Partilhar via


Configurar a autenticação OIDC no SharePoint Server com Microsoft Entra ID

APLICA-SE A:no-img-132013 no-img-162016 no-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint no Microsoft 365

Pré-requisitos

Quando configura o OpenID Connect (OIDC) com Microsoft Entra ID, precisa dos seguintes recursos:

  1. Um farm de Edição de Assinatura do SharePoint Server (SPSE)

  2. Microsoft Entra função de Administrador Global do inquilino do M365

Este artigo utiliza os seguintes valores de exemplo para Microsoft Entra configuração do OIDC:

Valor Link
UrL (Uniform Resource Locator) do site SharePoint https://spsites.contoso.local/
OIDC site URL https://sts.windows.net/<tenantid>/
Microsoft Entra ponto final de autenticação OIDC https://login.microsoftonline.com/<tenantid>/oauth2/authorize
URL do OIDC RegisteredIssuerName do Microsoft Entra https://sts.windows.net/<tenantid>/
Microsoft Entra OIDC SignoutURL https://login.microsoftonline.com/<tenantid>/oauth2/logout
Tipo de afirmação de identidade http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Administrador da coleção de sites do Windows contoso\yvand
Email valor do administrador da coleção de sites federado yvand@contoso.local

Importante

A Microsoft recomenda que você use funções com o menor número de permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Passo 1: Configurar o fornecedor de identidade

Execute os seguintes passos para configurar o OIDC com Microsoft Entra ID:

  1. Navegue para o portal de administração do Entra ID e inicie sessão com uma conta com a função Administrador Global.

  2. Em Aplicações, selecione Registos de Aplicações.

  3. Selecione Novo registro.

  4. Aceda à página https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredAppsRegistar uma aplicação .

  5. Na secção URI de Redirecionamento , selecione "Web" como Plataforma e introduza o URL da aplicação Web do SharePoint Server, por exemplo: https://spsites.contoso.local/ e selecione Registar.

    Registar uma aplicação

  6. Guarde o valor do ID do Diretório (inquilino), uma vez que o ID do inquilino é utilizado nos passos subsequentes. Guarde também o ID da Aplicação (cliente ), que utilizamos como DefaultClientIdentifier na configuração do SharePoint.

    Guardar Aplicação

  7. Depois de registar a aplicação, aceda ao separador Autenticação, selecione a caixa de marcar tokens de ID e selecione Guardar.

    Ativar Tokens de ID

  8. Aceda ao separador Permissões da API e selecione Adicionar uma Permissão. Selecione Microsoft Graph e, em seguida, Permissões delegadas. Selecione adicionar permissões de e-mail e perfil e selecione Adicionar permissões.

    Permissões de API

  9. Aceda ao separador Configuração do token e selecione Adicionar afirmação opcional. Para cada tipo de token (ID, Access, SAML), adicione e-mail e afirmações upn .

  10. Também no separador Configuração do token , selecione Adicionar afirmação de grupos. A Grupos de segurança é a mais comum, mas os tipos de grupo que selecionar dependem dos tipos de grupos que pretende utilizar para conceder acesso à aplicação Web do SharePoint. Para obter mais informações, veja Configurar afirmações opcionais de grupos e Configurar afirmações de grupo para aplicações com Microsoft Entra ID.

    Configuração do Token

  11. Aceda ao separador Manifesto e, em "Manifesto da Aplicação do Microsoft Graph", altere o valor de redirectUris de https://spsites.contoso.local/ para https://spsites.contoso.local/*. Em seguida, selecione Salvar. Faça o mesmo para o valor "uri" listado em redirectUriSettings e selecione Guardar novamente.

    Captura de ecrã que mostra como Editar o Manifesto

Passo 2: Alterar as propriedades do farm do SharePoint

Neste passo, tem de modificar as propriedades do farm do SharePoint Server com base na versão do farm do SharePoint Server.

