Configurar a autenticação OIDC no SharePoint Server com Microsoft Entra ID

APLICA-SE A:2013 2016 2019 Subscription Edition SharePoint no Microsoft 365

Pré-requisitos

Quando configura o OpenID Connect (OIDC) com Microsoft Entra ID, precisa dos seguintes recursos:

1. Um farm de Edição de Assinatura do SharePoint Server (SPSE)

2. Microsoft Entra função de Administrador Global do inquilino do M365

Este artigo utiliza os seguintes valores de exemplo para Microsoft Entra configuração do OIDC:

Passo 1: Configurar o fornecedor de identidade

Execute os seguintes passos para configurar o OIDC com Microsoft Entra ID:

1. Navegue para o portal de administração do Entra ID e inicie sessão com uma conta com a função Administrador Global.

2. Em Aplicações, selecione Registos de Aplicações.

3. Selecione Novo registro.

4. Aceda à página https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredAppsRegistar uma aplicação .

5. Na secção URI de Redirecionamento , selecione "Web" como Plataforma e introduza o URL da aplicação Web do SharePoint Server, por exemplo: https://spsites.contoso.local/ e selecione Registar.

   

6. Guarde o valor do ID do Diretório (inquilino), uma vez que o ID do inquilino é utilizado nos passos subsequentes. Guarde também o ID da Aplicação (cliente ), que utilizamos como DefaultClientIdentifier na configuração do SharePoint.

   

7. Depois de registar a aplicação, aceda ao separador Autenticação, selecione a caixa de marcar tokens de ID e selecione Guardar.

   

8. Aceda ao separador Permissões da API e selecione Adicionar uma Permissão. Selecione Microsoft Graph e, em seguida, Permissões delegadas. Selecione adicionar permissões de e-mail e perfil e selecione Adicionar permissões.

   

9. Aceda ao separador Configuração do token e selecione Adicionar afirmação opcional. Para cada tipo de token (ID, Access, SAML), adicione e-mail e afirmações upn .

10. Também no separador Configuração do token , selecione Adicionar afirmação de grupos. A Grupos de segurança é a mais comum, mas os tipos de grupo que selecionar dependem dos tipos de grupos que pretende utilizar para conceder acesso à aplicação Web do SharePoint. Para obter mais informações, veja Configurar afirmações opcionais de grupos e Configurar afirmações de grupo para aplicações com Microsoft Entra ID.

    

11. Aceda ao separador Manifesto e altere manualmente replyUrlsWithType de https://spsites.contoso.local/ para https://spsites.contoso.local/*. Em seguida, selecione Salvar.

    

Passo 2: Alterar as propriedades do farm do SharePoint

Neste passo, tem de modificar as propriedades do farm do SharePoint Server com base na versão do farm do SharePoint Server.

• Para obter mais informações sobre como configurar as propriedades do farm do SharePoint para Edição de Assinatura do SharePoint Server Versão 24H1, consulte Configurar a Versão 24H1 ou superior do SPSE.
• Para obter mais informações sobre como configurar propriedades de farm do SharePoint para Edição de Assinatura do SharePoint Server Versão anterior a 24H1, veja Configurar o SPSE antes da Versão 24H1.

Configurar Edição de Assinatura do SharePoint Server Versão 24H1 ou versões superiores com a preferência de funcionalidade lançamento antecipado

A partir do Edição de Assinatura do SharePoint Server Versão 24H1 (março de 2024), se o farm do SharePoint estiver configurado para a preferência de funcionalidade lançamento antecipado, pode configurar as propriedades do farm do SharePoint Server ao utilizar a Gestão de Certificados do SharePoint para gerir o certificado de cookie nonce. O certificado de cookie nonce faz parte da infraestrutura para garantir que os tokens de autenticação OIDC são seguros. Execute o seguinte script do PowerShell para configurar:

# Set up farm properties to work with OIDC

# Create the Nonce certificate
$cert = New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Provider 'Microsoft Enhanced RSA and AES Cryptographic Provider' -Subject "CN=SharePoint Cookie Cert"

# Import certificate to Certificate Management
$certPath = "<path and file name to save the exported cert.  ex: c:\certs\nonce.pfx>"
$certPassword = ConvertTo-SecureString -String "<password>" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath $certPath -Password $certPassword
$nonceCert = Import-SPCertificate -Path $certPath -Password $certPassword -Store "EndEntity" -Exportable:$true

# Update farm property
$farm = Get-SPFarm 
$farm.UpdateNonceCertificate($nonceCert,$true)

Configurar Edição de Assinatura do SharePoint Server anterior à Versão 24H1

Antes da atualização 24H1 (março de 2024), o certificado de cookie nonce tem de ser gerido manualmente. Isto inclui a instalação manual em cada servidor no farm e a definição de permissões na chave privada. O seguinte script do PowerShell pode ser utilizado para o conseguir.

