Configurar un proveedor OpenID Connect con Azure AD B2C
Azure Active Directory (Azure AD) B2C es uno de los proveedores de identidad OpenID Connect que puede utilizar para autenticar a los visitantes en su sitio de Power Pages. Puede utilizar cualquier otro proveedor de identidda que cumpla las especificaciones de OpenID Connect.
Este artículo describe los pasos siguientes:
- Configurar Azure AD B2C en Power Pages
- Crear un registro de aplicación
- Crear flujos de usuario
- Ingrese la configuración del sitio y la contraseña en Power Pages
Nota
Cambios en la configuración de autenticación de su sitio podría tardar unos minutos para reflejarse en el sitio. Para ver los cambios inmediatamente, reinicie el sitio en el centro de administración.
Configurar Azure AD B2C en Power Pages
Establezca Azure AD B2C como proveedor de identidad para el sitio.
En el sitio de Power Pages, seleccione Seguridad>Proveedores de identidades.
Si no aparecen proveedores de identidades, asegúrese de que Inicio de sesión externo está establecido en Activado en la configuración general de autenticación de su sitio.
A la derecha de Azure Active Directory B2C, seleccione Más comandos (…) >Configurar o seleccione el nombre del proveedor.
Deje el nombre del proveedor como está o cámbielo si lo desea.
El nombre del proveedor es el texto en el botón que los usuarios ven cuando seleccionan su proveedor de identidad en la página de inicio de sesión.
Seleccione Siguiente.
En URL de respuesta, seleccione Copiar.
Seleccione Abrir Azure.
No cierre la pestaña Power Pages del navegador. Pronto volverá a ella.
Crear un registro de aplicación
Cree un inquilino para Azure AD B2C y registre una aplicación con la URL de respuesta de su sitio como URI de redireccionamiento.
Busque y seleccione Azure AD B2C.
En Administrar, seleccione Registros de aplicaciones.
Seleccione Nuevo registro.
Escriba un nombre.
Seleccione uno de los Tipos de cuenta admitidos que mejor refleje los requisitos de su organización.
En URI de redirección, seleccione Web como plataforma y luego ingrese la URL de respuesta de su sitio.
- Si está utilizando la URL predeterminada de su sitio, pegue la URL de respuesta que copió.
- Si está usando un nombre de dominio personalizado, introduzca la URL personalizada. Asegúrese de utilizar la misma URL personalizada para la URL de redireccionamiento en la configuración del proveedor de identidda en su sitio.
Seleccione Registro.
Copie el Id. de aplicación (cliente) .
En el panel de la izquierda, en Administrar, seleccione Autenticación.
Bajo Concesión implícita, seleccione Tokens de acceso (utilizados para flujos implícitos).
Seleccione Guardar.
Configurar la compatibilidad de tokens usando una URL de Reclamación del emisor (iss) que incluye tfp. Obtenga más información sobre la compatibilidad de tokens.
Crear flujos de usuario
Crear un flujo de inicio de sesión y de usuarios de inicio de sesión.
(Opcional) Cree un flujo de usuario de restablecimiento de contraseña.
Obtenga la URL del emisor de los flujos de usuario
Abra el flujo de usuario de inicio de sesión y de usuario de inicio de sesión que creó anteriormente.
Vaya al inquilino de Azure AD B2C en el Azure Portal.
Seleccione Ejecutar flujo de usuario.
Abra la URL de configuración de OpenID Connect para en una nueva pestaña del navegador.
La URL hace referencia a Documento de configuración del proveedor de identidades de OpenID Connect, también conocido como Extremo de configuración de well-known de OpenID.
Copie la dirección URL del Emisor en la barra de direcciones. No incluya las comillas. Asegúrese de que la URL de Notificación del emisor (iss) incluya tfp.
Abra el flujo de usuario de restablecimiento de contraseña, si creó uno, y repita los pasos 2 a 5.
Ingrese la configuración del sitio y de restablecimiento de contraseña en Power Pages
Vuelva a la página de Power Pages Configurar proveedor de identidad que dejó anteriormente.
En Configurar la configuración del sitio, ingrese los siguientes valores:
Autoridad: pegue la URL del emisor que copió.
Id. de cliente: pegue el ID de aplicación (cliente) de la aplicación Azure AD B2C que creó.
Redirigir URI: si su sitio usa un nombre de dominio personalizado, ingrese la URL personalizada; de lo contrario, deje el valor predeterminado, que debe ser la URL de respuesta de su sitio.
