Configure seu Serviço de Aplicativo ou aplicativo Azure Functions para entrar usando um provedor OpenID Connect

  • Artigo

Este artigo mostra como configurar o Serviço de Aplicativo do Azure ou o Azure Functions para usar um provedor de autenticação personalizado que adere à especificação OpenID Connect. OpenID Connect (OIDC) é um padrão da indústria usado por muitos provedores de identidade (IDPs). Você não precisa entender os detalhes da especificação para configurar seu aplicativo para usar um IDP aderente.

Você pode configurar seu aplicativo para usar um ou mais provedores OIDC. Cada um deve receber um nome alfanumérico exclusivo na configuração, e apenas um pode servir como o destino de redirecionamento padrão.

Registre seu aplicativo com o provedor de identidade

O seu fornecedor exigir-lhe-á que registe os dados do seu pedido com ele. Uma dessas etapas envolve a especificação de um URI de redirecionamento. Este URI de redirecionamento será do formato <app-url>/.auth/login/<provider-name>/callback. Cada provedor de identidade deve fornecer mais instruções sobre como concluir essas etapas. <provider-name> fará referência ao nome amigável que você dá ao nome do provedor OpenID no Azure.

Nota

Alguns provedores podem exigir etapas adicionais para sua configuração e como usar os valores que fornecem. Por exemplo, a Apple fornece uma chave privada que não é usada como o segredo do cliente OIDC e, em vez disso, você deve usá-la para criar um JWT que é tratado como o segredo que você fornece na configuração do seu aplicativo (consulte a seção "Criando o segredo do cliente" da documentação Entrar com a Apple)

Você precisará coletar uma ID do cliente e um segredo do cliente para seu aplicativo.

Importante

O segredo do cliente é uma credencial de segurança importante. Não compartilhe esse segredo com ninguém nem o distribua em um aplicativo cliente.

Além disso, você precisará dos metadados do OpenID Connect para o provedor. Isso geralmente é exposto por meio de um documento de metadados de configuração, que é o URL do emissor do provedor sufixo com /.well-known/openid-configuration. Reúna este URL de configuração.

Se não conseguir usar um documento de metadados de configuração, você precisará reunir os seguintes valores separadamente:

Adicionar informações do provedor ao seu aplicativo

  1. Entre no portal do Azure e navegue até seu aplicativo.
  2. Selecione Autenticação no menu à esquerda. Selecione Adicionar provedor de identidade.
  3. Selecione OpenID Connect na lista suspensa do provedor de identidade.
  4. Forneça o nome alfanumérico exclusivo selecionado anteriormente para o nome do provedor OpenID.
  5. Se você tiver a URL para o documento de metadados do provedor de identidade, forneça esse valor para a URL de metadados. Caso contrário, selecione a opção Fornecer pontos de extremidade separadamente e coloque cada URL coletado do provedor de identidade no campo apropriado.
  6. Forneça a ID do Cliente e o Segredo do Cliente coletados anteriormente nos campos apropriados.
  7. Especifique um nome de configuração de aplicativo para o segredo do cliente. O segredo do cliente será armazenado como uma configuração de aplicativo para garantir que os segredos sejam armazenados de forma segura. Você pode atualizar essa configuração posteriormente para usar referências do Cofre da Chave se desejar gerenciar o segredo no Cofre da Chave do Azure.
  8. Pressione o botão Adicionar para concluir a configuração do provedor de identidade.

Nota

O nome do provedor OpenID não pode conter símbolos como "-" porque uma configuração de aplicativo será criada com base nisso e não oferece suporte a ela. Use "_" em vez disso.

Nota

O Azure requer escopos "openid", "profile" e "email". Certifique-se de que configurou o Registo da Aplicação no seu Fornecedor de ID com, pelo menos, estes âmbitos.

Passos seguintes