Configurar Edição de Assinatura do SharePoint Server Versão 24H1 ou versões superiores com a preferência de funcionalidade lançamento antecipado

A partir do Edição de Assinatura do SharePoint Server Versão 24H1 (março de 2024), se o farm do SharePoint estiver configurado para a preferência de funcionalidade lançamento antecipado, pode configurar as propriedades do farm do SharePoint Server ao utilizar a Gestão de Certificados do SharePoint para gerir o certificado de cookie nonce. O certificado de cookie nonce faz parte da infraestrutura para garantir que os tokens de autenticação OIDC são seguros. Execute o seguinte script do PowerShell para configurar:

Importante

Para utilizar este script, o farm do SharePoint tem de estar definido como Lançamento Antecipado, conforme indicado acima. Se não estiver, o script será concluído sem erros, mas a chamada para $farm. UpdateNonceCertificate() não fará nada. Se não quiser configurar o farm para a Versão Antecipada, tem de utilizar o SPSE configurado antes dos passos da Versão 24H1 .

Observação

Inicie a Shell de Gestão do SharePoint como administrador do farm para executar o seguinte script. Leia cuidadosamente as instruções mencionadas no seguinte script do PowerShell. Terá de introduzir os seus próprios valores específicos do ambiente em determinados locais.

# Set up farm properties to work with OIDC

# Create the Nonce certificate
$cert = New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Provider 'Microsoft Enhanced RSA and AES Cryptographic Provider' -Subject "CN=SharePoint Cookie Cert"

# Import certificate to Certificate Management
$certPath = "<path and file name to save the exported cert.  ex: c:\certs\nonce.pfx>"
$certPassword = ConvertTo-SecureString -String "<password>" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath $certPath -Password $certPassword
$nonceCert = Import-SPCertificate -Path $certPath -Password $certPassword -Store "EndEntity" -Exportable:$true

# Update farm property
$farm = Get-SPFarm 
$farm.UpdateNonceCertificate($nonceCert,$true)

Configurar Edição de Assinatura do SharePoint Server anterior à Versão 24H1

Antes da atualização 24H1 (março de 2024), o certificado de cookie nonce tem de ser gerido manualmente. Isto inclui a instalação manual em cada servidor no farm e a definição de permissões na chave privada. O seguinte script do PowerShell pode ser utilizado para o conseguir.

Observação

Inicie a Shell de Gestão do SharePoint como administrador do farm para executar o seguinte script. Leia cuidadosamente as instruções mencionadas no seguinte script do PowerShell. Terá de introduzir os seus próprios valores específicos do ambiente em determinados locais.

# Set up farm properties to work with OIDC
$cert = New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Provider 'Microsoft Enhanced RSA and AES Cryptographic Provider' -Subject "CN=SharePoint Cookie Cert"
$rsaCert = [System.Security.Cryptography.X509Certificates.RSACertificateExtensions]::GetRSAPrivateKey($cert)
$fileName = $rsaCert.key.UniqueName

# If you have multiple SharePoint servers in the farm, you need to export the certificate by Export-PfxCertificate and import the certificate to all other SharePoint servers in the farm by Import-PfxCertificate. 

# After the certificate is successfully imported to SharePoint Server, we will need to grant access permission to the certificate's private key.

$path = "$env:ALLUSERSPROFILE\Microsoft\Crypto\RSA\MachineKeys\$fileName"
$permissions = Get-Acl -Path $path

# Replace the <web application pool account> with the real application pool account of your web application
$access_rule = New-Object System.Security.AccessControl.FileSystemAccessRule(<Web application pool account>, 'Read', 'None', 'None', 'Allow')
$permissions.AddAccessRule($access_rule)
Set-Acl -Path $path -AclObject $permissions

# Then update farm properties
$farm = Get-SPFarm
$farm.Properties['SP-NonceCookieCertificateThumbprint']=$cert.Thumbprint
$farm.Properties['SP-NonceCookieHMACSecretKey']='seed'
$farm.Update()

Importante

O certificado de cookie nonce, com chave privada, tem de ser instalado em todos os servidores do SharePoint no farm. Além disso, a permissão para a chave privada tem de ser dada à conta de serviço do conjunto aplicacional Web em cada servidor. A falha ao concluir este passo resultará em falhas de autenticação OIDC. Recomenda-se que utilize o exemplo do PowerShell acima para definir a permissão no ficheiro de chave privada para garantir que é feito corretamente.

Passo 3: Configurar o SharePoint para confiar no fornecedor de identidade

Neste passo, vai criar um SPTrustedTokenIssuer que armazena a configuração de que o SharePoint precisa para confiar Microsoft Entra OIDC como o fornecedor OIDC.

