Partilhar via

Configurar um fornecedor OpenID Connect para portais com o Azure AD

  • Artigo

Nota

A partir de 12 de outubro de 2022, os portais do Power Apps passam a ser Power Pages. Mais informações: O Microsoft Power Pages está agora em disponibilidade geral (blogue)
Em breve, vamos migrar e unir a documentação dos portais do Power Apps com a documentação do Power Pages.

Neste artigo, vai aprender a configurar um fornecedor OpenID Connect para portais com o Azure Active Directory (Azure AD) e o Azure AD de vários inquilinos.

Nota

  • Os portais não se limitam apenas ao Azure AD, Azure AD de vários inquilinos ou ao Azure AD B2C como fornecedores OpenID Connect. Pode utilizar qualquer outro fornecedor que cumpra com as especificações do OpenID Connect. As alterações às definições de autenticação podem demorar alguns minutos a refletir-se no portal. Reinicie o portal utilizando as ações do portal se pretender que as alterações sejam refletidas imediatamente.

Para configurar o Azure AD como o fornecedor OpenID Connect utilizando o fluxo de Concessão Implícita

  1. Selecione Adicionar fornecedor para o seu portal.

  2. Para Fornecedor de início de sessão, selecione Outro.

  3. Para Protocolo, selecione OpenID Connect.

  4. Introduza o nome do fornecedor.

    Nome do fornecedor.

  5. Selecione Seguinte.

  6. Neste passo, cria a aplicação e configura as definições com o seu fornecedor de identidade.

    Criar aplicação.

    Nota

    • O URL de resposta é utilizado pela aplicação para redirecionar os utilizadores para o portal após o sucesso da autenticação. Se o seu portal utilizar um nome de domínio personalizado, é possível que tenha um URL diferente do que aquele fornecido aqui.
    • Mais detalhes sobre a criação do registo de aplicações no portal do Azure estão disponíveis em Início rápido: Registar uma aplicação com a plataforma de identidade da Microsoft.

    1. Inicie sessão no portal do Azure.

    2. Procure e selecione Azure Active Directory.

    3. Em Gerir, selecione Registos das aplicações.

    4. Selecione Novo registo.

      Registo de nova aplicação.

    5. Introduza um nome.

    6. Se necessário, selecione um Tipo de conta suportado diferente. Mais informações: Tipos de conta suportados

    7. Em URI de Redirecionamento, selecione Web (se ainda não estiver selecionado).

    8. Introduza o URL de Resposta para o seu portal na caixa de texto URI de Redirecionamento.
      Exemplo: https://contoso-portal.powerappsportals.com/signin-openid_1

      Nota

      Se estiver a utilizar o URL do portal predefinido, copie e cole o URL de Resposta, como indicado na secção Criar e configurar as definições do fornecedor OpenID Connect no ecrã Configurar fornecedor de identidade (passo 6 acima). Se estiver a utilizar um nome de domínio personalizado para o portal, insira o URL personalizado. Certifique-se de que utiliza este valor quando configurar o URL de Redirecionamento nas definições do seu portal enquanto configura o fornecedor OpenID Connect.
      Por exemplo, se introduzir o URL de Resposta no portal do Azure como https://contoso-portal.powerappsportals.com/signin-openid_1, tem de o usar tal como está para a configuração OpenID Connect em portais.

      Registar aplicação.

    9. Selecione Registar.

    10. No painel esquerdo, em Gerir, selecione Autenticação.

      Permitir fluxo de Concessão Implícita com tokens de ID.

    11. Em Concessão implícita, selecione a caixa de verificação Tokens de ID.

    12. Selecione Guardar.

  7. Neste passo, introduz as definições do site para a configuração do portal.

    Configurar definições do site de OpenID Connect.

    Dica

    Se fechou a janela do browser depois de configurar o registo da aplicação no passo anterior, inicie sessão no portal do Azure novamente e vá para a aplicação que registou.

