Configurar um provedor do OpenID Connect com o Microsoft Entra ID

  • Artigo

O Microsoft Entra é um dos provedores de identidade do OpenID Connect que você pode usar para autenticar visitantes para seu site do Power Pages. Junto com o Microsoft Entra ID, Microsoft Entra ID multilocatário e Azure AD B2C, você pode usar qualquer outro provedor que esteja em conformidade com a especificação do Open ID Connect.

Este artigo descreve as seguintes etapas:

Observação

Alterações nas configurações de autenticação de seu site podem levar alguns minutos para serem refletidas no site. Para ver as alterações imediatamente, reinicie o site no centro de administração.

Configurar o Microsoft Entra no Power Pages

Defina o Microsoft Entra como provedor de identidade para seu site.

  1. Em seu site do Power Pages, selecione Configurar>Provedores de identidade.

    Se nenhum provedor de identidade aparecer, certifique-se de que Login externo está definido como Ativado no site configurações gerais de autenticação.

  2. Selecione + Novo provedor.

  3. Em Selecionar provedor de login, selecione Outros.

  4. Em Protocolo, selecione OpenID Connect.

  5. Insira um nome para o provedor, por exemplo, Microsoft Entra ID.

    O nome do provedor é o texto no botão que os usuários veem quando selecionam seu provedor de identidade na página de entrada.

  6. Selecione Avançar.

  7. Em URL de Resposta, selecione Copiar.

    Não feche a guia do navegador do Power Pages. Você vai voltar a ela em breve.

Criar um registro de aplicativo no Azure

Criar um registro de aplicativo no portal do Azure com a URL de resposta do seu site como URI de redirecionamento.

  1. Entre no Portal do Azure.

  2. Procure e selecione o Azure Active Directory.

  3. Em Gerenciar, selecione Registros de aplicativo.

  4. Selecione Novo registro.

  5. Insira um nome.

  6. Selecione um dos Tipos de conta compatíveis que melhor reflete os requisitos da sua organização.

  7. Em URI de Redirecionamento, selecione Web como a plataforma e insira a URL de resposta de seu site.

    • Se estiver usando a URL padrão do seu site, cole a URL de resposta que você copiou.
    • Se você estiver usando um nome de domínio personalizado, insira a URL personalizada. Certifique-se de usar a mesma URL personalizada para a URL de redirecionamento nas configurações do provedor de identidade de seu site.

  8. Selecione Registrar.

  9. Copie a ID do cliente do aplicativo .

  10. À direita de Credenciais do cliente, selecione Adicionar um certificado ou segredo.

  11. Selecione + Novo segredo do cliente.

  12. Digite uma descrição opcional, selecione uma expiração e, em seguida, selecione Adicionar.

  13. Em ID do segredo, selecione o ícone Copiar para a área de transferência.

  14. Selecione Pontos de extremidade na parte superior da página.

  15. Encontre a URL do Documento de metadados do OpenID Connect e selecione o ícone de cópia.

  16. No painel esquerdo, em Gerenciar, selecione Autenticação.

  17. Em Concessão implícita, selecione Tokens de ID (usados para fluxos implícitos e híbridos).

  18. Selecione Salvar.

Insira as definições do site no Power Pages

Retorne à página Configurar provedor de identidade do Power Pages que você deixou anteriormente e insira os seguintes valores. Opcionalmente, altere as configurações adicionais conforme necessário. Ao concluir, selecione Confirmar.

  • Autoridade: insira a URL da autoridade no seguinte formato: https://login.microsoftonline.com/<Directory (tenant) ID>/, onde <ID do diretório (locatário)> é o ID do diretório (locatário) do aplicativo que você criou. Por exemplo, se a ID do diretório (locatário) no portal do Azure for 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, então a URL de autoridade será https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • ID do Cliente: cole o aplicativo ou ID do cliente do aplicativo que você criou.

  • URL de redirecionamento: se o seu site usar um nome de domínio personalizado, insira a URL personalizada; caso contrário, deixe o valor padrão. Certifique-se de que o valor seja exatamente igual ao URI de redirecionamento do aplicativo que você criou.

  • Endereço de metadados: cole a URL do documento de metadados do OpenID Connect que você copiou.

  • Escopo: Inserir openid email.

    O valor openid é obrigatório. O valor email é opcional; ele garante que o endereço de email do usuário seja preenchido automaticamente e exibido na página de perfil após o login do usuário. Saiba mais sobre outras declarações que você pode adicionar.

  • Tipo de resposta: Selecione code id_token.

  • Segredo do cliente: cole o segredo do cliente do aplicativo que você criou. Esta configuração será necessária se o tipo de resposta for code.

