Habilitar a autenticação e a autorização nos Aplicativos de Contêiner do Azure com um provedor OpenID Connect personalizado

Este artigo mostra como configurar os Aplicativos de Contêiner do Azure para usar um provedor de autenticação personalizado que adere à especificação do OpenID Connect. OpenID Connect (OIDC) é um padrão da indústria amplamente adotado por muitos provedores de identidade (IDPs). Não é necessário entender os detalhes da especificação para configurar o aplicativo para usar um IDP aderente.

Você pode configurar o aplicativo para usar um ou mais provedores de OIDC. Cada um deve receber um nome alfanumérico exclusivo na configuração e apenas um pode servir como o destino de redirecionamento padrão.

Registrar o aplicativo no provedor de identidade

Seu provedor exige que você registre os detalhes da sua aplicação com ele. Uma dessas etapas envolve a especificação de um URI de redirecionamento. Esse URI de redirecionamento tem o formato <app-url>/.auth/login/<provider-name>/callback. Cada provedor de identidade deve fornecer mais instruções sobre como concluir essas etapas.

Observação

Alguns provedores podem exigir etapas adicionais para a configuração e para o uso dos valores que eles informam. Por exemplo, a Apple informa uma chave privada que não é usada por si só como o segredo do cliente de OIDC. Em vez disso, você deve usá-la para criar um JWT, que é tratado como o segredo que você informa na configuração do seu aplicativo (confira a seção "Creating the Client Secret" da documentação Sign in with Apple)

Você precisa coletar um ID do cliente e um segredo do cliente para seu aplicativo.

Importante

O segredo do cliente é uma credencial de segurança crítica. Não compartilhe essa senha com ninguém nem distribua-a em um aplicativo cliente.

Além disso, você precisa dos metadados do OpenID Connect para o provedor. Essas informações são frequentemente expostas por meio de um documento de metadados de configuração, que é o URL do emissor do provedor com o sufixo /.well-known/openid-configuration. Certifique-se de coletar essa URL de configuração.

Se você não puder usar um documento de metadados de configuração, precisará reunir os seguintes valores separadamente:

• O URL do emissor (às vezes, exibido como issuer)
• O ponto de extremidade da autorização do OAuth 2.0 (às vezes, exibido como authorization_endpoint)
• O ponto de extremidade de token do OAuth 2.0 (às vezes, exibido como token_endpoint)
• O URL do documento do Conjunto de Chaves Web JSON do OAuth 2.0 (às vezes, exibido como jwks_uri)

Adicione informações do provedor ao seu aplicativo

1. Entre no portal do Azure e navegue até o seu aplicativo.

2. Selecione Autenticação no menu à esquerda. Selecione Adicionar provedor de identidade.

3. Selecione OpenID Connect no menu suspenso Provedores de Identidade.

4. Forneça o nome alfanumérico exclusivo selecionado anteriormente para o nome do provedor OpenID.

5. Se você tem a URL do documento de metadados a partir do provedor de identidade, forneça esse valor para URL de metadados. Caso contrário, selecione a opção Fornecer pontos de extremidade separadamente e coloque cada URL coletada do provedor de identidade no campo apropriado.

6. Forneça o ID do cliente coletado anteriormente e Segredo do cliente nos campos apropriados.

7. Especifique um nome de configuração de aplicativo para o segredo do cliente. O segredo do seu cliente é armazenado como um segredo no seu aplicativo de contêiner.

8. Pressione o botão Adicionar para terminar de configurar o provedor de identidade.

Trabalhar com usuários autenticados

Use os guias a seguir para obter mais detalhes sobre como trabalhar com usuários autenticados.

• Personalizar entrada e saída
• Acessar as declarações do usuário no código do aplicativo

Próximas etapas

Visão geral de autenticação e autorização