Pode configurar o SharePoint para confiar no fornecedor de identidade de qualquer uma das seguintes formas:

  • Configure o SharePoint para confiar Microsoft Entra ID como o fornecedor OIDC com o ponto final de metadados.
    • Ao utilizar o ponto final de metadados, vários parâmetros de que precisa são obtidos automaticamente a partir do ponto final de metadados.
  • Configure o SharePoint para confiar Microsoft Entra ID como o fornecedor OIDC manualmente.

Observação

Siga os passos de configuração manual ou os passos do ponto final de metadados, mas não ambos.
Recomenda-se a utilização do ponto final de metadados porque simplifica o processo.

Configurar o SharePoint para confiar Microsoft Entra ID com o ponto final de metadados

Edição de Assinatura do SharePoint Server agora suporta a utilização da capacidade de deteção de metadados OIDC ao criar o Emissor de Tokens de Identidade Fidedigna.

No Microsoft Entra ID, existem duas versões de pontos finais de deteção OIDC:

  • V1.0: https://login.microsoftonline.com/<TenantID>/.well-known/openid-configuration
  • V2.0: https://login.microsoftonline.com/<TenantID>/v2.0/.well-known/openid-configuration

Importante

Atualmente, o SharePoint Server só suporta o ponto final de metadados v1.0 quando utilizado para criar o Emissor de Tokens de Identidade Fidedigna. O script do PowerShell de exemplo abaixo utiliza o ponto final V1.0.

Quando utiliza o ponto final de metadados fornecido pelo fornecedor de identidade OIDC, parte da configuração é obtida diretamente a partir do ponto final de metadados do fornecedor OIDC, incluindo:

  1. Certificado
  2. Emissor
  3. Ponto Final de Autorização
  4. SignoutURL

Isto pode simplificar a configuração do emissor de tokens OIDC.

Com o seguinte exemplo do PowerShell, podemos utilizar o ponto final de metadados de Microsoft Entra ID para configurar o SharePoint para confiar Microsoft Entra OIDC.

Observação

Leia cuidadosamente as instruções mencionadas no seguinte script do PowerShell. Terá de introduzir os seus próprios valores específicos do ambiente em determinados locais. Por exemplo, substitua <tenantid> pelo seu próprio ID de Diretório (inquilino).

# Define claim types
# In this example, we're using Email Address as the Identity claim.
$emailClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "Email" -SameAsIncoming

# Set the AAD metadata endpoint URL. Please replace <TenantID> with the value saved in step #3 in the Entra ID setup section  
$metadataendpointurl = "https://login.microsoftonline.com/<TenantID>/.well-known/openid-configuration"

# Please replace <Application (Client) ID> with the value saved in step #3 in the Entra ID setup section
$clientIdentifier = "<Application (Client)ID>"

# Create a new SPTrustedIdentityTokenIssuer in SharePoint
New-SPTrustedIdentityTokenIssuer -Name "contoso.local" -Description "contoso.local" -ClaimsMappings $emailClaimMap -IdentifierClaim $emailClaimMap.InputClaimType -DefaultClientIdentifier $clientIdentifier -MetadataEndPoint $metadataendpointurl -Scope "openid profile"
Parâmetro Descrição
Nome Dá um nome ao novo emissor de tokens.
Descrição Fornece uma descrição para o novo emissor de tokens.
ImportarTrustCertificate Um certificado que é utilizado para validar a partir do identificador id_token OIDC.
ClaimsMappings Um SPClaimTypeMapping objeto, que é utilizado para identificar que afirmação no id_token é considerado identificador no SharePoint.
IdentifierClaim Especifica o tipo de identificador.
DefaultClientIdentifier Especifica o client_id do servidor do SharePoint, que é atribuído pelo fornecedor de identidade OIDC. Isto é validado relativamente à afirmação aud no id_token.
MetadataEndPoint Especifica o ponto final de metadados conhecido do fornecedor de identidade OIDC, que pode ser utilizado para obter o certificado, emissor, ponto final de autorização e ponto final de fim de sessão mais recente.

Configurar o SharePoint para confiar Microsoft Entra ID como o fornecedor OIDC manualmente

Ao configurar manualmente, têm de ser especificados vários parâmetros adicionais. Pode obter os valores do ponto final de deteção OIDC.