# Set up farm properties to work with OIDC
$cert = New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Provider 'Microsoft Enhanced RSA and AES Cryptographic Provider' -Subject "CN=SharePoint Cookie Cert"
$rsaCert = [System.Security.Cryptography.X509Certificates.RSACertificateExtensions]::GetRSAPrivateKey($cert)
$fileName = $rsaCert.key.UniqueName

# If you have multiple SharePoint servers in the farm, you need to export the certificate by Export-PfxCertificate and import the certificate to all other SharePoint servers in the farm by Import-PfxCertificate. 

# After the certificate is successfully imported to SharePoint Server, we will need to grant access permission to the certificate's private key.

$path = "$env:ALLUSERSPROFILE\Microsoft\Crypto\RSA\MachineKeys\$fileName"
$permissions = Get-Acl -Path $path

# Replace the <web application pool account> with the real application pool account of your web application
$access_rule = New-Object System.Security.AccessControl.FileSystemAccessRule(<Web application pool account>, 'Read', 'None', 'None', 'Allow')
$permissions.AddAccessRule($access_rule)
Set-Acl -Path $path -AclObject $permissions

# Then update farm properties
$farm = Get-SPFarm
$farm.Properties['SP-NonceCookieCertificateThumbprint']=$cert.Thumbprint
$farm.Properties['SP-NonceCookieHMACSecretKey']='seed'
$farm.Update()

Passo 3: Configurar o SharePoint para confiar no fornecedor de identidade

Neste passo, vai criar um SPTrustedTokenIssuer que armazena a configuração de que o SharePoint precisa para confiar Microsoft Entra OIDC como o fornecedor OIDC.

Pode configurar o SharePoint para confiar no fornecedor de identidade de qualquer uma das seguintes formas:

• Configure o SharePoint para confiar Microsoft Entra ID como o fornecedor OIDC com o ponto final de metadados.
  • Ao utilizar o ponto final de metadados, vários parâmetros de que precisa são obtidos automaticamente a partir do ponto final de metadados.
• Configure o SharePoint para confiar Microsoft Entra ID como o fornecedor OIDC manualmente.

Configurar o SharePoint para confiar Microsoft Entra ID com o ponto final de metadados

Edição de Assinatura do SharePoint Server agora suporta a utilização da capacidade de deteção de metadados OIDC ao criar o Emissor de Tokens de Identidade Fidedigna.

No Microsoft Entra ID, existem duas versões de pontos finais de deteção OIDC:

• V1.0: https://login.microsoftonline.com/<TenantID>/.well-known/openid-configuration
• V2.0: https://login.microsoftonline.com/<TenantID>/v2.0/.well-known/openid-configuration

Quando utiliza o ponto final de metadados fornecido pelo fornecedor de identidade OIDC, parte da configuração é obtida diretamente a partir do ponto final de metadados do fornecedor OIDC, incluindo:

1. Certificado
2. Emissor
3. Ponto Final de Autorização
4. SignoutURL

Isto pode simplificar a configuração do emissor de tokens OIDC.

Com o seguinte exemplo do PowerShell, podemos utilizar o ponto final de metadados de Microsoft Entra ID para configurar o SharePoint para confiar Microsoft Entra OIDC.

# Define claim types
# In this example, we're using Email Address as the Identity claim.
$emailClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "Email" -SameAsIncoming

# Set the AAD metadata endpoint URL. Please replace <TenantID> with the value saved in step #3 in the Entra ID setup section  
$metadataendpointurl = "https://login.microsoftonline.com/<TenantID>/.well-known/openid-configuration"

# Please replace <Application (Client) ID> with the value saved in step #3 in the Entra ID setup section
$clientIdentifier = "<Application (Client)ID>"

# Create a new SPTrustedIdentityTokenIssuer in SharePoint
New-SPTrustedIdentityTokenIssuer -Name "contoso.local" -Description "contoso.local" -ClaimsMappings $emailClaimMap -IdentifierClaim $emailClaimMap.InputClaimType -DefaultClientIdentifier $clientIdentifier -MetadataEndPoint $metadataendpointurl -Scope "openid profile"

Configurar o SharePoint para confiar Microsoft Entra ID como o fornecedor OIDC manualmente

Ao configurar manualmente, têm de ser especificados vários parâmetros adicionais. Pode obter os valores do ponto final de deteção OIDC.

