Preguntas frecuentes sobre el uso de OpenID Connect en portales
Nota
A partir del 12 de octubre de 2022, los portales de Power Apps son Power Pages. Más información: Microsoft Power Pages ya está disponible para el público en general (blog)
Pronto migraremos y fusionaremos la documentación de los portales de Power Apps con la documentación de Power Pages.
Este artículo incluye información sobre los escenarios de portales de Power Apps y preguntas frecuentes sobre el uso de un proveedor de autenticación que cumpla con la Especificación OpenID Connect.
¿Necesito el documento de detección automática de OpenId Connect para integración con los portales?
Sí. El documento de detección automática (conocido normalmente como /.well-known/openid-configuration) es necesario para integración con los portales. Los portales utilizan la información presente en este documento para crear solicitudes de autorización y validar los tokens de autenticación.
Si su proveedor de identidades no proporciona este documento, puede crearlo manualmente y hospedarlo en cualquier lugar público (incluido su portal).
Nota
De forma similar al documento de detección, los portales también requieren que el proveedor de identidades proporcione un punto de conexión URI de JWKS donde las claves públicas están disponibles para verificar la firma del token de ID. Este punto de conexión debe especificarse en el documento de detección como clave jwks_uri.
¿Admiten los portales parámertos de solicitud acr_values en las solicitudes de autenticación?
No. Los portales no admiten parámertos de solicitud acr_values en solicitudes de autorización. Sin embargo, la característica de portales admite todos los parámetros de solicitud requeridos—y recomendados—definidos en la especificación de OpenID Connect.
Se admiten los siguientes parámetros opcionales:
- Response_mode
- Nonce
- UI_Locales
¿Los portales admiten parámetros de ámbito personalizados en las solicitudes de autenticación?
Sí. Los parámetros de ámbito personalizados se pueden especificar usando la opción de ámbito en la configuración.
¿Por qué el valor de nombre de usuario en el contacto, o el registro de identidad externa en Dataverse, muestran un valor diferente en comparación con lo que el usuario introdujo en la página de inicio de sesión?
El campo de nombre de usuario en un registro de contacto, y el registro de identidad externo, mostrarán el valor enviado, ya sea en notificación secundaria o en notificación de ID de objeto (OID) (para proveedores basados en Azure AD). Esto se debe a que la notificación secundaria representa el identificador del usuario final y el proveedor de identidades garantiza que es única. Una notificación OID (el ID de objeto: un identificador único para todos los usuarios de un inquilino) se admite cuando se usa con proveedores de Azure AD de inquilino único.
¿Los portales admiten el cierre de sesión desde los proveedores basados en OpenID Connect?
Sí. Los portales admiten la técnica de cierre de sesión del canal frontal para cerrar la sesión tanto desde la aplicación como desde los proveedores basados en OpenId Connect.
¿Los portales admiten el cierre de sesión único?
No. Los portales no admiten la técnica de cierre de sesión único para proveedores basados en OpenID Connect.
¿Los portales requieren alguna notificación específica en un token de ID?
Aparte de todas las notificaciones obligatorias, los portales requieren una notificación que represente la dirección de correo electrónico de los usuarios en el token de ID. Esta notificación se debe llamar email, emails o upn.
Aparte de tods las notificaciones obligatorias, los portales requieren una notificación que represente la dirección de correo electrónico de los usuarios en el id_token. Esta notificación debe denominarse “correo electrónico”, “correos electrónicos” o “upn”.
Estas notificaciones se procesan en el siguiente orden de prioridad para establecerlas como Dirección de correo electrónico principal del registro de contacto en Dataverse:
- Correo electrónico
- correos electrónicos
- upn
Cuando se usa, "emailclaimsmapping" también se utiliza para buscar un contacto existente (campo de dirección de correo electrónico principal en Dataverse).
¿Puedo obtener acceso a tokens (Id. o acceso) usando JavaScript?
No. El token de ID proporcionado por el proveedor de identidad no está disponible a través de ninguna técnica estándar en el lado del cliente; y solo se utiliza con fines de autenticación. Sin embargo, si utiliza el flujo de concesión implícita, puede utilizar los métodos proporcionados por su proveedor de identidades para obtener acceso a los tokens de identificador o acceso.
Por ejemplo, Azure AD proporciona la Biblioteca de autenticación de Microsoft para lograr este escenario en los clientes.
¿Puedo usar un proveedor OpenId Connect personalizado en lugar de Azure AD?
Sí. Los portales admiten cualquier proveedor OpenID Connect que admita la especificación de OpenID Connect estándar.
Consultar también
Configurar un proveedor OpenID Connect para portales.
Nota
¿Puede indicarnos sus preferencias de idioma de documentación? Realice una breve encuesta. (tenga en cuenta que esta encuesta está en inglés)
La encuesta durará unos siete minutos. No se recopilan datos personales (declaración de privacidad).
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de