Partilhar via

Configurar um fornecedor OpenID Connect

  • Artigo

Os fornecedores de identidades OpenID Connect são serviços que estão em conformidade com a especificação OpenID Connect. OpenID Connect introduz o conceito de um token de ID. Um token de ID é um token de segurança que permite a um cliente verificar a identidade de um utilizador. Também obtém informações básicas do perfil sobre o utilizador, conhecido como afirmações.

Os fornecedores OpenID Connect Azure AD B2C, Microsoft Entra ID e Microsoft Entra ID com vários inquilinos estão integrados no Power Pages. Este artigo explica como adicionar outros fornecedores de identidade OpenID Connect ao seu site do Power Pages.

Fluxos de autenticação suportados e não suportados no Power Pages

  • Concessão implícita
    • Este fluxo é o método de autenticação predefinido para sites do Power Pages.
  • Código de autorização
    • O Power Pages utiliza o método client_secret_post para comunicar com o ponto final do token de identidade.
    • O método private_key_jwt para autenticar com o ponto final do token não é suportado.
  • Híbrido (suporte restrito)
    • O Power Pages exige que id_token esteja presente na resposta, pelo que response_type = token de código não é suportado.
    • O fluxo híbrido no Power Pages segue o mesmo fluxo que a concessão implícita e utiliza id_token para os utilizadores iniciarem sessão diretamente.
  • Chave de Prova para Troca de Código (PKCE)
    • As técnicas baseadas em PKCE para autenticar utilizadores não são suportadas.

Nota

As alterações às definições de autenticação do site podem demorar alguns minutos a refletir-se no site. Para ver as alterações de imediato, reinicie o site no centro de administração.

Configurar o fornecedor OpenID Connect no Power Pages

  1. No site do Power Pages, selecione Configurar>Fornecedores de identidade.

    Se não aparecerem fornecedores de identidade, certifique-se de que o Início de sessão externo está definido como Ligado nas definições de autenticação gerais do site.

  2. Selecione + Novo fornecedor.

  3. Sob Selecionar fornecedor de início de sessão, selecione Outro.

  4. Sob Protocolo, selecione OpenID Connect.

  5. Introduzir um nome para o fornecedor.

    O nome do fornecedor é o texto no botão que os utilizadores vêem quando selecionam o seu fornecedor de identidade na página de início de sessão.

  6. Selecione Seguinte.

  7. Em URL da Resposta, selecione Copiar.

    Não feche o separador do browser do Power Pages. Irá regressar ao mesmo em breve.

Criar um registo de aplicação no fornecedor de identidade

  1. Criar e registar uma aplicação junto do fornecedor de identidade utilizando o URL de resposta que copiou.

  2. Copie o ID da aplicação ou o ID de cliente e o segredo do cliente.

  3. Encontre os pontos finais da aplicação e copie o URL do Documento de metadados do OpenID Connect.

  4. Altere outras definições conforme necessário para o fornecedor de identidade.

Introduzir as definições do site no Power Pages

Regresse à página Configurar fornecedor de identidade do Power Pages que deixou anteriormente e introduza os seguintes valores. Opcionalmente, altere as definições adicionais, conforme necessário. Selecione Confirmar quando terminar.

  • Autoridade: introduza o URL da autoridade no seguinte formato: https://login.microsoftonline.com/<Directory (tenant) ID>/, em que o <ID do Diretório (inquilino)> é o ID do diretório (inquilino) da aplicação que criou. Por exemplo, se o ID do diretório (inquilino) no portal do Azure for 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, o URL de autoridade é https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • ID de Cliente​: cole a ID da aplicação ou cliente da aplicação que criou.

  • URL de Redirecionamento: se o site utilizar um nome de domínio personalizado, introduza o URL personalizado; caso contrário, deixe o valor predefinido. Certifique-se de que o valor é exatamente o mesmo que o URI de redirecionamento da aplicação que criou.

  • Endereço de metadados: cole o URL do documento de metadados do OpenID Connect que copiou.

  • Âmbito: introduza uma lista separada por espaços de âmbitos a pedir através do parâmetro scope do OpenID Connect. O valor predefinido é openid.

    O valor openid é obrigatório. Mais informações sobre outras afirmações que pode adicionar.

  • Tipo de resposta: introduza o valor do parâmetro response_type do OpenID Connect. Valores possíveis incluem: code, code id_token, id_token, id_token token e code id_token token. O valor predefinido é code id_token.

