Compartilhar via

Configurar um provedor OpenID Connect

Os provedores de identidade do OpenID Connect são serviços que atendem à especificação do OpenID Connect. O OpenID Connect apresenta o conceito de um token de ID. Um "token de ID", que é um token de segurança que permite a um cliente verificar a identidade de um usuário. Ele também obtém informações básicas de perfil sobre os usuários, também conhecidas declarações.

Os provedores OpenID Azure AD B2C, Microsoft Entra ID e Microsoft Entra ID com vários locatários são criados no Power Pages. Este artigo explica como adicionar outros provedores de identidade do OpenID Connect ao seu site do Power Pages.

Fluxos de autenticação com suporte e sem suporte no Power Pages

  • Concessão implícita
    • Este fluxo é o método de autenticação padrão para sites do Power Pages.
  • Código de autorização
    • O Power Pages usa o método client_secret_post para comunicar-se com o ponto final de token do servidor de identidade.
    • Não há suporte para o método private_key_jwt para autenticar com ponto de extremidade do token.
  • Híbrido (suporte restrito)
    • O Power Pages requer que id_token esteja presente na resposta, portanto response_type = code token não é compatível.
    • O fluxo híbrido no Power Pages segue o mesmo fluxo que o de concessão implícita e usa id_token para conectar diretamente os usuários.
  • Chave de Prova para Troca de Código (PKCE)
    • Técnicas baseadas em PKCE para autenticar usuários não são suportadas.

Observação

Alterações nas configurações de autenticação de seu site podem levar alguns minutos para serem refletidas no site. Para ver as alterações imediatamente, reinicie o site no centro de administração.

Configurar o provedor do OpenID Connect no Power Pages

  1. Em seu site do Power Pages, selecione Segurança>Provedores de identidade.

    Se nenhum provedor de identidade for exibido, verifique se Logon externo está definido como Ativado nas configurações gerais de autenticação do seu site.

  2. Selecione + Novo provedor.

  3. Em Selecionar provedor de login, selecione Outros.

  4. Em Protocolo, selecione OpenID Connect.

  5. Insira um nome para o provedor.

    O nome do provedor é o texto no botão que os usuários veem quando selecionam seu provedor de identidade na página de entrada.

  6. Selecione Avançar.

  7. Em URL de Resposta, selecione Copiar.

    Não feche a guia do navegador do Power Pages. Você voltará a ela em breve.

Criar um registro de aplicativo no provedor de identidade

  1. Crie e registre um aplicativo com no provedor de identidade usando a URL de resposta copiada.

  2. Copie o aplicativo ou ID do cliente e o segredo do cliente.

  3. Localize os pontos finais do aplicativo e copie a URL Documento de metadados do OpenID Connect.

  4. Altere outras configurações, conforme necessário, para seu provedor de identidade.

Insira as definições do site no Power Pages

Retorne à página Configurar provedor de identidade do Power Pages que você deixou anteriormente e insira os seguintes valores. Opcionalmente, altere as configurações adicionais conforme necessário. Ao concluir, selecione Confirmar.

  • Autoridade: insira a URL da autoridade no seguinte formato: https://login.microsoftonline.com/<Directory (tenant) ID>/, onde <ID do diretório (locatário)> é a ID do diretório (locatário) do aplicativo que você criou. Por exemplo, se a ID do diretório (locatário) no portal do Azure for aaaabbbb-0000-cccc-1111-dddd2222eeee, então a URL de autoridade será https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • ID do Cliente: cole o aplicativo ou ID do cliente do aplicativo que você criou.

  • URL de redirecionamento: se o seu site usar um nome de domínio personalizado, insira a URL personalizada; caso contrário, deixe o valor padrão. Certifique-se de que o valor seja exatamente igual ao URI de redirecionamento do aplicativo que você criou.

  • Endereço de metadados: cole a URL do documento de metadados do OpenID Connect que você copiou.

  • Escopo: informe uma lista separada por espaços dos escopos para solicitação usando o parâmetro OpenID Connect scope. O valor padrão é openid.

    O valor openid é obrigatório. Saiba mais sobre outras declarações que você pode adicionar.

  • Tipo de resposta: informe o valor do parâmetro OpenID Connect response_type. Entre os valores possíveis estão: code, code id_token, id_token, id_token token e code id_token token. O valor padrão é code id_token.

  • Segredo do cliente: cole o segredo do cliente do aplicativo do provedor. Isso também pode ser referido como um segredo do aplicativo ou segredo do consumidor. Esta configuração será necessária se o tipo de resposta for code.