No Microsoft Entra ID, existem duas versões de pontos finais de autenticação OIDC. Por conseguinte, existem duas versões de pontos finais de deteção OIDC, respetivamente:

• V1.0: https://login.microsoftonline.com/<TenantID>/.well-known/openid-configuration
• V2.0: https://login.microsoftonline.com/<TenantID>/v2.0/.well-known/openid-configuration

Substitua TenantID pelo ID do Diretório (inquilino) guardado no Passo 1: Configurar o fornecedor de identidade e ligar ao ponto final através do browser. Em seguida, guarde as seguintes informações:

Abra jwks_uri (https://login.microsoftonline.com/common/discovery/keys) e guarde todas as cadeias de certificado x5c para utilização posterior na configuração do SharePoint.

Inicie a Shell de Gestão do SharePoint como administrador do farm e, depois de introduzir os valores que obteve acima, execute o seguinte script para criar o Emissor de Tokens de identidade fidedigna:

# Define claim types
# In this example, we're using Email Address as the identity claim.
$emailClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "Email" -SameAsIncoming

# Public key of the AAD OIDC signing certificate. Please replace <x5c cert string> with the encoded cert string which you get from x5c certificate string of the keys of jwks_uri from Step #1
$encodedCertStrs = @()
$encodedCertStrs += <x5c cert string 1>
$encodedCertStrs += <x5c cert string 2>
...
$certificates = @()
foreach ($encodedCertStr in $encodedCertStrs) {
     $certificates += New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 @(,[System.Convert]::FromBase64String($encodedCertStr))
}

# Set the AAD OIDC URL where users are redirected to authenticate. Please replace <tenantid> accordingly
$authendpointurl = "https://login.microsoftonline.com/<tenantid>/oauth2/authorize"
$registeredissuernameurl = "https://sts.windows.net/<tenantid>/"
$signouturl = "https://login.microsoftonline.com/<tenantid>/oauth2/logout"

# Please replace <Application (Client) ID> with the value saved in step #3 in AAD setup section
$clientIdentifier = "<Application (Client)ID>"

# Create a new SPTrustedIdentityTokenIssuer in SharePoint
New-SPTrustedIdentityTokenIssuer -Name "contoso.local" -Description "contoso.local" -ImportTrustCertificate $certificates -ClaimsMappings emailClaimMap -IdentifierClaim $emailClaimMap.InputClaimType -RegisteredIssuerName $registeredissuernameurl -AuthorizationEndPointUri $authendpointurl -SignOutUrl $signouturl -DefaultClientIdentifier $clientIdentifier -Scope "openid profile"

Aqui, New-SPTrustedIdentityTokenIssuer o cmdlet do PowerShell é expandido para suportar o OIDC com os seguintes parâmetros:

Passo 4: Configurar a aplicação Web do SharePoint

Neste passo, vai configurar uma aplicação Web no SharePoint para ser federada com o Microsoft Entra OIDC, utilizando o SPTrustedIdentityTokenIssuer criado no passo anterior.

Pode concluir esta configuração ao:

• Criar uma nova aplicação Web e utilizar a autenticação OIDC do Windows e do Microsoft Entra na zona predefinida.
• Expandir uma aplicação Web existente para definir Microsoft Entra autenticação OIDC numa nova zona.

Para criar uma nova aplicação Web, faça o seguinte:

1. Inicie a Shell de Gestão do SharePoint e execute o seguinte script para criar um novo SPAuthenticationProvider:

   # This script creates a trusted authentication provider for OIDC
   
   $sptrust = Get-SPTrustedIdentityTokenIssuer "contoso.local"
   $trustedAp = New-SPAuthenticationProvider -TrustedIdentityTokenIssuer $sptrust
   

2. Siga Criar uma aplicação Web no SharePoint Server para criar uma nova aplicação Web que permita HTTPS/Secure Sockets Layer (SSL) com o nome SharePoint - OIDC em contoso.local.

3. Abra o site de Administração Central do SharePoint.

4. Selecione a aplicação Web que criou, escolha "Fornecedores de Autenticação" no Friso, clique na ligação para a zona Predefinida e selecione contoso.local como Fornecedor de Identidade Fidedigna.

   

5. No site de Administração Central do SharePoint, navegue para Definições> do SistemaConfigurar Mapeamentos de Acesso Alternativo Coleção de Mapeamentos> deAcesso Alternativo.

6. Filtre o ecrã com a nova aplicação Web e confirme que vê as seguintes informações:

   

Para expandir uma aplicação Web existente e configurá-la para utilizar o fornecedor fidedigno "contoso.local", faça o seguinte:

1. Inicie a Shell de Gestão do SharePoint e execute o PowerShell para expandir a aplicação Web. O exemplo seguinte expande a aplicação Web para a zona intranet e configura a zona para utilizar o fornecedor fidedigno "Contoso.local" para autenticação.