En Configuración de restablecimiento de contraseña, introduzca los siguientes valores:
Id. de directiva predeterminada: ingrese el nombre del flujo de inicio de sesión y de usuario de inicio de sesión que creó. El nombre tiene el prefijo B2C_1.
Id. de directiva de restablecimiento de contraseña: si creó un flujo de usuario de restablecimiento de contraseña, introduzca su nombre. El nombre tiene el prefijo B2C_1.
Emisores válidos: lista delimitada por comas de URL de emisores para el flujo de inicio de sesión y de usuario de inicio de sesión y el flujo de restablecimiento de contraseña de usuario que creó.
(Opcional) Expanda Configuración adicional y cambie la configuración según sea necesario.
Seleccione Confirmar.
Configuración adicional en Power Pages
La configuración adicional le brinda un control más preciso sobre cómo los usuarios se autentican con el proveedor de identidad Azure AD B2C. No necesita establecer cualquiera de estos valores. Son completamente opcionales.
Asignación de reclamos de registro y Asignación de reclamos de inicio de sesión: en la autenticación de usuario, una notificación es información que describe la identidad de un usuario, como una dirección de correo electrónico o fecha de nacimiento. Cuando inicia sesión en una aplicación o un sitio web, se crea un token. Un token contiene información sobre su identidad, incluidos los reclamos asociados con él. Los tokens se utilizan para autenticar su identidad cuando accede a otras partes de la aplicación o sitio u otras aplicaciones y sitios que están conectados al mismo proveedor de identidad. Asignación de notificaciones es una forma de cambiar la información que se incluye en un token. Se puede usar para personalizar la información que está disponible para la aplicación o el sitio y para controlar el acceso a funciones o datos. La asignación de notificaciones de registro modifica las notificaciones que se emiten cuando se registra para una aplicación o un sitio. Asignación de notificaciones de inicio de sesión modifica las notificaciones que se emiten cuando inicia sesión para una aplicación o un sitio. Más información sobre las directivas de asignación de notificaciones.
No es necesario que introduzca valores para esta configuración si utiliza los atributos correo electrónico, nombre de pila o apellido. Para otros atributos, ingrese una lista de pares lógicos de nombre/valor. Introdúzcalos en el formato
field_logical_name=jwt_attribute_name
, dondefield_logical_name
es el nombre lógico del campo en Power Pages yjwt_attribute_name
es el atributo con el valor devuelto por el proveedor de identidades. Estos pares se utilizan para asignar valores de reclamación (creados durante el registro o inicio de sesión y devueltos desde Azure AD B2C) a atributos en el registro de contacto.Por ejemplo, usa Puesto (jobTitle) y Código postal (postalCode) como Atributos de usuario en su flujo de usuario. Desea actualizar los campos
Contact
de tabla correspondientes Puesto (jobtitle) y Dirección 1: ZIP / Código postal ( address1_postalcode). En este caso, ingrese la asignación de notificaciones comojobtitle=jobTitle,address1_postalcode=postalCode
.
Cierre de sesión externo: esta configuración controla si su sitio utiliza el cierre de sesión federado. Con el cierre de sesión federado, cuando los usuarios cierran sesión en una aplicación o sitio, también cierran sesión en todas las aplicaciones y sitios que usan el mismo proveedor de identidad. Por ejemplo, si inicia sesión en un sitio con su cuenta Microsoft y luego cierra sesión en su cuenta de Microsoft, el cierre de sesión federado se asegura de que usted también cierre la sesión del sitio.
- Activado: para que los usuarios se redirijan a la experiencia de usuario de inicio de sesión federado al cerrar sesión en el sitio web.
- Desactivado: cierra la sesión de los usuarios solo en su sitio web.
Asignación de contacto con correo electrónico: especifica si los contactos están asignados a un correo electrónico correspondiente cuando inician sesión.
- Activado: el valor se asocia a un registro de contacto único con una dirección de correo electrónico coincidente, y después asigna automáticamente el proveedor de identidades externo al contacto cuando el usuario inicia sesión correctamente.
- Desactivado: el registro de contacto no coincide con un proveedor de identidad. Este es la opción predeterminada para esta configuración.
Registro habilitado: Esta configuración controla si los usuarios pueden registrarse en su sitio.
- Activado: muestra una página de registro donde los usuarios pueden crear una cuenta en su sitio.
- Desactivado: se deshabilita y oculta la página de registro de cuenta externo.
Consulte también
Configurar la autenticación del sitio
Migrar proveedores de identidades a Azure AD B2C