Compartilhar via

Configurar um provedor OpenID Connect

  • Artigo

Os provedores de identidade do OpenID Connect são serviços que atendem à especificação do OpenID Connect. O OpenID Connect apresenta o conceito de um token de ID. Um "token de ID", que é um token de segurança que permite a um cliente verificar a identidade de um usuário. Ele também obtém informações básicas de perfil sobre os usuários, também conhecidas declarações.

Os provedores OpenID Azure AD B2C, Microsoft Entra ID e Microsoft Entra ID com vários locatários são criados no Power Pages. Este artigo explica como adicionar outros provedores de identidade do OpenID Connect ao seu site do Power Pages.

Fluxos de autenticação com suporte e sem suporte no Power Pages

  • Concessão implícita
    • Este fluxo é o método de autenticação padrão para sites do Power Pages.
  • Código de autorização
    • O Power Pages usa o método client_secret_post para comunicar-se com o ponto final de token do servidor de identidade.
    • Não há suporte para o método private_key_jwt para autenticar com ponto de extremidade do token.
  • Híbrido (suporte restrito)
    • O Power Pages requer que id_token esteja presente na resposta, portanto response_type = code token não é compatível.
    • O fluxo híbrido no Power Pages segue o mesmo fluxo que o de concessão implícita e usa id_token para conectar diretamente os usuários.
  • Chave de Prova para Troca de Código (PKCE)
    • Técnicas baseadas em PKCE para autenticar usuários não são suportadas.

Observação

Alterações nas configurações de autenticação de seu site podem levar alguns minutos para serem refletidas no site. Para ver as alterações imediatamente, reinicie o site no centro de administração.

Configurar o provedor do OpenID Connect no Power Pages

  1. Em seu site do Power Pages, selecione Segurança>Provedores de identidade.

    Se nenhum provedor de identidade aparecer, certifique-se de que Login externo está definido como Ativado no site configurações gerais de autenticação.

  2. Selecione + Novo provedor.

  3. Em Selecionar provedor de login, selecione Outros.

  4. Em Protocolo, selecione OpenID Connect.

  5. Insira um nome para o provedor.

    O nome do provedor é o texto no botão que os usuários veem quando selecionam seu provedor de identidade na página de entrada.

  6. Selecione Avançar.

  7. Em URL de Resposta, selecione Copiar.

    Não feche a guia do navegador do Power Pages. Você vai voltar a ela em breve.

Criar um registro de aplicativo no provedor de identidade

  1. Crie e registre um aplicativo com no provedor de identidade usando a URL de resposta copiada.

  2. Copie o aplicativo ou ID do cliente e o segredo do cliente.

  3. Localize os pontos finais do aplicativo e copie a URL Documento de metadados do OpenID Connect.

  4. Altere outras configurações, conforme necessário, para seu provedor de identidade.

Insira as definições do site no Power Pages

Retorne à página Configurar provedor de identidade do Power Pages que você deixou anteriormente e insira os seguintes valores. Opcionalmente, altere as configurações adicionais conforme necessário. Ao concluir, selecione Confirmar.

  • Autoridade: insira a URL da autoridade no seguinte formato: https://login.microsoftonline.com/<Directory (tenant) ID>/, onde <ID do diretório (locatário)> é a ID do diretório (locatário) do aplicativo que você criou. Por exemplo, se a ID do diretório (locatário) no portal do Azure for aaaabbbb-0000-cccc-1111-dddd2222eeee, então a URL de autoridade será https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • ID do Cliente: cole o aplicativo ou ID do cliente do aplicativo que você criou.

  • URL de redirecionamento: se o seu site usar um nome de domínio personalizado, insira a URL personalizada; caso contrário, deixe o valor padrão. Certifique-se de que o valor seja exatamente igual ao URI de redirecionamento do aplicativo que você criou.

  • Endereço de metadados: cole a URL do documento de metadados do OpenID Connect que você copiou.

  • Escopo: informe uma lista separada por espaços dos escopos para solicitação usando o parâmetro OpenID Connect scope. O valor padrão é openid.

    O valor openid é obrigatório. Saiba mais sobre outras declarações que você pode adicionar.

  • Tipo de resposta: informe o valor do parâmetro OpenID Connect response_type. Entre os valores possíveis estão: code, code id_token, id_token, id_token token e code id_token token. O valor padrão é code id_token.