# Get the trusted provider
$sptrust = Get-SPTrustedIdentityTokenIssuer "Contoso.local"
$ap = New-SPAuthenticationProvider -TrustedIdentityTokenIssuer $sptrust
# Get the web app
$wa = Get-SPWebApplication http://spsites
# Extend the web app to the "Intranet" zone using trusted provider (OIDC) auth and a SharePoint managed certificate called "SharePoint OIDC Site"
New-SPWebApplicationExtension -Identity $wa -Name "spsites" -port 443 -HostHeader 'spsites.contoso.local'-AuthenticationProvider $ap -SecureSocketsLayer -UseServerNameIndication -Certificate 'SharePoint OIDC Site' -Zone 'Intranet' -URL 'https://spsites.contoso.local' 

2. No site de Administração Central do SharePoint, navegue para Definições> do SistemaConfigurar Mapeamentos de Acesso Alternativo Coleção de Mapeamentos> deAcesso Alternativo.

3. Filtre o ecrã com a aplicação Web que foi expandida e confirme que vê as seguintes informações:

   

Passo 5: Garantir que a aplicação Web está configurada com o certificado SSL

Uma vez que a autenticação OIDC 1.0 só pode funcionar com o protocolo HTTPS, tem de ser definido um certificado na aplicação Web correspondente. Se ainda não estiver configurado, execute os seguintes passos para definir o certificado:

1. Gerar o certificado do site:

   Observação

   Pode ignorar este passo se já tiver gerado o certificado.

   1. Abra a consola do PowerShell do SharePoint.

   2. Execute o seguinte script para gerar um certificado autoassinado e adicione-o ao farm do SharePoint:

      New-SPCertificate -FriendlyName "Contoso SharePoint (2021)" -KeySize 2048 -CommonName spsites.contoso.local -AlternativeNames extranet.contoso.local, onedrive.contoso.local -OrganizationalUnit "Contoso IT Department" -Organization "Contoso" -Locality "Redmond" -State "Washington" -Country "US" -Exportable -HashAlgorithm SHA256 -Path "\\server\fileshare\Contoso SharePoint 2021 Certificate Signing Request.txt"
      Move-SPCertificate -Identity "Contoso SharePoint (2021)" -NewStore EndEntity
      

      Importante

      Os certificados autoassinados são adequados apenas para fins de teste. Em ambientes de produção, recomendamos vivamente que utilize certificados emitidos por uma autoridade de certificação.

2. Defina o certificado:

   Pode utilizar o seguinte cmdlet do PowerShell para atribuir o certificado à aplicação Web:

   Set-SPWebApplication -Identity https://spsites.contoso.local -Zone Default -SecureSocketsLayer -Certificate "Contoso SharePoint (2021)"
   

Passo 6: Criar a coleção de sites

Neste passo, vai criar uma coleção de sites de equipa com dois administradores: um como administrador do Windows e outro como administrador federado (Microsoft Entra ID).

1. Abra o site de Administração Central do SharePoint.

2. Navegue para Gestão> de AplicaçõesCriar coleções de sites>Criar coleções de sites.

3. Escreva um título, URL e selecione o modelo Site de Equipa.

4. Na secção Administrador da Coleção de Sites Primária, selecione o (livro) para abrir a caixa de diálogo Pessoas Seletor.

5. Na caixa de diálogo Pessoas Seletor, escreva a conta de administrador do Windows, por exemplo, yvand.

6. Filtre a lista à esquerda ao selecionar Organizações. Segue-se um resultado de exemplo:

   

7. Aceda à conta e selecione OK.

8. Na secção Administrador secundário da Coleção de Sites, selecione o ícone do livro para abrir a caixa de diálogo Pessoas Seletor.

9. Na caixa de diálogo Pessoas Seletor, escreva o valor exato de e-mail da conta de administrador Microsoft Entra, por exemplo yvand@contoso.local.

10. Filtre a lista à esquerda ao selecionar contoso.local. Segue-se um resultado de exemplo:

    

11. Aceda à conta e selecione OK para fechar a caixa de diálogo Pessoas Seletor.

12. Selecione OK novamente para criar a coleção de sites.

Assim que a coleção de sites for criada, deverá conseguir iniciar sessão com o Windows ou a conta de administrador da coleção de sites federada.

Passo 7: Configurar o Seletor de Pessoas

Na autenticação OIDC, o Pessoas Picker não valida a entrada, o que pode levar a erros ortográficos ou utilizadores a selecionar acidentalmente o tipo de afirmação errado. Isto pode ser resolvido através de um Fornecedor de Afirmações Personalizadas ou através do novo fornecedor de afirmações apoiado pela UPA incluído no Edição de Assinatura do SharePoint Server. Para configurar um fornecedor de afirmações com suporte UPA, veja Selecionador de Pessoas Avançado para autenticação moderna