Configurar a autenticação OIDC no SharePoint Server com Microsoft Entra ID
APLICA-SE A:
2013 2016 2019 
Subscription Edition SharePoint no Microsoft 365
Pré-requisitos
Quando configura o OpenID Connect (OIDC) com Microsoft Entra ID, precisa dos seguintes recursos:
Um farm de Edição de Assinatura do SharePoint Server (SPSE)
Microsoft Entra função de Administrador Global do inquilino do M365
Este artigo utiliza os seguintes valores de exemplo para Microsoft Entra configuração do OIDC:
| Valor | Link |
|---|---|
| UrL (Uniform Resource Locator) do site SharePoint | https://spsites.contoso.local/ |
| OIDC site URL | https://sts.windows.net/<tenantid>/ |
| Microsoft Entra ponto final de autenticação OIDC | https://login.microsoftonline.com/<tenantid>/oauth2/authorize |
| URL do OIDC RegisteredIssuerName do Microsoft Entra | https://sts.windows.net/<tenantid>/ |
| Microsoft Entra OIDC SignoutURL | https://login.microsoftonline.com/<tenantid>/oauth2/logout |
| Tipo de afirmação de identidade | http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
| Administrador da coleção de sites do Windows | contoso\yvand |
| Email valor do administrador da coleção de sites federado | yvand@contoso.local |
Importante
A Microsoft recomenda que você use funções com o menor número de permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
Passo 1: Configurar o fornecedor de identidade
Execute os seguintes passos para configurar o OIDC com Microsoft Entra ID:
Navegue para o portal de administração do Entra ID e inicie sessão com uma conta com a função Administrador Global.
Em Aplicações, selecione Registos de Aplicações.
Selecione Novo registro.
Aceda à página
https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredAppsRegistar uma aplicação .Na secção URI de Redirecionamento , selecione "Web" como Plataforma e introduza o URL da aplicação Web do SharePoint Server, por exemplo:
https://spsites.contoso.local/e selecione Registar.
Guarde o valor do ID do Diretório (inquilino), uma vez que o ID do inquilino é utilizado nos passos subsequentes. Guarde também o ID da Aplicação (cliente ), que utilizamos como DefaultClientIdentifier na configuração do SharePoint.
Depois de registar a aplicação, aceda ao separador Autenticação, selecione a caixa de marcar tokens de ID e selecione Guardar.
Aceda ao separador Permissões da API e selecione Adicionar uma Permissão. Selecione Microsoft Graph e, em seguida, Permissões delegadas. Selecione adicionar permissões de e-mail e perfil e selecione Adicionar permissões.
Aceda ao separador Configuração do token e selecione Adicionar afirmação opcional. Para cada tipo de token (ID, Access, SAML), adicione e-mail e afirmações upn .
Também no separador Configuração do token , selecione Adicionar afirmação de grupos. A Grupos de segurança é a mais comum, mas os tipos de grupo que selecionar dependem dos tipos de grupos que pretende utilizar para conceder acesso à aplicação Web do SharePoint. Para obter mais informações, veja Configurar afirmações opcionais de grupos e Configurar afirmações de grupo para aplicações com Microsoft Entra ID.
Aceda ao separador Manifesto e altere manualmente replyUrlsWithType de
https://spsites.contoso.local/parahttps://spsites.contoso.local/*. Em seguida, selecione Salvar.
Passo 2: Alterar as propriedades do farm do SharePoint
Neste passo, tem de modificar as propriedades do farm do SharePoint Server com base na versão do farm do SharePoint Server.
- Para obter mais informações sobre como configurar as propriedades do farm do SharePoint para Edição de Assinatura do SharePoint Server Versão 24H1, consulte Configurar a Versão 24H1 ou superior do SPSE.
- Para obter mais informações sobre como configurar propriedades de farm do SharePoint para Edição de Assinatura do SharePoint Server Versão anterior a 24H1, veja Configurar o SPSE antes da Versão 24H1.