  • Segredo do cliente: cole o segredo do cliente da aplicação de fornecedor. Também poderá ser referido como um segredo da aplicação ou segredo do consumidor. Esta definição é obrigatória se o tipo de resposta for code.

  • Modo de resposta: introduza o valor do parâmetro response_mode do OpenID Connect. Deve ser query se o tipo de resposta for code. O valor predefinido é form_post.

  • Fim de sessão externo: esta definição controla se o site utiliza um fim de sessão federado. Com o fim de sessão federado, quando os utilizadores terminam sessão de a uma aplicação ou site, também estão a terminar sessão de todas as aplicações e sites que utilizam o mesmo fornecedor de identidade. Ative-o para redirecionar os utilizadores para a experiência de fim de sessão federado quando terminar sessão no site. Desative-o para terminar a sessão dos utilizadores só no site.

  • Publicar URL de redirecionamento de fim de sessão: introduza o URL para onde o fornecedor de identidade deve redirecionar os utilizadores depois de terminarem a sessão. Esta localização deve ser definida adequadamente na configuração do fornecedor de identidade.

  • Fim de sessão iniciado pelo RP: esta definição controla se a entidade confiadora, a aplicação de cliente do OpenID Connect, pode terminar a sessão dos utilizadores. Para utilizar esta definição, ative Fim de sessão externo.

Definições adicionais no Power Pages

As definições adicionais dão-lhe um controlo mais refinado sobre a forma como os utilizadores se autenticam com o seu fornecedor de identidade do OpenID Connect. Não é necessário definir nenhum destes valores. São totalmente opcionais.

  • Filtro de emissor: introduza um filtro baseado em carateres universais que corresponde a todos os emissores em todos os inquilinos; por exemplo, https://sts.windows.net/*/. Se estiver a utilizar um fornecedor de autenticação do Microsoft Entra ID, o filtro de URL do emissor será https://login.microsoftonline.com/*/v2.0/.

  • Validar audiência: ative esta definição para validar a audiência durante a validação do token.

  • Audiências válidas: introduza uma lista separada por vírgulas de URLs de audiência.

  • Validar emissores: ative esta definição para validar o emissor durante a validação do token.

  • Emissores válidos: introduza uma lista separada por vírgulas de URLs de emissor.

  • Mapeamento de afirmações de registo e Mapeamento de afirmações de início de sessão: na autenticação do utilizador, uma afirmação é a informação que descreve a identidade de um utilizador, como um endereço de e-mail ou data de nascimento. Quando uma pessoa inicia sessão numa aplicação ou num site, é criado um token. Um token contém informações sobre a sua identidade, incluindo quaisquer afirmações associadas à mesma. Os tokens são utilizados para autenticar a sua identidade quando acede a outras partes da aplicação ou do site ou de outras aplicações e sites que estão ligados ao mesmo fornecedor de identidade. O mapeamento de afirmações é uma forma de alterar as informações incluídas num token. Pode ser utilizado para personalizar as informações disponíveis para a aplicação ou site e para controlar o acesso a funcionalidades ou dados. O mapeamento de afirmações de registo modifica as afirmações que são emitidas quando se regista numa aplicação ou num site. O mapeamento de afirmações de início de sessão modifica as afirmações que são emitidas quando inicia sessão numa aplicação ou num site. Saber mais sobre políticas de mapeamento de afirmações.

  • Duração do nonce: introduza a duração do valor nonce, em minutos. O valor predefinido é 10 minutos.

  • Utilizar duração do token: esta definição controla se a duração da sessão de autenticação, como cookies, deve corresponder à do token de autenticação. Se o ativar, este valor anula o valor do Tempo de Duração de Expiração do Cookie de Aplicação na definição do site Authentication/ApplicationCookie/ExpireTimeSpan.

  • Mapeamento de contactos com e-mail: esta definição determina se os contactos são mapeados para um endereço de e-mail correspondente quanto iniciam sessão.

    • Ligado: associa um registo de contacto único a um endereço de e-mail correspondente e atribui automaticamente o fornecedor de identidade externo ao contacto após o início de sessão com sucesso pelo utilizador.
    • Desativado

Nota

O parâmetro do pedido UI_Locales é enviado automaticamente no pedido de autenticação e é definido para o idioma selecionado no portal.

Consulte também

Configurar um fornecedor OpenID Connect com o Azure Active Directory (Azure AD) B2C
Configurar um fornecedor OpenID Connect com o Microsoft Entra ID
FAQ sobre o OpenID Connect