Configurar un proveedor OpenID Connect con Microsoft Entra ID
Microsoft Entra es uno de los proveedores de identidad OpenID Connect que puede utilizar para autenticar a los visitantes en su sitio de Power Pages. Junto con Microsoft Entra ID, multiinquilino Microsoft Entra ID y Azure AD B2C, puede usar cualquier otro proveedor que cumpla con la especificación Open ID Connect.
Este artículo describe los pasos siguientes:
- Configurar Microsoft Entra en Power Pages
- Crear un registro de aplicación en Azure
- Introduzca la configuración del sitio en Power Pages
- Permitir la autenticación de varios inquilinos Microsoft Entra
Nota
Cambios en la configuración de autenticación de su sitio podría tardar unos minutos para reflejarse en el sitio. Para ver los cambios inmediatamente, reinicie el sitio en el centro de administración.
Configurar en Microsoft Entra en Power Pages
Establezca Microsoft Entra como proveedor de identidad para el sitio.
En el sitio de Power Pages, seleccione Seguridad>Proveedores de identidades.
Si no aparecen proveedores de identidades, asegúrese de que Inicio de sesión externo está establecido en Activado en la configuración general de autenticación de su sitio.
Seleccione + Nuevo proveedor.
En Seleccionar proveedor de inicio de sesión seleccione Otro.
En Protocolo seleccione OpenID Connect.
Introduzca un nombre para el proveedor, por ejemplo, Microsoft Entra ID.
El nombre del proveedor es el texto en el botón que los usuarios ven cuando seleccionan su proveedor de identidad en la página de inicio de sesión.
Seleccione Siguiente.
En URL de respuesta, seleccione Copiar.
No cierre la pestaña Power Pages del navegador. Pronto volverá a ella.
Crear un registro de aplicación en Azure
Cree un registro de aplicación en Azure Portal con la URL de respuesta de su sitio como URI de redireccionamiento.
Inicie sesión en el portal Azure.
Busque y seleccione Azure Active Directory.
En Administrar, seleccione Registros de aplicaciones.
Seleccione Nuevo registro.
Escriba un nombre.
Seleccione uno de los Tipos de cuenta admitidos que mejor refleje los requisitos de su organización.
En URI de redirección, seleccione Web como plataforma y luego ingrese la URL de respuesta de su sitio.
- Si está utilizando la URL predeterminada de su sitio, pegue la URL de respuesta que copió.
- Si está usando un nombre de dominio personalizado, introduzca la URL personalizada. Asegúrese de utilizar la misma URL personalizada para la URL de redireccionamiento en la configuración del proveedor de identidda en su sitio.
Seleccione Registro.
Copie el Id. de aplicación (cliente) .
A la derecha de Credenciales del cliente, seleccione Agregar un certificado o secreto.
Seleccione + Nuevo secreto de cliente.
Escriba una descripción opcional, seleccione una expiración y seleccione Agregar.
En Id. de secreto, seleccione el icono Copiar al portapapeles.
Seleccione Puntos de conetxión en la parte superior de la página.
Busque la URL del documento de metadatos de OpenID Connect y seleccione el icono de copia.
En el panel de la izquierda, en Administrar, seleccione Autenticación.
Bajo Concesión implícita, seleccione Tokens de id. (utilizados para flujos implícitos e híbridos).
Seleccione Guardar.
Introduzca la configuración del sitio en Power Pages
Vuelva a la página Power Pages Configurar proveedor de identidad que dejó anteriormente e ingrese los siguientes valores. Opcionalmente, cambie la configuración adicional según sea necesario. seleccione Confirmar cuando acabe.
Autoridad: ingrese la URL de la autoridad en el siguiente formato:
https://login.microsoftonline.com/<Directory (tenant) ID>/
, donde <Directorio (inquilino) ID> es el directorio ( inquilino) Id. de la aplicación que creó. Por ejemplo, si el Id. de directorio (inquilino) en el portal de Azure es7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb
, la URL de autoridad eshttps://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/
.Id. de cliente: pegue el ID de aplicación o cliente de la aplicación que creó.
Redirigir URL: si su sitio usa un nombre de dominio personalizado, ingrese la URL personalizada; de lo contrario, deje el valor predeterminado. Asegúrese de que el valor sea exactamente el mismo que el URI de redireccionamiento de la aplicación que creó.
Dirección de metadatos: pegue la URL del documento de metadatos de OpenID Connect que copió.