Configurar Edição de Assinatura do SharePoint Server Versão 24H1 ou versões superiores com a preferência de funcionalidade lançamento antecipado
A partir do Edição de Assinatura do SharePoint Server Versão 24H1 (março de 2024), se o farm do SharePoint estiver configurado para a preferência de funcionalidade lançamento antecipado, pode configurar as propriedades do farm do SharePoint Server ao utilizar a Gestão de Certificados do SharePoint para gerir o certificado de cookie nonce. O certificado de cookie nonce faz parte da infraestrutura para garantir que os tokens de autenticação OIDC são seguros. Execute o seguinte script do PowerShell para configurar:
Importante
Para utilizar este script, o farm do SharePoint tem de estar definido como Lançamento Antecipado, conforme indicado acima. Se não estiver, o script será concluído sem erros, mas a chamada para $farm. UpdateNonceCertificate() não fará nada. Se não quiser configurar o farm para a Versão Antecipada, tem de utilizar o SPSE configurado antes dos passos da Versão 24H1 .
Observação
Inicie a Shell de Gestão do SharePoint como administrador do farm para executar o seguinte script. Leia cuidadosamente as instruções mencionadas no seguinte script do PowerShell. Terá de introduzir os seus próprios valores específicos do ambiente em determinados locais.
# Set up farm properties to work with OIDC
# Create the Nonce certificate
$cert = New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Provider 'Microsoft Enhanced RSA and AES Cryptographic Provider' -Subject "CN=SharePoint Cookie Cert"
# Import certificate to Certificate Management
$certPath = "<path and file name to save the exported cert. ex: c:\certs\nonce.pfx>"
$certPassword = ConvertTo-SecureString -String "<password>" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath $certPath -Password $certPassword
$nonceCert = Import-SPCertificate -Path $certPath -Password $certPassword -Store "EndEntity" -Exportable:$true
# Update farm property
$farm = Get-SPFarm
$farm.UpdateNonceCertificate($nonceCert,$true)
Configurar Edição de Assinatura do SharePoint Server anterior à Versão 24H1
Antes da atualização 24H1 (março de 2024), o certificado de cookie nonce tem de ser gerido manualmente. Isto inclui a instalação manual em cada servidor no farm e a definição de permissões na chave privada. O seguinte script do PowerShell pode ser utilizado para o conseguir.
Observação
Inicie a Shell de Gestão do SharePoint como administrador do farm para executar o seguinte script. Leia cuidadosamente as instruções mencionadas no seguinte script do PowerShell. Terá de introduzir os seus próprios valores específicos do ambiente em determinados locais.
# Set up farm properties to work with OIDC
$cert = New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Provider 'Microsoft Enhanced RSA and AES Cryptographic Provider' -Subject "CN=SharePoint Cookie Cert"
$rsaCert = [System.Security.Cryptography.X509Certificates.RSACertificateExtensions]::GetRSAPrivateKey($cert)
$fileName = $rsaCert.key.UniqueName
# If you have multiple SharePoint servers in the farm, you need to export the certificate by Export-PfxCertificate and import the certificate to all other SharePoint servers in the farm by Import-PfxCertificate.
# After the certificate is successfully imported to SharePoint Server, we will need to grant access permission to the certificate's private key.
$path = "$env:ALLUSERSPROFILE\Microsoft\Crypto\RSA\MachineKeys\$fileName"
$permissions = Get-Acl -Path $path
# Replace the <web application pool account> with the real application pool account of your web application
$access_rule = New-Object System.Security.AccessControl.FileSystemAccessRule(<Web application pool account>, 'Read', 'None', 'None', 'Allow')
$permissions.AddAccessRule($access_rule)
Set-Acl -Path $path -AclObject $permissions
# Then update farm properties
$farm = Get-SPFarm
$farm.Properties['SP-NonceCookieCertificateThumbprint']=$cert.Thumbprint
$farm.Properties['SP-NonceCookieHMACSecretKey']='seed'
$farm.Update()
Importante
O certificado de cookie nonce, com chave privada, tem de ser instalado em todos os servidores do SharePoint no farm. Além disso, a permissão para a chave privada tem de ser dada à conta de serviço do conjunto aplicacional Web em cada servidor. A falha ao concluir este passo resultará em falhas de autenticação OIDC. Recomenda-se que utilize o exemplo do PowerShell acima para definir a permissão no ficheiro de chave privada para garantir que é feito corretamente.
