Perguntas frequentes sobre como usar o OpenID Connect em portais
Observação
Desde o dia 12 de outubro de 2022, os portais do Power Apps passaram a ser Power Pages. Mais Informações: O Microsoft Power Pages já está disponível para todos (blog)
Em breve, migraremos e mesclaremos a documentação dos portais do Power Apps com a documentação do Power Pages.
Este artigo inclui informações sobre cenários comuns de portais da Power Apps e perguntas frequentes sobre como usar um provedor de autenticação em conformidade com a especificação do OpenID Connect.
Preciso de um Documento de Descoberta Automática OpenId Connect para integração com portais?
Sim. O Documento de Descoberta Automática (também conhecido como /.well-known/openid-configuration
) é necessário para integração com portais. As informações presentes neste documento são usadas por portais para criar solicitações de autorização e validar os tokens de autenticação.
Se o seu provedor de identidade não fornecer este documento, você poderá criá-lo manualmente e hospedá-lo em qualquer local público (incluindo seu portal).
Observação
Semelhante ao documento de descoberta, os portais também exigem que o provedor de identidade forneça um ponto de extremidade de JWKS URI em que as chaves públicas estão disponíveis para verificar a assinatura do token de ID. Este ponto de extremidade precisa ser especificado no documento de descoberta como a chave jwks_uri.
Os portais dão suporte aos parâmetros de solicitação acr_values nas solicitações de autenticação?
Não. Os portais não dão suporte aos parâmetros de solicitação acr_values nas solicitações de autorização. No entanto, o recurso de portais oferece suporte a todos os parâmetros de solicitação obrigatórios e recomendados definidos na especificação do OpenID Connect.
Há suporte aos seguintes parâmetros opcionais:
- Response_mode
- Nonce
- UI_Locales
Os portais dão suporte a parâmetros de escopo personalizados em solicitações de autenticação?
Sim. Os parâmetros de escopo personalizados podem ser especificados usando a opção de escopo durante a configuração.
Por que o valor de nome de usuário em contato ou registro de identidade externa no Dataverse mostra um valor diferente em comparação com o que o usuário inseriu na página de login?
O campo de nome de usuário no registro de contato e registro de identidade externa mostrará o valor enviado na subdeclaração ou declaração OID (ID do objeto) (para provedores baseados no Azure AD). Isso ocorre porque a subdeclaração representa o identificador do usuário final e é garantida pelo provedor de identidade como exclusiva. A declaração OID (ID do objeto, em que um identificador único para todos os usuários em um locatário) é compatível quando usada com provedores baseados no Azure AD de um único locatário.
Os portais dão suporte ao logout dos provedores baseados em OpenID Connect?
Sim. O recurso de portais oferece suporte à técnica de logout do canal frontal para fazer logoff do aplicativo e dos provedores baseados em OpenID Connect.
Os portais dão suporte para logoff único?
Não. Os portais não oferecem suporte à técnica de logoff único para provedores baseados em OpenID Connect.
Os portais exigem alguma declaração específica em um token de ID*?
Além de todas as declarações exigidas, o recurso de portais requer uma declaração que representa o endereço de email dos usuários no token de ID. Esta reivindicação deve ser chamada de email
, emails
ou upn
.
Além de todas as declarações exigidas, os portais exigem uma declaração que representa o endereço de email dos usuários no id_token. Esta declaração deve ser nomeada como "email", "emails" ou "upn".
Essas declarações são processadas na seguinte ordem de prioridade para definir como o Endereço de Email Principal do registro do contato no Dataverse:
- emails
- upn
Quando em uso, "emailclaimsmapping" também é usado para pesquisar um contato existente (campo Endereço de Email Principal no Dataverse).
Posso obter acesso a tokens (ID ou acesso) usando o JavaScript?
Não. O token de ID fornecido pelo provedor de identidade não é disponibilizado por meio de técnica padrão no cliente; ele é usado apenas para fins de autenticação. No entanto, se estiver usando o fluxo de Concessão Implícita, você poderá usar os métodos fornecidos pelo provedor de identidade para obter acesso a tokens de ID e acesso.
Por exemplo, o Azure AD fornece Biblioteca de Autenticação da Microsoft para alcançar este cenário em clientes.
Posso usar um provedor OpenID Connect personalizado em vez de usar o Azure AD?
Sim. Os portais dão suporte a qualquer provedor OpenID Connect compatível com o padrão de especificação do OpenID Connect.
Consulte também
Configurar um provedor OpenID Connect para portais
Observação
Você pode nos falar mais sobre suas preferências de idioma para documentação? Faça uma pesquisa rápida. (Observe que esta pesquisa está em inglês)
A pesquisa levará cerca de sete minutos. Nenhum dado pessoal é coletado (política de privacidade).