    1. Autoridade: para configurar o URL da autoridade, utilize o seguinte formato:

      https://login.microsoftonline.com/<Directory (tenant) ID>/

      Por exemplo, se o ID do Diretório (inquilino) no portal do Azure for 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, o URL de autoridade é https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/

    2. ID do Cliente: copie o ID de Aplicação (cliente) do portal do Azure como ID do cliente.

      ID de Autoridade e do Cliente.

    3. URL de Redirecionamento: confirme que o valor de definição do site URL de Redirecionamento é o mesmo que o URI de Redirecionamento que definiu anteriormente no portal do Azure.

      Confirmar URL de redirecionamento.

      Nota

      Se estiver a utilizar o URL do portal predefinido, pode copiar e colar o URL de Resposta como mostrado no passo Criar e configurar definições do fornecedor OpenID Connect. Se estiver a usar um nome de domínio personalizado, introduza o URL manualmente. Certifique-se de que o valor introduzido aqui é exatamente o mesmo que o valor introduzido como o URI de Redirecionamento no portal do Azure anteriormente.

    4. Endereço de metadados: para configurar o endereço de metadados, faça o seguinte:

      1. Selecione Descrição geral no portal do Azure.

      2. Selecione Pontos finais.

        Pontos finais no portal do Azure.

      3. Copie o URL no documento de metadados OpenID Connect.

        Documento de metadados OpenID Connect.

      4. Cole o URL do documento copiado como Endereço de metadados para portais.

    5. Âmbito: defina o valor de definição do site de Âmbito como:

      openid email

      Nota

      O valor openid em Âmbito é obrigatório. O valor email é opcional: especificar o valor email no âmbito garante que o endereço de e-mail do utilizador do portal (registo de contacto) é preenchido automaticamente e mostrado na página Perfil após o utilizador iniciar sessão. Para obter informações sobre afirmações adicionais, consulte Configurar afirmações adicionais posteriormente neste artigo.

    6. Para Tipo de resposta, selecione id_token de código.

    7. Para Modo de resposta, selecione form_post.

  8. Selecione Confirmar.

    Confirmar a configuração.

  9. Selecione Fechar.

Configurar afirmações adicionais

  1. Ativar afirmações opcionais no Azure AD.

  2. Defina Âmbito para incluir as afirmações adicionais.
    Exemplo: openid email profile

  3. Defina a definição adicional do site Mapeamento de afirmações de registo.
    Exemplo: firstname=given_name,lastname=family_name

  4. Defina a definição adicional do site Mapeamento de afirmações de início de sessão.
    Exemplo: firstname=given_name,lastname=family_name

Por exemplo, o nome próprio, apelido e endereços de e-mail fornecidos com as afirmações adicionais tornam-se nos valores predefinidos na página de perfil no portal.

Exemplo de página de perfil.

Ativar autenticação utilizando uma aplicação do Azure AD multi-inquilino

Poderá configurar o seu portal para aceitar os utilizadores do Azure AD a partir de qualquer inquilino no Azure e não apenas de um inquilino específico utilizando a aplicação multi-inquilino registada no Azure AD. Para ativar multi-inquilinos, atualize o registo de aplicação na aplicação Azure AD.

Para suportar a autenticação em relação ao Azure AD utilizando uma aplicação multi-inquilino, tem de criar ou configurar a definição adicional de site Filtro do Emissor.

O filtro do emissor para multitenancy.

A definição de site é um filtro baseado em carateres universais que corresponde a todos os emissores em todos os inquilinos. Exemplo: https://sts.windows.net/*/

Consulte também

FAQ para a utilização do OpenID Connect em portais

Nota

Pode indicar-nos as suas preferências no que se refere ao idioma da documentação? Responda a um breve inquérito. (tenha em atenção que o inquérito está em inglês)

O inquérito irá demorar cerca de sete minutos. Não são recolhidos dados pessoais (declaração de privacidade).