Passo 3: Configurar o SharePoint para confiar no fornecedor de identidade
Neste passo, vai criar um SPTrustedTokenIssuer que armazena a configuração de que o SharePoint precisa para confiar Microsoft Entra OIDC como o fornecedor OIDC.
Pode configurar o SharePoint para confiar no fornecedor de identidade de qualquer uma das seguintes formas:
- Configure o SharePoint para confiar Microsoft Entra ID como o fornecedor OIDC com o ponto final de metadados.
- Ao utilizar o ponto final de metadados, vários parâmetros de que precisa são obtidos automaticamente a partir do ponto final de metadados.
- Configure o SharePoint para confiar Microsoft Entra ID como o fornecedor OIDC manualmente.
Observação
Siga os passos de configuração manual ou os passos do ponto final de metadados, mas não ambos.
Recomenda-se a utilização do ponto final de metadados porque simplifica o processo.
Configurar o SharePoint para confiar Microsoft Entra ID com o ponto final de metadados
Edição de Assinatura do SharePoint Server agora suporta a utilização da capacidade de deteção de metadados OIDC ao criar o Emissor de Tokens de Identidade Fidedigna.
No Microsoft Entra ID, existem duas versões de pontos finais de deteção OIDC:
- V1.0:
https://login.microsoftonline.com/<TenantID>/.well-known/openid-configuration - V2.0:
https://login.microsoftonline.com/<TenantID>/v2.0/.well-known/openid-configuration
Importante
Atualmente, o SharePoint Server só suporta o ponto final de metadados v1.0 quando utilizado para criar o Emissor de Tokens de Identidade Fidedigna. O script do PowerShell de exemplo abaixo utiliza o ponto final V1.0.
Quando utiliza o ponto final de metadados fornecido pelo fornecedor de identidade OIDC, parte da configuração é obtida diretamente a partir do ponto final de metadados do fornecedor OIDC, incluindo:
- Certificado
- Emissor
- Ponto Final de Autorização
- SignoutURL
Isto pode simplificar a configuração do emissor de tokens OIDC.
Com o seguinte exemplo do PowerShell, podemos utilizar o ponto final de metadados de Microsoft Entra ID para configurar o SharePoint para confiar Microsoft Entra OIDC.
Observação
Leia cuidadosamente as instruções mencionadas no seguinte script do PowerShell. Terá de introduzir os seus próprios valores específicos do ambiente em determinados locais. Por exemplo, substitua <tenantid> pelo seu próprio ID de Diretório (inquilino).
# Define claim types
# In this example, we're using Email Address as the Identity claim.
$emailClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "Email" -SameAsIncoming
# Set the AAD metadata endpoint URL. Please replace <TenantID> with the value saved in step #3 in the Entra ID setup section
$metadataendpointurl = "https://login.microsoftonline.com/<TenantID>/.well-known/openid-configuration"
# Please replace <Application (Client) ID> with the value saved in step #3 in the Entra ID setup section
$clientIdentifier = "<Application (Client)ID>"
# Create a new SPTrustedIdentityTokenIssuer in SharePoint
New-SPTrustedIdentityTokenIssuer -Name "contoso.local" -Description "contoso.local" -ClaimsMappings $emailClaimMap -IdentifierClaim $emailClaimMap.InputClaimType -DefaultClientIdentifier $clientIdentifier -MetadataEndPoint $metadataendpointurl -Scope "openid profile"
| Parâmetro | Descrição |
|---|---|
| Nome | Dá um nome ao novo emissor de tokens. |
| Descrição | Fornece uma descrição para o novo emissor de tokens. |
| ImportarTrustCertificate | Um certificado que é utilizado para validar a partir do identificador id_token OIDC. |
| ClaimsMappings | Um SPClaimTypeMapping objeto, que é utilizado para identificar que afirmação no id_token é considerado identificador no SharePoint. |
| IdentifierClaim | Especifica o tipo de identificador. |
| DefaultClientIdentifier | Especifica o client_id do servidor do SharePoint, que é atribuído pelo fornecedor de identidade OIDC. Isto é validado relativamente à afirmação aud no id_token. |
| MetadataEndPoint | Especifica o ponto final de metadados conhecido do fornecedor de identidade OIDC, que pode ser utilizado para obter o certificado, emissor, ponto final de autorização e ponto final de fim de sessão mais recente. |
Configurar o SharePoint para confiar Microsoft Entra ID como o fornecedor OIDC manualmente
Ao configurar manualmente, têm de ser especificados vários parâmetros adicionais. Pode obter os valores do ponto final de deteção OIDC.
