Partilhar via


Configurar um fornecedor OpenID Connect com o Azure AD B2C

O Azure Active Directory (Azure AD) B2C é um dos fornecedores de identidade OpenID Connect que pode utilizar para autenticar os visitantes ao seu site do Power Pages. Pode utilizar qualquer fornecedor de identidade que cumpra com a especificação do OpenID Connect.

Este artigo descreve os passos seguintes:

Nota

As alterações às definições de autenticação do site podem demorar alguns minutos a refletir-se no site. Para ver as alterações de imediato, reinicie o site no centro de administração.

Configurar o B2C do Azure AD no Power Pages

Defina o B2C do Azure AD como fornecedor de identidade para o seu site.

  1. No seu site do Power Pages, selecione Segurança>Fornecedores de Identidade.

    Se não aparecerem fornecedores de identidade, certifique-se de que o Início de sessão externo está definido como Ligado nas definições de autenticação gerais do site.

  2. À direita de B2C do Azure Active Directory, selecione Mais Comandos (...) >Configurar ou selecione o nome do fornecedor.

  3. Deixe o nome do fornecedor tal como está ou altere-o se assim o quiser.

    O nome do fornecedor é o texto no botão que os utilizadores vêem quando selecionam o seu fornecedor de identidade na página de início de sessão.

  4. Selecione Seguinte.

  5. Em URL da Resposta, selecione Copiar.

  6. Selecione Abrir Azure.

    Não feche o separador do browser do Power Pages. Irá regressar ao mesmo em breve.

Criar um registo de aplicações

Crie um inquilino para o B2C do Azure AD e registe uma aplicação com o URL de resposta do site como URL de redirecionamento.

  1. Criar um inquilino do Azure AD B2C.

  2. Procure e selecione Azure AD B2C.

  3. Em Gerir, selecione Registos das aplicações.

  4. Selecione Novo registo.

  5. Introduza um nome.

  6. Selecione um dos Tipos de conta suportados que melhor se adeque aos requisitos da sua organização.

  7. Em Redirecionar URL, selecione Web como plataforma e, em seguida, introduza o URL da resposta do site.

    • Se estiver a utilizar o URL predefinido do site, cole o URL de resposta que copiou.
    • Se estiver a usar um nome de domínio personalizado, introduza o URL personalizado. Certifique-se de que utiliza o mesmo URL personalizado para o URL de redirecionamento nas definições do fornecedor de identidade no seu site.
  8. Selecione Registar.

  9. Copie o ID da Aplicação (cliente).

  10. No painel do lado esquerdo, em Gerir, selecione Autenticação.

  11. Em Concessão implícita, selecione Tokens de acesso (utilizados para fluxos implícitos).

  12. Selecione Guardar.

  13. Configure a compatibilidade do token através da utilização de um URL de Afirmação do emissor (iss) que inclui tfp. Saber mais sobre a compatibilidade dos tokens.

Criar os fluxos de utilizador

  1. Crie um fluxo de utilizador de início de sessão e inscrição.

  2. (Opcional) Crie um fluxo de utilizador de reposição de palavra-passe.

Obter o URL do emissor a partir dos fluxos de utilizador

  1. Abra a página de início de sessão e o fluxo de início de sessão de utilizador que criou.

  2. Aceda ao inquilino de B2C do Azure AD no portal do Azure.

  3. Selecione Executar fluxo de utilizador.

  4. Abra o URL de configuração do OpenID Connect num novo separador do browser.

    O URL refere-se ao Documento de configuração do fornecedor de identidade do OpenID Connect, também conhecido como Ponto final de configuração muito conhecida do OpenID.

  5. Copie o URL do Emissor na barra de endereço. Não inclua as aspas. Certifique-se de que o URL de Afirmação do emissor (iss) inclui tfp.

  6. Abra o fluxo de utilizador de reposição da palavra-passe, se tiver criado um, e repita os passos 2 a 5.

Introduzir definições de site e definições de reposição de palavra-passe no Power Pages

  1. Regresse à página do Power Pages Configurar fornecedor de identidade que deixou anteriormente.

  2. Em Configurar definições do site, introduza os seguintes valores:

    • Autoridade: cole o URL do emissor que copiou.​

    • ID de Cliente​: cole a ID da Aplicação (cliente) da aplicação B2C do Azure AD que criou.

    • URI de Redirecionamento: se o site utilizar um nome de domínio personalizado, introduza o URL personalizado; caso contrário, deixe o valor predefinido, que deverá ser o URL de resposta do site.