Ámbito: introduzca
openid email
.El valor de
openid
es obligatorio. El valor deemail
es opcional, y especificarlo en el ámbito asegura que la dirección de correo electrónico del usuario esté precargada automáticamente y se muestre en la página de perfil después de que el usuario inicie sesión. Más información sobre otros reclamos que puede agregar.Tipo de respuesta: seleccione
code id_token
.Secreto de cliente: pegue el secreto de cliente de la aplicación que creó. Esta configuración es necesaria si el tipo de respuesta es
code
.Modo de respuesta: Seleccione
form_post
.Cierre de sesión externo: esta configuración controla si su sitio utiliza el cierre de sesión federado. Con el cierre de sesión federado, cuando los usuarios cierran sesión en una aplicación o sitio, también cierran sesión en todas las aplicaciones y sitios que usan el mismo proveedor de identidad. Actívelo para que los usuarios se redirijan a la experiencia de usuario de inicio de sesión federado al cerrar sesión en el sitio web. Desactívelo para cerrar la sesión de los usuarios solo en su sitio web.
URL de redirección después del cierre de sesión: introduzca la URL donde el proveedor de identidades redirigirá a los usuarios tras un cierre de sesión. Esta ubicación también se debe establecer correctamente en la configuración del proveedor de identidades.
Cierre de sesión iniciado por RP: esta configuración controla si la parte de confianza (la aplicación cliente de OpenID Connect) puede cerrar la sesión de los usuarios. Para usar esta configuración, active cierre de sesión externo.
Configuración adicional en Power Pages
La configuración adicional le brinda un control más preciso sobre cómo los usuarios se autentican con su proveedor de identidad Microsoft Entra. No necesita establecer cualquiera de estos valores. Son completamente opcionales.
Filtro de emisor: introduzca un filtro basado en comodines que busca todos los emisores en todos los inquilinos, por ejemplo,
https://sts.windows.net/*/
.Validar audiencia: active esta configuración para validar audiencia durante la validación del token.
Audiencias válidas: introduzca una lista de direcciones URL separadas por comas.
Validar emisores: active esta configuración para validar el emisor durante la validación del token.
Emisores válidos: introduzca una lista de direcciones URL de emisores.
Asignación de reclamos de registro y Asignación de reclamos de inicio de sesión: en la autenticación de usuario, una notificación es información que describe la identidad de un usuario, como una dirección de correo electrónico o fecha de nacimiento. Cuando inicia sesión en una aplicación o un sitio web, se crea un token. Un token contiene información sobre su identidad, incluidos los reclamos asociados con él. Los tokens se utilizan para autenticar su identidad cuando accede a otras partes de la aplicación o sitio u otras aplicaciones y sitios que están conectados al mismo proveedor de identidad. Asignación de notificaciones es una forma de cambiar la información que se incluye en un token. Se puede usar para personalizar la información que está disponible para la aplicación o el sitio y para controlar el acceso a funciones o datos. La asignación de notificaciones de registro modifica las notificaciones que se emiten cuando se registra para una aplicación o un sitio. Asignación de notificaciones de inicio de sesión modifica las notificaciones que se emiten cuando inicia sesión para una aplicación o un sitio. Más información sobre las directivas de asignación de notificaciones.
Tiempo de vida de Nonce: Ingrese el tiempo de vida del valor de Nonce, en minutos. El valor predeterminado es 10 minutos.
Usar duración de token: este ajuste controla si la duración de la sesión de autenticación (por ejemplo, cookies) debe coincidir con la del token de autenticación. Si se activa, este valor anulará el valor de Periodo de vencimiento de la cookie de aplicación en la configuración del sitio Autenticación/Cookie de aplicación/Periodo de vencimiento.
Asignación de contacto con correo electrónico: especifica si los contactos están asignados a un correo electrónico correspondiente cuando inician sesión.
- Activado: el valor se asocia a un registro de contacto único con una dirección de correo electrónico coincidente, y después asigna automáticamente el proveedor de identidades externo al contacto cuando el usuario inicia sesión correctamente.
- Desactivada
Nota
El parámetro de solicitud UI_Locales ahora se envia automáticamente en la solicitud de autenticación y se establece en el idioma seleccionado en el portal.
Preparar notificaciones adicionales
Establezca Ámbito para incluir las notificaciones adicionales, por ejemplo
openid email profile
.Establezca la opción Asignación de notificaciones de registro adicional del sitio, por ejemplo
firstname=given_name,lastname=family_name
.Establezca la opción Asignación de notificaciones de inicio de sesión adicional del sitio, por ejemplo
firstname=given_name,lastname=family_name
.
En estos ejemplos, el nombre de pila, el apellido y las direcciones de correo electrónico proporcionadas con las notificaciones adicionales se convertirán en los valores predeterminados en la página de perfil en el sitio web.
Nota
La asignación de notificaciones es compatible con los tipos de datos Text y Boolean.
Permitir la autenticación de Microsoft Entra de varios inquilinos
Para permitir que los usuarios de Microsoft Entra se autentiquen desde cualquier arrendatario en Azure, no solo desde un arrendatario específico, cambie el Microsoft Entra registro de la aplicación a multiinquilino.
También debe configurar el filtro de emisor en la configuración adicional de su proveedor.