No Microsoft Entra ID, existem duas versões de pontos finais de autenticação OIDC. Por conseguinte, existem duas versões de pontos finais de deteção OIDC, respetivamente:
- V1.0:
https://login.microsoftonline.com/<TenantID>/.well-known/openid-configuration - V2.0:
https://login.microsoftonline.com/<TenantID>/v2.0/.well-known/openid-configuration
Substitua TenantID pelo ID do Diretório (inquilino) guardado no Passo 1: Configurar o fornecedor de identidade e ligar ao ponto final através do browser. Em seguida, guarde as seguintes informações:
| Valor | Link |
|---|---|
| authorization_endpoint | https://login.microsoftonline.com/<tenantid>/oauth2/authorize |
| end_session_endpoint | https://login.microsoftonline.com/<tenantid>/oauth2/logout |
| emissor | https://sts.windows.net/<tenantid>/ |
| jwks_uri | https://login.microsoftonline.com/common/discovery/keys |
Abra jwks_uri (https://login.microsoftonline.com/common/discovery/keys) e guarde todas as cadeias de certificado x5c para utilização posterior na configuração do SharePoint.
Inicie a Shell de Gestão do SharePoint como administrador do farm e, depois de introduzir os valores que obteve acima, execute o seguinte script para criar o Emissor de Tokens de identidade fidedigna:
Observação
Leia cuidadosamente as instruções mencionadas no seguinte script do PowerShell. Terá de introduzir os seus próprios valores específicos do ambiente em determinados locais. Por exemplo, substitua <tenantid> pelo seu próprio ID de Diretório (inquilino).
# Define claim types
# In this example, we're using Email Address as the identity claim.
$emailClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "Email" -SameAsIncoming
# Public key of the AAD OIDC signing certificate. Please replace <x5c cert string> with the encoded cert string which you get from x5c certificate string of the keys of jwks_uri from Step #1
$encodedCertStrs = @()
$encodedCertStrs += <x5c cert string 1>
$encodedCertStrs += <x5c cert string 2>
...
$certificates = @()
foreach ($encodedCertStr in $encodedCertStrs) {
$certificates += New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 @(,[System.Convert]::FromBase64String($encodedCertStr))
}
# Set the AAD OIDC URL where users are redirected to authenticate. Please replace <tenantid> accordingly
$authendpointurl = "https://login.microsoftonline.com/<tenantid>/oauth2/authorize"
$registeredissuernameurl = "https://sts.windows.net/<tenantid>/"
$signouturl = "https://login.microsoftonline.com/<tenantid>/oauth2/logout"
# Please replace <Application (Client) ID> with the value saved in step #3 in AAD setup section
$clientIdentifier = "<Application (Client)ID>"
# Create a new SPTrustedIdentityTokenIssuer in SharePoint
New-SPTrustedIdentityTokenIssuer -Name "contoso.local" -Description "contoso.local" -ImportTrustCertificate $certificates -ClaimsMappings emailClaimMap -IdentifierClaim $emailClaimMap.InputClaimType -RegisteredIssuerName $registeredissuernameurl -AuthorizationEndPointUri $authendpointurl -SignOutUrl $signouturl -DefaultClientIdentifier $clientIdentifier -Scope "openid profile"
Aqui, New-SPTrustedIdentityTokenIssuer o cmdlet do PowerShell é expandido para suportar o OIDC com os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
| Nome | Dá um nome ao novo emissor de tokens. |
| Descrição | Fornece uma descrição para o novo emissor de tokens. |
| ImportarTrustCertificate | Importa uma lista de Certificados X509, que é utilizada para validar a partir do identificador id_token OIDC. Se o fornecedor de identidade OIDC (IDP) utilizar mais do que um certificado para assinar digitalmente o id_token, importe estes certificados e o SharePoint valida id_token ao corresponder a assinatura digital gerada com estes certificados. |
| ClaimsMappings | Um SPClaimTypeMapping objeto, que é utilizado para identificar que afirmação no id_token é considerado identificador no SharePoint. |
| IdentifierClaim | Especifica o tipo de identificador. |
