token del server di identità.
    • L'utilizzo del metodo private_key_jwt per l'autenticazione con l'endpoint token non è supportato.
  • Ibrido (supporto limitato)
    • Power Pages richiede id_token nella risposta, quindi response_type = token codice non è supportato.
    • Il flusso ibrido in Power Pages segue lo stesso flusso della concessione implicita e utilizza id_token per consentire agli utenti di accedere direttamente.
  • Chiave di prova per scambio di codice (PKCE)
    • Le tecniche basate su PKCE per autenticare gli utenti non sono supportate.

Nota

L'applicazione delle modifiche alle impostazioni di autenticazione del tuo sito potrebbe richiedere alcuni minuti. Per visualizzare immediatamente le modifiche, riavvia il sito nell'interfaccia di amministrazione.

Configurare il provider OpenID in Power Pages

  1. Nel tuo sito Power Pages, seleziona Configura>Provider di identità.

    Se non vengono visualizzati provider di identità, assicurati che Accesso esterno sia impostato su Attivo nelle impostazioni generali di autenticazione del tuo sito.

  2. Seleziona + Nuovo provider.

  3. In Seleziona provider di accesso seleziona Altro.

  4. In Protocollo seleziona OpenID Connect.

  5. Immetti un nome per il provider.

    Il nome del provider è il testo sul pulsante che gli utenti visualizzano quando selezionano il loro provider di identità nella pagina di accesso.

  6. Seleziona Avanti.

  7. In URL di risposta, seleziona Copia.

    Non chiudere la scheda del browser Power Pages. Ci tornerai a breve.

Creare una registrazione dell'app nel provider di identità

  1. Crea e registra un'applicazione con il tuo provider di identità utilizzando l'URL di risposta che hai copiato.

  2. Copia l'ID applicazione o client e il segreto client.

  3. Trova l'endoint dell'applicazione e copia l'URL documento di metadati OpenID Connect.

  4. Modifica le altre impostazioni secondo necessità per il tuo provider di identità.

Inserisci le impostazioni del sito in Power Pages

Torna alla pagina Power Pages Configura provider di identità che hai lasciato in precedenza e inserisci i seguenti valori. Facoltativamente, modifica le impostazioni aggiuntive secondo necessità. Al termine, seleziona Conferma.

  • Autorità: immetti l'URL dell'autorità nel seguente formato: https://login.microsoftonline.com/<Directory (tenant) ID>/, dove <ID directory (tenant)> è l'ID della directory (tenant) dell'applicazione che hai creato. Ad esempio, se l'ID directory (tenant) nel portale di Azure è 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, l'URL autorità è https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • ID client​: incolla l'applicazione o l'ID client dell'applicazione che hai creato.

  • URL di reindirizzamento: se il tuo sito utilizza un nome di dominio personalizzato, inserisci l'URL personalizzato; in caso contrario, lascia il valore predefinito. Assicurati che il valore sia esattamente lo stesso dell'URI di reindirizzamento dell'applicazione che hai creato.

  • Indirizzo metadati: incolla l'URL del documento di metadati OpenID Connect che hai copiato.

  • Ambito: Immetti un elenco separato da spazi usando il parametro OpenID Connect scope. Il valore predefinito è openid.

    Il valore obbligatorio è openid. Scopri altre attestazioni che puoi aggiungere.

  • Tipo di risposta: immetti il valore del parametro OpenID Connect response_type. I valori possibili includono code, code id_token, id_token, id_token token e code id_token token. Il valore predefinito è code id_token.

  • Segreto client: incolla il segreto client dall'applicazione del provider. È possibile farvi riferimento come un segreto app o segreto consumer. Questa impostazione è obbligatoria se il tipo di risposta è code.

  • Modalità di risposta: immetti il valore del parametro OpenID Connect response_mode. Dovrebbe essere query se il tipo di risposta è code. Il valore predefinito è form_post.