  • Modo de resposta: selecione form_post.

  • Logoff externo: esta configuração controla se o seu site usa saída federada. Com a saída federada, quando os usuários saem de um aplicativo ou site, eles também são desconectados de todos os aplicativos e sites que usam o mesmo provedor de identidade. Ative-o para redirecionar os usuários para a experiência de saída federada quando eles saírem do seu site. Desative-o para desconectar os usuários apenas do seu site.

  • URL de redirecionamento após o logoff: insira a URL para onde o provedor de identidade deve redirecionar os usuários depois que eles saírem. Esse local deve ser definido adequadamente na configuração do provedor de identidade.

  • O RP iniciou o logoff: essa configuração controla se a parte confiável, o aplicativo cliente OpenID Connect, pode desconectar os usuários. Para usar essa configuração, habilite Logoff externo.

Configurações adicionais no Power Pages

As configurações adicionais oferecem um controle mais preciso sobre como os usuários se autenticam com o provedor de identidade do Microsoft Entra. Você não precisa definir nenhum desses valores. Eles são totalmente opcionais.

  • Filtro do emissor: Insira um filtro baseado em curinga que corresponda a todos os emissores em todos os locatários; por exemplo, https://sts.windows.net/*/.

  • Validar público: ative esta configuração para validar o público durante a validação do token.

  • Validar públicos: Insira uma lista separada por vírgulas de URLs de público.

  • Validar emissores: ative esta configuração para validar o emissor durante a validação do token.

  • Validar emissores: Insira uma lista separada por vírgulas de URLs de emissor.

  • Mapeamento de declarações de registro​ e Mapeamento de declarações de logon: na autenticação do usuário, uma declaração trata-se de informações que descrevem a identidade de um usuário, como endereço de email ou data de nascimento. Quando você entra em um aplicativo ou site, ele cria um token. Um token contém informações sobre sua identidade, incluindo quaisquer declarações associadas a ele. Os tokens são usado para autenticar sua identidade quando você acessa outras partes do aplicativo ou site ou outros aplicativos e sites conectados ao mesmo provedor de identidade. Mapeamento de declarações é uma maneira de alterar as informações incluídas em um token. Ele pode ser usado para personalizar as informações disponíveis para o aplicativo ou site e para controlar o acesso a recursos ou dados. Mapeamento de declarações de registro modifica as declarações que são emitidas quando você se registra em um aplicativo ou site. Mapeamento de declarações de logon modifica as declarações que são emitidas quando você entra em um aplicativo ou site. Saiba mais sobre políticas de mapeamento de declarações.

  • Tempo de vida nonce: insira o tempo de vida do valor nonce, em minutos. O valor padrão é 10 minutos.

  • Usar tempo de vida do token: Essa configuração controla se o tempo de vida da sessão de autenticação, como cookies, deve corresponder ao token de autenticação. Se você ativá-lo, esse valor substituirá o valor Tempo de Expiração do Cookie do Aplicativo na configuração do site Authentication/ApplicationCookie/ExpireTimeSpan.

  • Mapeamento de contato com email: esta configuração determina se os contatos estão mapeados para um endereço de email correspondente quando eles entram.

    • Ativada: associa um registro de contato exclusivo a um endereço de email correspondente e atribui automaticamente o provedor de identidade externo ao contato após a entrada bem-sucedida do usuário.
    • Desativado

Observação

O parâmetro de solicitação UI_Locales agora é enviado automaticamente na solicitação de autenticação e é configurado para o idioma selecionado no portal.

Definir declarações adicionais

  1. Habilite declarações opcionais no Microsoft Entra ID.

  2. Defina Escopo para incluir as declarações adicionais, por exemplo, openid email profile.

  3. Defina a configuração adicional do site Mapeamento de declarações de registro, por exemplo, firstname=given_name,lastname=family_name.

  4. Defina a configuração adicional do site Mapeamento de declarações de login, por exemplo, firstname=given_name,lastname=family_name.

Nesses exemplos, o nome, o sobrenome e os endereços de e-mail fornecidos com as reivindicações adicionais tornam-se os valores padrão na página de perfil do site.

Observação

O mapeamento de declarações tem suporte para texto e tipos de dados boolianos.

Permitir autenticação do Microsoft Entra multilocatário

Para permitir que os usuários Microsoft Entra se autentiquem de qualquer locatário no Azure, não apenas de um locatário específico, altere o registro do aplicativo do Microsoft Entra para multilocatário.

Você também precisa definir Filtro de emissor nas configurações adicionais de seu provedor.

Confira também

Perguntas frequentes do OpenID Connect