| RegisteredIssuerName | Especifica o identificador do emissor, que emite o id_token. É utilizado para validar o id_token. |
| AuthorizationEndPointUrl | Especifica o ponto final de autorização do fornecedor de identidade OIDC. |
| SignoutUrl | Especifica o ponto final de fim de sessão do fornecedor de identidade OIDC. |
| DefaultClientIdentifier | Especifica o client_id do servidor do SharePoint, que é atribuído pelo fornecedor de identidade OIDC. Isto é validado relativamente à afirmação aud no id_token. |
| ResponseTypesSupported | Especifica o tipo de resposta de IDP, que é aceite por este emissor de tokens. Pode aceitar duas cadeias: id_token e code id_token. Se este parâmetro não for fornecido, utiliza como predefinição code id_token . |
Passo 4: Configurar a aplicação Web do SharePoint
Neste passo, vai configurar uma aplicação Web no SharePoint para ser federada com o Microsoft Entra OIDC, utilizando o SPTrustedIdentityTokenIssuer criado no passo anterior.
Importante
- A zona predefinida da aplicação Web do SharePoint tem de ter autenticação do Windows ativada. Isto é necessário para o crawler de Pesquisa.
- O URL do SharePoint que irá utilizar Microsoft Entra federação OIDC tem de ser configurado com o Protocolo de Transferência de Hipertexto Seguro (HTTPS).
Pode concluir esta configuração ao:
- Criar uma nova aplicação Web e utilizar a autenticação OIDC do Windows e do Microsoft Entra na zona predefinida.
- Expandir uma aplicação Web existente para definir Microsoft Entra autenticação OIDC numa nova zona.
Para criar uma nova aplicação Web, faça o seguinte:
Inicie a Shell de Gestão do SharePoint e execute o seguinte script para criar um novo
SPAuthenticationProvider:# This script creates a trusted authentication provider for OIDC $sptrust = Get-SPTrustedIdentityTokenIssuer "contoso.local" $trustedAp = New-SPAuthenticationProvider -TrustedIdentityTokenIssuer $sptrustSiga Criar uma aplicação Web no SharePoint Server para criar uma nova aplicação Web que permita HTTPS/Secure Sockets Layer (SSL) com o nome SharePoint - OIDC em contoso.local.
Abra o site de Administração Central do SharePoint.
Selecione a aplicação Web que criou, escolha "Fornecedores de Autenticação" no Friso, clique na ligação para a zona Predefinida e selecione contoso.local como Fornecedor de Identidade Fidedigna.
No site de Administração Central do SharePoint, navegue para Definições> do SistemaConfigurar Mapeamentos de Acesso Alternativo Coleção de Mapeamentos> deAcesso Alternativo.
Filtre o ecrã com a nova aplicação Web e confirme que vê as seguintes informações:
Para expandir uma aplicação Web existente e configurá-la para utilizar o fornecedor fidedigno "contoso.local", faça o seguinte:
- Inicie a Shell de Gestão do SharePoint e execute o PowerShell para expandir a aplicação Web. O exemplo seguinte expande a aplicação Web para a zona intranet e configura a zona para utilizar o fornecedor fidedigno "Contoso.local" para autenticação.
Observação
Para que isto funcione, tem de ter um certificado válido denominado "Site OIDC do SharePoint" importado para o farm. Veja Operações de gestão de certificados SSL para obter mais informações.
# Get the trusted provider
$sptrust = Get-SPTrustedIdentityTokenIssuer "Contoso.local"
$ap = New-SPAuthenticationProvider -TrustedIdentityTokenIssuer $sptrust
# Get the web app
$wa = Get-SPWebApplication http://spsites
# Extend the web app to the "Intranet" zone using trusted provider (OIDC) auth and a SharePoint managed certificate called "SharePoint OIDC Site"
New-SPWebApplicationExtension -Identity $wa -Name "spsites" -port 443 -HostHeader 'spsites.contoso.local'-AuthenticationProvider $ap -SecureSocketsLayer -UseServerNameIndication -Certificate 'SharePoint OIDC Site' -Zone 'Intranet' -URL 'https://spsites.contoso.local'
No site de Administração Central do SharePoint, navegue para Definições> do SistemaConfigurar Mapeamentos de Acesso Alternativo Coleção de Mapeamentos> deAcesso Alternativo.