  • Modo de resposta: informe o valor do parâmetro response_mode do OpenID Connect. Deverá ser query se o tipo de resposta for code. O valor padrão é form_post.

  • Logoff externo: esta configuração controla se o seu site usa saída federada. Com a saída federada, quando os usuários saem de um aplicativo ou site, eles também são desconectados de todos os aplicativos e sites que usam o mesmo provedor de identidade. Ative-o para redirecionar os usuários para a experiência de saída federada quando eles saírem do seu site. Desative-o para desconectar os usuários apenas do seu site.

  • URL de redirecionamento após o logoff: insira a URL para onde o provedor de identidade deve redirecionar os usuários depois que eles saírem. Esse local deve ser definido adequadamente na configuração do provedor de identidade.

  • O RP iniciou o logoff: essa configuração controla se a parte confiável, o aplicativo cliente OpenID Connect, pode desconectar os usuários. Para usar essa configuração, habilite Logoff externo.

Configurações adicionais no Power Pages

As configurações adicionais oferecem um controle mais refinado sobre como usuários se autenticam no provedor de identidade do OpenID Connect. Você não precisa definir nenhum desses valores. Eles são totalmente opcionais.

  • Filtro do emissor: insira um filtro baseado em curinga que corresponda a todos os emissores em todos os locatários; por exemplo, https://sts.windows.net/*/. Se você estiver usando um provedor de autenticação de Microsoft Entra ID, o filtro de URL do emissor seria https://login.microsoftonline.com/*/v2.0/.

  • Validar público: ative esta configuração para validar o público-alvo durante a validação do token.

  • Validar públicos-alvo: insira uma lista separada por vírgulas de URLs do público-alvo.

  • Validar emissores: ative esta configuração para validar o emissor durante a validação do token.

  • Validar emissores: insira uma lista separada por vírgulas de URLs de emissor.

  • Mapeamento de declarações de registro​ e Mapeamento de declarações de logon: na autenticação do usuário, uma declaração trata-se de informações que descrevem a identidade de um usuário, como endereço de email ou data de nascimento. Quando você entra em um aplicativo ou site, ele cria um token. Um token contém informações sobre sua identidade, incluindo quaisquer declarações associadas a ele. Os tokens são usado para autenticar sua identidade quando você acessa outras partes do aplicativo ou site ou outros aplicativos e sites conectados ao mesmo provedor de identidade. Mapeamento de declarações é uma maneira de alterar as informações incluídas em um token. Ele pode ser usado para personalizar as informações disponíveis para o aplicativo ou site e para controlar o acesso a recursos ou dados. Mapeamento de declarações de registro modifica as declarações que são emitidas quando você se registra em um aplicativo ou site. Mapeamento de declarações de logon modifica as declarações que são emitidas quando você entra em um aplicativo ou site. Saiba mais sobre políticas de mapeamento de declarações.

    As informações do usuário podem ser fornecidas de duas formas:

    • Declarações de Token de ID – Atributos básicos do usuário, como nome ou email, estão no token.
    • UserInfo Endpoint – Uma API segura que retorna informações detalhadas do usuário depois da autenticação.

    Para usar o ponto de extremidade UserInfo, crie uma Configuração de Site chamada Authentication/OpenIdConnect/{ProviderName}/UseUserInfoEndpointforClaims e defina o valor como true.

    Como opção, crie uma configuração de site chamada Authentication/OpenIdConnect/{ProviderName}/UserInfoEndpoint e defina o valor para a URL do ponto de extremidade UserInfo Se você não fornecer essa configuração, o Power Pages tentará localizar o ponto de extremidade a partir dos metadados de OIDC.

    Tratamento de erros:

    • Se a URL do ponto de extremidade não estiver definida e o Power Pages não conseguir encontrá-la nos metadados, o logon continuará e registrará um aviso.
    • Se a URL estiver definida, mas não estiver acessível, o login continuará com um aviso.
    • Se o ponto de extremidade retornar um erro de autenticação (como 401 ou 403), o logon continuará com um aviso que inclui a mensagem de erro.

    Sintaxe de mapeamento:

    Para usar declarações UserInfo em mapeamentos de declaração de logon ou registro, use este formato:

    fieldName = userinfo.claimName

    Se UseUserInfoEndpointforClaims não estiver habilitado, os mapeamentos que usam o prefixo userinfo. serão ignorados.

