Partilhar via

Configurar um fornecedor OpenID Connect com o Microsoft Entra ID

  • Artigo

O Microsoft Entra é um dos fornecedores de identidade OpenID Connect que pode utilizar para autenticar os visitantes ao seu site do Power Pages. Juntamente com Microsoft Entra ID, o Microsoft Entra ID multi-inquilino e o Azure AD B2C, pode utilizar qualquer outro fornecedor que cumpra a Especificação do OpenID Connect.

Este artigo descreve os passos seguintes:

Nota

As alterações às definições de autenticação do site podem demorar alguns minutos a refletir-se no site. Para ver as alterações de imediato, reinicie o site no centro de administração.

Configurar o Microsoft Entra no Power Pages

Defina o Microsoft Entra como fornecedor de identidade para o seu site.

  1. No site do Power Pages, selecione Configurar>Fornecedores de identidade.

    Se não aparecerem fornecedores de identidade, certifique-se de que o Início de sessão externo está definido como Ligado nas definições de autenticação gerais do site.

  2. Selecione + Novo fornecedor.

  3. Sob Selecionar fornecedor de início de sessão, selecione Outro.

  4. Sob Protocolo, selecione OpenID Connect.

  5. Introduza um nome para o fornecedor, por exemplo Microsoft Entra ID.

    O nome do fornecedor é o texto no botão que os utilizadores vêem quando selecionam o seu fornecedor de identidade na página de início de sessão.

  6. Selecione Seguinte.

  7. Em URL da Resposta, selecione Copiar.

    Não feche o separador do browser do Power Pages. Irá regressar ao mesmo em breve.

Criar um registo de aplicação no Azure

Crie um registo de aplicação no portal do Azure com o URL de resposta do seu site como URI de redirecionamento.

  1. Inicie sessão no portal do Azure.

  2. Procure e selecione Azure Active Directory.

  3. Em Gerir, selecione Registos das aplicações.

  4. Selecione Novo registo.

  5. Introduza um nome.

  6. Selecione um dos Tipos de conta suportados que melhor se adeque aos requisitos da sua organização.

  7. Em Redirecionar URL, selecione Web como plataforma e, em seguida, introduza o URL da resposta do site.

    • Se estiver a utilizar o URL predefinido do site, cole o URL de resposta que copiou.
    • Se estiver a usar um nome de domínio personalizado, introduza o URL personalizado. Certifique-se de que utiliza o mesmo URL personalizado para o URL de redirecionamento nas definições do fornecedor de identidade no seu site.

  8. Selecione Registar.

  9. Copie o ID da Aplicação (cliente).

  10. À direita de Credenciais do cliente, selecione Adicionar um certificado ou segredo.

  11. Selecione + Novo segredo do cliente.

  12. Introduza uma descrição opcional, selecione uma data de expiração e, em seguida, selecione Adicionar.

  13. Em ID de Segredo, selecione o ícone Copiar para a área de transferência.

  14. Selecione Pontos finais no topo da página.

  15. Encontre o URL do Documento de metadados do OpenID Connect e selecione o ícone de cópia.

  16. No painel do lado esquerdo, em Gerir, selecione Autenticação.

  17. Em Concessão implícita, selecione Tokens de ID (utilizados para fluxos implícitos e híbridos).

  18. Selecione Guardar.

Introduzir as definições do site no Power Pages

Regresse à página Configurar fornecedor de identidade do Power Pages que deixou anteriormente e introduza os seguintes valores. Opcionalmente, altere as definições adicionais, conforme necessário. Selecione Confirmar quando terminar.

  • Autoridade: introduza o URL da autoridade no seguinte formato: https://login.microsoftonline.com/<Directory (tenant) ID>/, em que o <ID do Diretório (inquilino)> é o ID do diretório (inquilino) da aplicação que criou. Por exemplo, se o ID do diretório (inquilino) no portal do Azure for 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, o URL de autoridade é https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • ID de Cliente​: cole a ID da aplicação ou cliente da aplicação que criou.

  • URL de Redirecionamento: se o site utilizar um nome de domínio personalizado, introduza o URL personalizado; caso contrário, deixe o valor predefinido. Certifique-se de que o valor é exatamente o mesmo que o URI de redirecionamento da aplicação que criou.

  • Endereço de metadados: cole o URL do documento de metadados do OpenID Connect que copiou.

  • Âmbito: introduza openid email.

    O valor openid é obrigatório. O valor email é opcional; garante que o endereço de e-mail do utilizador é pré-preenchido e mostrado automaticamente na página do perfil depois de o utilizador iniciar sessão. Mais informações sobre outras afirmações que pode adicionar.

  • Tipo de resposta: selecione code id_token.

  • Segredo do cliente: cole o segredo do cliente da aplicação que criou. Esta definição é obrigatória se o tipo de resposta for code.

  • Modo de resposta: selecione form_post.