Filtre o ecrã com a aplicação Web que foi expandida e confirme que vê as seguintes informações:
Passo 5: Garantir que a aplicação Web está configurada com o certificado SSL
Uma vez que a autenticação OIDC 1.0 só pode funcionar com o protocolo HTTPS, tem de ser definido um certificado na aplicação Web correspondente. Se ainda não estiver configurado, execute os seguintes passos para definir o certificado:
Gerar o certificado do site:
Observação
Pode ignorar este passo se já tiver gerado o certificado.
Abra a consola do PowerShell do SharePoint.
Execute o seguinte script para gerar um certificado autoassinado e adicione-o ao farm do SharePoint:
New-SPCertificate -FriendlyName "Contoso SharePoint (2021)" -KeySize 2048 -CommonName spsites.contoso.local -AlternativeNames extranet.contoso.local, onedrive.contoso.local -OrganizationalUnit "Contoso IT Department" -Organization "Contoso" -Locality "Redmond" -State "Washington" -Country "US" -Exportable -HashAlgorithm SHA256 -Path "\\server\fileshare\Contoso SharePoint 2021 Certificate Signing Request.txt" Move-SPCertificate -Identity "Contoso SharePoint (2021)" -NewStore EndEntityImportante
Os certificados autoassinados são adequados apenas para fins de teste. Em ambientes de produção, recomendamos vivamente que utilize certificados emitidos por uma autoridade de certificação.
Defina o certificado:
Pode utilizar o seguinte cmdlet do PowerShell para atribuir o certificado à aplicação Web:
Set-SPWebApplication -Identity https://spsites.contoso.local -Zone Default -SecureSocketsLayer -Certificate "Contoso SharePoint (2021)"
Passo 6: Criar a coleção de sites
Neste passo, vai criar uma coleção de sites de equipa com dois administradores: um como administrador do Windows e outro como administrador federado (Microsoft Entra ID).
Abra o site de Administração Central do SharePoint.
Navegue para Gestão> de AplicaçõesCriar coleções de sites>Criar coleções de sites.
Escreva um título, URL e selecione o modelo Site de Equipa.
Na secção Administrador da Coleção de Sites Primária, selecione o
(livro) para abrir a caixa de diálogo Pessoas Seletor.Na caixa de diálogo Pessoas Seletor, escreva a conta de administrador do Windows, por exemplo, yvand.
Filtre a lista à esquerda ao selecionar Organizações. Segue-se um resultado de exemplo:
Aceda à conta e selecione OK.
Na secção Administrador secundário da Coleção de Sites, selecione o ícone do livro para abrir a caixa de diálogo Pessoas Seletor.
Na caixa de diálogo Pessoas Seletor, escreva o valor exato de e-mail da conta de administrador Microsoft Entra, por exemplo yvand@contoso.local.
Filtre a lista à esquerda ao selecionar contoso.local. Segue-se um resultado de exemplo:
Aceda à conta e selecione OK para fechar a caixa de diálogo Pessoas Seletor.
Selecione OK novamente para criar a coleção de sites.
Assim que a coleção de sites for criada, deverá conseguir iniciar sessão com o Windows ou a conta de administrador da coleção de sites federada.
Passo 7: Configurar o Seletor de Pessoas
Na autenticação OIDC, o Pessoas Picker não valida a entrada, o que pode levar a erros ortográficos ou utilizadores a selecionar acidentalmente o tipo de afirmação errado. Isto pode ser resolvido através de um Fornecedor de Afirmações Personalizadas ou através do novo fornecedor de afirmações apoiado pela UPA incluído no Edição de Assinatura do SharePoint Server. Para configurar um fornecedor de afirmações com suporte UPA, veja Selecionador de Pessoas Avançado para autenticação moderna