  • Disconnessione esterna: questa impostazione controlla se il tuo sito utilizza la disconnessione federata. Con la disconnessione federata, quando gli utenti si disconnettono da un'applicazione o da un sito, vengono disconnessi anche da tutte le applicazioni e i siti che utilizzano lo stesso provider di identità. Attivala per reindirizzare gli utenti all'esperienza utente di disconnessione federata quando si disconnettono dal tuo sito Web. Disattivala per disconnettere gli utenti solo dal tuo sito Web.

  • URL di reindirizzamento post-disconnessione: Immetti l'URL dove il provider di identità deve reindirizzare gli utenti dopo la disconnessione. Questa posizione deve essere impostata in modo appropriato nella configurazione del provider di identità.

  • Disconnessione avviata da RP: questa impostazione controlla se la relying party, ovvero l'applicazione client OpenID Connect, può disconnettere gli utenti. Per utilizzare questa impostazione, abilita Disconnessione esterna.

Impostazioni aggiuntive in Power Pages

Le impostazioni aggiuntive ti offrono un controllo più preciso su come gli utenti si autenticano con il provider di identità OpenID Connect. Non è necessario impostare nessuno di questi valori. Sono del tutto facoltativi.

  • Filtro autorità emittente: immetti un carattere jolly che corrisponde a tutte le autorità emittenti in tutti i tenant; ad esempio https://sts.windows.net/*/. Se utilizzi un provider di autenticazione Microsoft Entra ID, il filtro URL dell'emittente sarà https://login.microsoftonline.com/*/v2.0/.

  • Convalida destinatari: attiva questa impostazione per convalidare destinatari durante la convalida del token.

  • Destinatari validi: immetti gli URL di destinatari in un elenco di valori separati da virgole.

  • Convalida autorità emittenti: attiva questa impostazione per convalidare l'autorità emittente durante la convalida del token.

  • Autorità emittenti valide: immetti gli URL delle autorità emittenti in un elenco di valori separati da virgole.

  • Mapping attestazioni di registrazione​ e Mappig attestazioni di accesso: nell'autenticazione utente, un'attestazione è un'informazione che descrive l'identità di un utente, come un indirizzo e-mail o una data di nascita. Quando accedi a un'applicazione o a un sito Web, viene creato un token. Un token contiene informazioni sulla tua identità, incluse eventuali attestazioni ad essa associate. I token vengono utilizzati per autenticare la tua identità quando accedi ad altre parti dell'applicazione o del sito o ad altre applicazioni e siti connessi allo stesso provider di identità. Il mapping delle attestazioni è un modo per modificare le informazioni incluse in un token. Può essere utilizzato per personalizzare le informazioni disponibili per l'applicazione o il sito e per controllare l'accesso a funzionalità o dati. Il mapping delle attestazioni di registrazione modifica le attestazioni emesse quando ti registri su un'applicazione o un sito. Il mapping delle attestazioni di accesso modifica le attestazioni emesse quando accedi a un'applicazione o a un sito. Altre informazioni sui criteri di mapping delle attestazioni.

  • Durata Nonce: immetti la durata del valore nonce, in minuti. Il valore predefinito è 10 minuti.

  • Usa durata token: questa impostazione controlla se la durata della sessione di autenticazione, ad esempio i cookie, deve corrispondere a quella del token di autenticazione. Se la abiliti, questo valore sovrascrive il valore di intervallo di tempo per la scadenza dei cookie dell'applicazione nell'impostazione del sito Authentication/ApplicationCookie/ExpireTimeSpan.

  • Mapping dei contatti con e-mail: questa impostazione determina se i contatti sono mappati a un indirizzo e-mail corrispondente quando accedono.

    • Attivato: associa un unico record di contatto a un indirizzo e-mail corrispondente e assegna automaticamente il provider di identità esterno al contatto dopo che l'utente ha effettuato correttamente l'accesso.
    • Disattivato

Nota

Il parametro di richiesta UI_Locales viene ora inviato automaticamente nella richiesta di autenticazione e sarà impostato sulla lingua selezionata sul portale.

Vedi anche

Configurare un provider OpenID Connect con B2C di Azure Active Directory (Azure AD)
Configurare un provider OpenID Connect con Microsoft Entra ID
Domande frequenti su OpenID Connect