  • Fim de sessão externo: esta definição controla se o site utiliza um fim de sessão federado. Com o fim de sessão federado, quando os utilizadores terminam sessão de a uma aplicação ou site, também estão a terminar sessão de todas as aplicações e sites que utilizam o mesmo fornecedor de identidade. Ative-o para redirecionar os utilizadores para a experiência de fim de sessão federado quando terminar sessão no site. Desative-o para terminar a sessão dos utilizadores só no site.

  • Publicar URL de redirecionamento de fim de sessão: introduza o URL para onde o fornecedor de identidade deve redirecionar os utilizadores depois de terminarem a sessão. Esta localização deve ser definida adequadamente na configuração do fornecedor de identidade.

  • Fim de sessão iniciado pelo RP: esta definição controla se a entidade confiadora, a aplicação de cliente do OpenID Connect, pode terminar a sessão dos utilizadores. Para utilizar esta definição, ative Fim de sessão externo.

Definições adicionais no Power Pages

As definições adicionais dão-lhe um controlo mais refinado sobre a forma como os utilizadores se autenticam com o seu fornecedor de identidade do Microsoft Entra. Não é necessário definir nenhum destes valores. São totalmente opcionais.

  • Filtro de emissor: introduza um filtro baseado em carateres universais que corresponde a todos os emissores em todos os inquilinos; por exemplo, https://sts.windows.net/*/.

  • Validar audiência: ative esta definição para validar a audiência durante a validação do token.

  • Audiências válidas: introduza uma lista separada por vírgulas de URLs de audiência.

  • Validar emissores: ative esta definição para validar o emissor durante a validação do token.

  • Emissores válidos: introduza uma lista separada por vírgulas de URLs de emissor.

  • Mapeamento de afirmações de registo e Mapeamento de afirmações de início de sessão: na autenticação do utilizador, uma afirmação é a informação que descreve a identidade de um utilizador, como um endereço de e-mail ou data de nascimento. Quando uma pessoa inicia sessão numa aplicação ou num site, é criado um token. Um token contém informações sobre a sua identidade, incluindo quaisquer afirmações associadas à mesma. Os tokens são utilizados para autenticar a sua identidade quando acede a outras partes da aplicação ou do site ou de outras aplicações e sites que estão ligados ao mesmo fornecedor de identidade. O mapeamento de afirmações é uma forma de alterar as informações incluídas num token. Pode ser utilizado para personalizar as informações disponíveis para a aplicação ou site e para controlar o acesso a funcionalidades ou dados. O mapeamento de afirmações de registo modifica as afirmações que são emitidas quando se regista numa aplicação ou num site. O mapeamento de afirmações de início de sessão modifica as afirmações que são emitidas quando inicia sessão numa aplicação ou num site. Saber mais sobre políticas de mapeamento de afirmações.

  • Duração do nonce: introduza a duração do valor nonce, em minutos. O valor predefinido é 10 minutos.

  • Utilizar duração do token: esta definição controla se a duração da sessão de autenticação, como cookies, deve corresponder à do token de autenticação. Se o ativar, este valor anula o valor do Tempo de Duração de Expiração do Cookie de Aplicação na definição do site Authentication/ApplicationCookie/ExpireTimeSpan.

  • Mapeamento de contactos com e-mail: esta definição determina se os contactos são mapeados para um endereço de e-mail correspondente quanto iniciam sessão.

    • Ligado: associa um registo de contacto único a um endereço de e-mail correspondente e atribui automaticamente o fornecedor de identidade externo ao contacto após o início de sessão com sucesso pelo utilizador.
    • Desativado

Nota

O parâmetro do pedido UI_Locales é enviado automaticamente no pedido de autenticação e é definido para o idioma selecionado no portal.

Configurar afirmações adicionais

  1. Ative reclamações opcionais no Microsoft Entra ID.

  2. Defina Âmbito para incluir as afirmações adicionais; por exemplo, openid email profile.

  3. Defina a definição adicional do site Mapeamento de afirmações de registo; por exemplo, firstname=given_name,lastname=family_name.

  4. Defina a definição adicional do site Mapeamento de afirmações de início de sessão; por exemplo, firstname=given_name,lastname=family_name.

Nestes exemplos, o nome próprio, apelido e endereços de e-mail fornecidos com as afirmações adicionais tornam-se nos valores predefinidos na página de perfil no site.

Nota

O mapeamento de afirmações é suportado para tipos de dados de texto e booleano.

Permitir autenticação do Microsoft Entra multi-inquilino

Para permitir que os utilizadores do Microsoft Entra de qualquer inquilino no Azure, e não apenas de um inquilino específico, altere o registo de aplicações do Microsoft Entra para multi-inquilino.

Também tem de definir o Filtro de emissor nas definições adicionais do seu fornecedor.

Consulte também

FAQ sobre o OpenID Connect