  3. Em Definições do reposição de palavra-passe, introduza os seguintes valores:

    • ID de política predefinido: introduza o nome da inscrição e fluxo de utilizador de início de sessão que criou. O nome é antecedido de B2C_1.

    • ID de Política de reposição de palavra-passe: se criou um fluxo de utilizador de reposição de palavra-passe, introduza o seu nome. O nome é antecedido de B2C_1.

    • Emissores válidos: introduza uma lista delimitada por vírgulas dos URL de emissores para os fluxos de utilizador de inscrição, início de sessão e reposição de palavra-passe que criou.

  4. (Opcional) Expanda Definições adicionais e altere as definições conforme necessário.

  5. Selecione Confirmar.

Definições adicionais no Power Pages

As definições adicionais dão-lhe um controlo mais refinado sobre a forma como os utilizadores se autenticam com o fornecedor de identidade de B2C do Azure AD. Não é necessário definir nenhum destes valores. São totalmente opcionais.

  • Mapeamento de afirmações de registo e Mapeamento de afirmações de início de sessão: na autenticação do utilizador, uma afirmação é a informação que descreve a identidade de um utilizador, como um endereço de e-mail ou data de nascimento. Quando uma pessoa inicia sessão numa aplicação ou num site, é criado um token. Um token contém informações sobre a sua identidade, incluindo quaisquer afirmações associadas à mesma. Os tokens são utilizados para autenticar a sua identidade quando acede a outras partes da aplicação ou do site ou de outras aplicações e sites que estão ligados ao mesmo fornecedor de identidade. O mapeamento de afirmações é uma forma de alterar as informações incluídas num token. Pode ser utilizado para personalizar as informações disponíveis para a aplicação ou site e para controlar o acesso a funcionalidades ou dados. O mapeamento de afirmações de registo modifica as afirmações que são emitidas quando se regista numa aplicação ou num site. O mapeamento de afirmações de início de sessão modifica as afirmações que são emitidas quando inicia sessão numa aplicação ou num site. Saber mais sobre políticas de mapeamento de afirmações.

    • Não necessita de introduzir valores para estas definições se utilizar os atributos e-mail, nome próprio ou apelido. Para outros atributos, introduza uma lista de pares de nomes/valores lógicos. Introduza-os no formato field_logical_name=jwt_attribute_name, em que field_logical_name é o nome lógico do campo no Power Pages e jwt_attribute_name é o atributo com o valor devolvido do fornecedor de identidade. Estes pares são utilizados para mapear valores de afirmação (criados durante a inscrição ou início de sessão e devolvidos do B2C do Azure AD) para atributos no registo de contactos.

      Por exemplo, utiliza Cargo (jobTitle) e Código Postal (postalCode) como Atributos de Utilizador no fluxo de utilizador. Pretende atualizar os campos de tabela Contact correspondentes Cargo (jobtitle) e Endereço 1: Código Postal (address1_postalcode). Neste caso, introduza o mapeamento de afirmações como jobtitle=jobTitle,address1_postalcode=postalCode.

  • Fim de sessão externo: esta definição controla se o site utiliza um fim de sessão federado. Com o fim de sessão federado, quando os utilizadores terminam sessão de a uma aplicação ou site, também estão a terminar sessão de todas as aplicações e sites que utilizam o mesmo fornecedor de identidade. Por exemplo, se iniciar sessão num site utilizando a sua conta Microsoft e, em seguida, terminar sessão da sua conta Microsoft, o término de sessão federado garante que também tem sessão iniciada no site.

    • Ativado: redireciona os utilizadores para a experiência de fim de sessão federado quando terminar sessão no site.
    • Desativado: só termina a sessão dos utilizadores no site.
  • Mapeamento de contactos com e-mail: esta definição determina se os contactos são mapeados para um endereço de e-mail correspondente quanto iniciam sessão.

    • Ativado: associa um registo de contacto único a um endereço de e-mail correspondente e atribui automaticamente o fornecedor de identidade externo ao contacto após o início de sessão com sucesso pelo utilizador.
    • Desativado: o registo de contacto não corresponde a um fornecedor de identidade. Esta é a opção predefinida para esta definição.
  • Registo ativado: esta definição controla se os utilizadores se podem registar no site.

    • Ativado: apresenta uma página de inscrever-se onde os utilizadores podem criar uma conta no seu site.
    • Desativado: desativa e oculta a página de registo externo de contas.

Consulte também

Configurar a autenticação no site
Migrar fornecedores de identidade para o Azure AD B2C