No Microsoft Entra ID, existem duas versões de pontos finais de autenticação OIDC. Por conseguinte, existem duas versões de pontos finais de deteção OIDC, respetivamente:

  • V1.0: https://login.microsoftonline.com/<TenantID>/.well-known/openid-configuration
  • V2.0: https://login.microsoftonline.com/<TenantID>/v2.0/.well-known/openid-configuration

Substitua TenantID pelo ID do Diretório (inquilino) guardado no Passo 1: Configurar o fornecedor de identidade e ligar ao ponto final através do browser. Em seguida, guarde as seguintes informações:

Valor Link
authorization_endpoint https://login.microsoftonline.com/<tenantid>/oauth2/authorize
end_session_endpoint https://login.microsoftonline.com/<tenantid>/oauth2/logout
emissor https://sts.windows.net/<tenantid>/
jwks_uri https://login.microsoftonline.com/common/discovery/keys

Abra jwks_uri (https://login.microsoftonline.com/common/discovery/keys) e guarde todas as cadeias de certificado x5c para utilização posterior na configuração do SharePoint.

Chaves de deteção

Inicie a Shell de Gestão do SharePoint como administrador do farm e, depois de introduzir os valores que obteve acima, execute o seguinte script para criar o Emissor de Tokens de identidade fidedigna:

Observação

Leia cuidadosamente as instruções mencionadas no seguinte script do PowerShell. Terá de introduzir os seus próprios valores específicos do ambiente em determinados locais. Por exemplo, substitua <tenantid> pelo seu próprio ID de Diretório (inquilino).

# Define claim types
# In this example, we're using Email Address as the identity claim.
$emailClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "Email" -SameAsIncoming

# Public key of the AAD OIDC signing certificate. Please replace <x5c cert string> with the encoded cert string which you get from x5c certificate string of the keys of jwks_uri from Step #1
$encodedCertStrs = @()
$encodedCertStrs += <x5c cert string 1>
$encodedCertStrs += <x5c cert string 2>
...
$certificates = @()
foreach ($encodedCertStr in $encodedCertStrs) {
     $certificates += New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 @(,[System.Convert]::FromBase64String($encodedCertStr))
}

# Set the AAD OIDC URL where users are redirected to authenticate. Please replace <tenantid> accordingly
$authendpointurl = "https://login.microsoftonline.com/<tenantid>/oauth2/authorize"
$registeredissuernameurl = "https://sts.windows.net/<tenantid>/"
$signouturl = "https://login.microsoftonline.com/<tenantid>/oauth2/logout"

# Please replace <Application (Client) ID> with the value saved in step #3 in AAD setup section
$clientIdentifier = "<Application (Client)ID>"

# Create a new SPTrustedIdentityTokenIssuer in SharePoint
New-SPTrustedIdentityTokenIssuer -Name "contoso.local" -Description "contoso.local" -ImportTrustCertificate $certificates -ClaimsMappings emailClaimMap -IdentifierClaim $emailClaimMap.InputClaimType -RegisteredIssuerName $registeredissuernameurl -AuthorizationEndPointUri $authendpointurl -SignOutUrl $signouturl -DefaultClientIdentifier $clientIdentifier -Scope "openid profile"

Aqui, New-SPTrustedIdentityTokenIssuer o cmdlet do PowerShell é expandido para suportar o OIDC com os seguintes parâmetros:

Parâmetro Descrição
Nome Dá um nome ao novo emissor de tokens.
Descrição Fornece uma descrição para o novo emissor de tokens.
ImportarTrustCertificate Importa uma lista de Certificados X509, que é utilizada para validar a partir do identificador id_token OIDC. Se o fornecedor de identidade OIDC (IDP) utilizar mais do que um certificado para assinar digitalmente o id_token, importe estes certificados e o SharePoint valida id_token ao corresponder a assinatura digital gerada com estes certificados.
ClaimsMappings Um SPClaimTypeMapping objeto, que é utilizado para identificar que afirmação no id_token é considerado identificador no SharePoint.
IdentifierClaim Especifica o tipo de identificador.
RegisteredIssuerName Especifica o identificador do emissor, que emite o id_token. É utilizado para validar o id_token.
AuthorizationEndPointUrl Especifica o ponto final de autorização do fornecedor de identidade OIDC.
SignoutUrl Especifica o ponto final de fim de sessão do fornecedor de identidade OIDC.
DefaultClientIdentifier Especifica o client_id do servidor do SharePoint, que é atribuído pelo fornecedor de identidade OIDC. Isto é validado relativamente à afirmação aud no id_token.
ResponseTypesSupported Especifica o tipo de resposta de IDP, que é aceite por este emissor de tokens. Pode aceitar duas cadeias: id_token e code id_token. Se este parâmetro não for fornecido, utiliza como predefinição code id_token .