  • Tempo de vida nonce: insira o tempo de vida do valor nonce, em minutos. O valor padrão é 10 minutos.

  • Usar tempo de vida do token: essa configuração controla se o tempo de vida da sessão de autenticação, como cookies, deve corresponder ao token de autenticação. Se você ativá-lo, esse valor substituirá o valor Tempo de Expiração do Cookie do Aplicativo na configuração do site Authentication/ApplicationCookie/ExpireTimeSpan.

  • Mapeamento de contato com email: esta configuração determina se os contatos estão mapeados para um endereço de email correspondente quando eles entram.

    • Ativada: associa um registro de contato exclusivo a um endereço de email correspondente e atribui automaticamente o provedor de identidade externo ao contato após a entrada bem-sucedida do usuário.
    • Desligado

Observação

O parâmetro de solicitação UI_Locales agora é enviado automaticamente na solicitação de autenticação e é configurado para o idioma selecionado no portal.

Outros parâmetros de autorização

Use os seguintes parâmetros de autorização, mas não os defina no provedor OpenID Connect no Power Pages:

  • acr_values: o parâmetro acr_values permite que os provedores de identidade imponham níveis de garantia de segurança, como a autenticação multifator (MFA). Ele permite que o aplicativo indique o nível de autenticação necessário.

    Para usar o parâmetro acr_values, crie uma configuração de site chamada Authentication/OpenIdConnect/{ProviderName}/AcrValues e defina o valor necessário. Quando você define esse valor, o Power Pages inclui o parâmetro acr_values na solicitação de autorização.

  • Parâmetros de autorização dinâmicos: os parâmetros dinâmicos permitem personalizar a solicitação de autorização para diferentes contextos de uso, como aplicativos incorporados ou cenários de múltiplos locatários.

    • Parâmetro do prompt:

      Esse parâmetro controla se a página de entrada ou a tela de consentimento é exibida. Para usá-lo, adicione uma personalização para enviá-lo como um parâmetro de cadeia de caracteres de consulta para o ponto de extremidade ExternalLogin.

      Valores com suporte:

      • nenhum
      • logon
      • consentimento
      • select_account

      Formato de URL:

      {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&prompt={value}

      O Power Pages envia esse valor para o provedor de identidade no parâmetro do prompt.

    • Parâmetro de dica de logon:

      Esse parâmetro permite que você passe um identificador de usuário conhecido, como um email, para preencher ou ignorar telas de entrada. Para usá-lo, adicione uma personalização para enviá-lo como um parâmetro de cadeia de caracteres de consulta para o ponto de extremidade ExternalLogin.

      Formato de URL:

      {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&login_hint={value}

      Isso ajuda quando os usuários já estão conectados por meio de outra identidade, como Microsoft Entra ID ou uma conta Microsoft (MSA), na mesma sessão.

  • Parâmetros de autorização personalizados: alguns provedores de identidade oferecem suporte a parâmetros proprietários para comportamento de autorização específico. O Power Pages permite que os criadores configurem e passem esses parâmetros com segurança. Para usar estes parâmetros, adicione uma personalização para enviá-los como parâmetros da cadeia de caracteres de consulta para o ponto de extremidade ExternalLogin.

    Crie uma configuração de site chamada Authentication/OpenIdConnect/{Provider}/AllowedDynamicAuthorizationParameters e defina o valor como uma lista separada por vírgulas de nomes de parâmetros, como param1,param2,param3.

    Formato do URL de exemplo:

    {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&param1=value&param2=value&param3=value

    Se qualquer um dos parâmetros (param1, param2 ou param3) não estiver na lista de parâmetros permitidos, o Power Pages o ignorará.

    Essa configuração define uma lista de parâmetros personalizados que podem ser enviados na solicitação de autorização.

    Comportamento

    • Passe os parâmetros na cadeia de consulta do ponto de extremidade ExternalLogin
    • O Power Pages inclui apenas parâmetros na lista na solicitação de autorização.
    • Parâmetros padrão como prompt, login_hint e ReturnUrl são sempre permitidos e não precisam ser listados.

    Formato do URL de exemplo:

    {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&custom_param=value

    Se custom_param não estiver na lista de parâmetros permitidos, o Power Pages o ignorará.

Consultar também

Configurar um provedor do OpenID Connect com o Azure Active Directory (Azure AD) B2C
Configurar um provedor do OpenID Connect com o Microsoft Entra ID
Perguntas frequentes sobre o OpenID Connect