  • Segredo do cliente: cole o segredo do cliente do aplicativo do provedor. Isso também pode ser referido como um segredo do aplicativo ou segredo do consumidor. Esta configuração será necessária se o tipo de resposta for code.

  • Modo de resposta: informe o valor do parâmetro response_mode do OpenID Connect. Deverá ser query se o tipo de resposta for code. O valor padrão é form_post.

  • Logoff externo: esta configuração controla se o seu site usa saída federada. Com a saída federada, quando os usuários saem de um aplicativo ou site, eles também são desconectados de todos os aplicativos e sites que usam o mesmo provedor de identidade. Ative-o para redirecionar os usuários para a experiência de saída federada quando eles saírem do seu site. Desative-o para desconectar os usuários apenas do seu site.

  • URL de redirecionamento após o logoff: insira a URL para onde o provedor de identidade deve redirecionar os usuários depois que eles saírem. Esse local deve ser definido adequadamente na configuração do provedor de identidade.

  • O RP iniciou o logoff: essa configuração controla se a parte confiável, o aplicativo cliente OpenID Connect, pode desconectar os usuários. Para usar essa configuração, habilite Logoff externo.

Configurações adicionais no Power Pages

As configurações adicionais oferecem um controle mais refinado sobre como usuários se autenticam no provedor de identidade do OpenID Connect. Você não precisa definir nenhum desses valores. Eles são totalmente opcionais.

  • Filtro do emissor: insira um filtro baseado em curinga que corresponda a todos os emissores em todos os locatários; por exemplo, https://sts.windows.net/*/. Se você estiver usando um provedor de autenticação de Microsoft Entra ID, o filtro de URL do emissor seria https://login.microsoftonline.com/*/v2.0/.

  • Validar público: ative esta configuração para validar o público-alvo durante a validação do token.

  • Validar públicos-alvo: insira uma lista separada por vírgulas de URLs do público-alvo.

  • Validar emissores: ative esta configuração para validar o emissor durante a validação do token.

  • Validar emissores: insira uma lista separada por vírgulas de URLs de emissor.

  • Mapeamento de declarações de registro​ e Mapeamento de declarações de logon: na autenticação do usuário, uma declaração trata-se de informações que descrevem a identidade de um usuário, como endereço de email ou data de nascimento. Quando você entra em um aplicativo ou site, ele cria um token. Um token contém informações sobre sua identidade, incluindo quaisquer declarações associadas a ele. Os tokens são usado para autenticar sua identidade quando você acessa outras partes do aplicativo ou site ou outros aplicativos e sites conectados ao mesmo provedor de identidade. Mapeamento de declarações é uma maneira de alterar as informações incluídas em um token. Ele pode ser usado para personalizar as informações disponíveis para o aplicativo ou site e para controlar o acesso a recursos ou dados. Mapeamento de declarações de registro modifica as declarações que são emitidas quando você se registra em um aplicativo ou site. Mapeamento de declarações de logon modifica as declarações que são emitidas quando você entra em um aplicativo ou site. Saiba mais sobre políticas de mapeamento de declarações.

  • Tempo de vida nonce: insira o tempo de vida do valor nonce, em minutos. O valor padrão é 10 minutos.

  • Usar tempo de vida do token: essa configuração controla se o tempo de vida da sessão de autenticação, como cookies, deve corresponder ao token de autenticação. Se você ativá-lo, esse valor substituirá o valor Tempo de Expiração do Cookie do Aplicativo na configuração do site Authentication/ApplicationCookie/ExpireTimeSpan.

  • Mapeamento de contato com email: esta configuração determina se os contatos estão mapeados para um endereço de email correspondente quando eles entram.

    • Ativada: associa um registro de contato exclusivo a um endereço de email correspondente e atribui automaticamente o provedor de identidade externo ao contato após a entrada bem-sucedida do usuário.
    • Desligado

Observação

O parâmetro de solicitação UI_Locales agora é enviado automaticamente na solicitação de autenticação e é configurado para o idioma selecionado no portal.

Confira também

Configurar um provedor do OpenID Connect com o Azure Active Directory (Azure AD) B2C
Configurar um provedor do OpenID Connect com o Microsoft Entra ID
Perguntas frequentes sobre o OpenID Connect