Passo 4: Configurar a aplicação Web do SharePoint

Neste passo, vai configurar uma aplicação Web no SharePoint para ser federada com o Microsoft Entra OIDC, utilizando o SPTrustedIdentityTokenIssuer criado no passo anterior.

Importante

  • A zona predefinida da aplicação Web do SharePoint tem de ter autenticação do Windows ativada. Isto é necessário para o crawler de Pesquisa.
  • O URL do SharePoint que irá utilizar Microsoft Entra federação OIDC tem de ser configurado com o Protocolo de Transferência de Hipertexto Seguro (HTTPS).

Pode concluir esta configuração ao:

  • Criar uma nova aplicação Web e utilizar a autenticação OIDC do Windows e do Microsoft Entra na zona predefinida.
  • Expandir uma aplicação Web existente para definir Microsoft Entra autenticação OIDC numa nova zona.

Para criar uma nova aplicação Web, faça o seguinte:

  1. Inicie a Shell de Gestão do SharePoint e execute o seguinte script para criar um novo SPAuthenticationProvider:

    # This script creates a trusted authentication provider for OIDC
    
    $sptrust = Get-SPTrustedIdentityTokenIssuer "contoso.local"
    $trustedAp = New-SPAuthenticationProvider -TrustedIdentityTokenIssuer $sptrust
    
  2. Siga Criar uma aplicação Web no SharePoint Server para criar uma nova aplicação Web que permita HTTPS/Secure Sockets Layer (SSL) com o nome SharePoint - OIDC em contoso.local.

  3. Abra o site de Administração Central do SharePoint.

  4. Selecione a aplicação Web que criou, escolha "Fornecedores de Autenticação" no Friso, clique na ligação para a zona Predefinida e selecione contoso.local como Fornecedor de Identidade Fidedigna.

    Fornecedores de Autenticação

  5. No site de Administração Central do SharePoint, navegue para Definições> do SistemaConfigurar Mapeamentos de Acesso Alternativo Coleção de Mapeamentos> deAcesso Alternativo.

  6. Filtre o ecrã com a nova aplicação Web e confirme que vê as seguintes informações:

    Nova aplicação Web

Para expandir uma aplicação Web existente e configurá-la para utilizar o fornecedor fidedigno "contoso.local", faça o seguinte:

  1. Inicie a Shell de Gestão do SharePoint e execute o PowerShell para expandir a aplicação Web. O exemplo seguinte expande a aplicação Web para a zona intranet e configura a zona para utilizar o fornecedor fidedigno "Contoso.local" para autenticação.

    Observação

    Para que isto funcione, tem de ter um certificado válido denominado "Site OIDC do SharePoint" importado para o farm. Veja Operações de gestão de certificados SSL para obter mais informações.

    # Get the trusted provider
    $sptrust = Get-SPTrustedIdentityTokenIssuer "Contoso.local"
    $ap = New-SPAuthenticationProvider -TrustedIdentityTokenIssuer $sptrust
    # Get the web app
    $wa = Get-SPWebApplication http://spsites
    # Extend the web app to the "Intranet" zone using trusted provider (OIDC) auth and a SharePoint managed certificate called "SharePoint OIDC Site"
    New-SPWebApplicationExtension -Identity $wa -Name "spsites" -port 443 -HostHeader 'spsites.contoso.local'-AuthenticationProvider $ap -SecureSocketsLayer -UseServerNameIndication -Certificate 'SharePoint OIDC Site' -Zone 'Intranet' -URL 'https://spsites.contoso.local' 
    
  2. No site de Administração Central do SharePoint, navegue para Definições> do SistemaConfigurar Mapeamentos de Acesso Alternativo Coleção de Mapeamentos> deAcesso Alternativo.

  3. Filtre o ecrã com a aplicação Web que foi expandida e confirme que vê as seguintes informações:

    Site de Administração do SharePoint

Passo 5: Garantir que a aplicação Web está configurada com o certificado SSL

Uma vez que a autenticação OIDC 1.0 só pode funcionar com o protocolo HTTPS, tem de ser definido um certificado na aplicação Web correspondente. Se ainda não estiver configurado, execute os seguintes passos para definir o certificado:

  1. Gerar o certificado do site:

    Observação

    Pode ignorar este passo se já tiver gerado o certificado.

    1. Abra a consola do PowerShell do SharePoint.

    2. Execute o seguinte script para gerar um certificado autoassinado e adicione-o ao farm do SharePoint:

      New-SPCertificate -FriendlyName "Contoso SharePoint (2021)" -KeySize 2048 -CommonName spsites.contoso.local -AlternativeNames extranet.contoso.local, onedrive.contoso.local -OrganizationalUnit "Contoso IT Department" -Organization "Contoso" -Locality "Redmond" -State "Washington" -Country "US" -Exportable -HashAlgorithm SHA256 -Path "\\server\fileshare\Contoso SharePoint 2021 Certificate Signing Request.txt"
      Move-SPCertificate -Identity "Contoso SharePoint (2021)" -NewStore EndEntity
      

      Importante

      Os certificados autoassinados são adequados apenas para fins de teste. Em ambientes de produção, recomendamos vivamente que utilize certificados emitidos por uma autoridade de certificação.

  2. Defina o certificado:

    Pode utilizar o seguinte cmdlet do PowerShell para atribuir o certificado à aplicação Web:

    Set-SPWebApplication -Identity https://spsites.contoso.local -Zone Default -SecureSocketsLayer -Certificate "Contoso SharePoint (2021)"
    

Passo 6: Criar a coleção de sites

Neste passo, vai criar uma coleção de sites de equipa com dois administradores: um como administrador do Windows e outro como administrador federado (Microsoft Entra ID).

  1. Abra o site de Administração Central do SharePoint.

  2. Navegue para Gestão> de AplicaçõesCriar coleções de sites>Criar coleções de sites.

  3. Escreva um título, URL e selecione o modelo Site de Equipa.

  4. Na secção Administrador da Coleção de Sites Primária, selecione o ícone Ícone do Livro Pessoas seletor (livro) para abrir a caixa de diálogo Pessoas Seletor.

  5. Na caixa de diálogo Pessoas Seletor, escreva a conta de administrador do Windows, por exemplo, yvand.

  6. Filtre a lista à esquerda ao selecionar Organizações. Segue-se um resultado de exemplo:

    Selecionar pessoas

  7. Aceda à conta e selecione OK.

  8. Na secção Administrador secundário da Coleção de Sites, selecione o ícone do livro para abrir a caixa de diálogo Pessoas Seletor.

  9. Na caixa de diálogo Pessoas Seletor, escreva o valor exato de e-mail da conta de administrador Microsoft Entra, por exemplo yvand@contoso.local.

  10. Filtre a lista à esquerda ao selecionar contoso.local. Segue-se um resultado de exemplo:

    Selecionar pessoas 2

  11. Aceda à conta e selecione OK para fechar a caixa de diálogo Pessoas Seletor.

  12. Selecione OK novamente para criar a coleção de sites.

Assim que a coleção de sites for criada, deverá conseguir iniciar sessão com o Windows ou a conta de administrador da coleção de sites federada.

Passo 7: Configurar o Seletor de Pessoas

Na autenticação OIDC, o Pessoas Picker não valida a entrada, o que pode levar a erros ortográficos ou utilizadores a selecionar acidentalmente o tipo de afirmação errado. Isto pode ser resolvido através de um Fornecedor de Afirmações Personalizadas ou através do novo fornecedor de afirmações apoiado pela UPA incluído no Edição de Assinatura do SharePoint Server. Para configurar um fornecedor de afirmações com suporte UPA, veja Enhanced Pessoas Picker for modern authentication (Selecionador de Pessoas Avançado para autenticação moderna).