Partilhar via

FAQ para utilizar o OpenID Connect em portais

  • Artigo

Nota

A partir de 12 de outubro de 2022, os portais do Power Apps passam a ser Power Pages. Mais informações: O Microsoft Power Pages está agora em disponibilidade geral (blogue)
Em breve, vamos migrar e unir a documentação dos portais do Power Apps com a documentação do Power Pages.

Este artigo inclui informações sobre cenários comuns de portais do Power Apps e perguntas frequentes para a utilização de um fornecedor de autenticação em conformidade com a especificação OpenID Connect.

Preciso que um Documento de Deteção Automática do OpenID Connect se integre com portais?

Sim. É necessário que o Documento de Deteção Automática (também chamado de /.well-known/openid-configuration) se integre com portais. A informação presente neste documento é utilizada por portais para criar pedidos de autorização e validar os tokens de autenticação.

Se o seu fornecedor de identidade não fornecer este documento, pode criá-lo manualmente e hospedá-lo em qualquer local público (incluindo o seu portal).

Nota

À semelhança do documento de deteção, os portais também exigem que o fornecedor de identidade forneça um ponto final público URI JWKS onde as chaves públicas estão disponíveis para verificar a assinatura do token de ID. Este ponto final tem de ser especificado no documento de deteção como chave jwks_uri.

Os portais suportam parâmetros de pedidos acr_values nos pedidos de autenticação?

Não Os portais não suportam parâmetros de pedidos acr_values em pedidos de autorização. No entanto, a funcionalidade de portais não suporta todos os parâmetros de pedidos obrigatórios—e recomendados—definidos na especificação OpenID Connect.

Os parâmetros opcionais seguintes são suportados:

  • Response_mode
  • Nonce
  • UI_Locales

Os portais suportam parâmetros de âmbito personalizado em pedidos de autenticação?

Sim. O(s) parâmetros de âmbito personalizado podem ser especificados utilizando a opção de âmbito durante a configuração.

Porque é que o valor do nome de utilizador num contacto, ou um registo de identidade externo no Dataverse, mostra um valor diferente em relação ao que o utilizador inseriu na página de início de sessão?

O campo nome de Utilizador num registo de contacto, e um registo de identidade externo, mostrará o valor enviado na sub-afirmação ou na afirmação de ID de objeto (OID) (para fornecedores baseados no–Azure AD). Isto porque a sub-afirmação representa o identificador para o utilizador final, e é garantida pelo fornecedor de identidade como exclusiva. Uma afirmação de OID (em que o ID do objeto é um identificador exclusivo para todos os utilizadores de um inquilino) é suportada quando usada com fornecedores baseados no–Azure AD com inquilinos únicos.

Os portais suportam o término de sessão de fornecedores baseados no–OpenID Connect?

Sim. A funcionalidade de portal suporta a técnica de término de sessão do canal frontal para terminar sessão tanto da aplicação como dos fornecedores baseados no–OpenID Connect.

Os portais suportam o término de sessão único?

Não. Os portais não suportam a técnica de término de sessão único para fornecedores baseados no–OpenID Connect.

Os portais requerem alguma afirmação específica um token de ID*?

Além de todas as afirmações exigidas, a funcionalidade de portais requer uma afirmação que represente o endereço de e-mail dos utilizadores no token de ID. Esta afirmação deve ser denominada email, emails ou upn.

Além de todas as afirmações exigidas, os portais requerem uma afirmação que represente o endereço de e-mail dos utilizadores no id_token. Esta afirmação deve ser nomeada como "e-mail", "e-mails" ou "upn".

Estas afirmações são processadas na seguinte ordem de prioridade a definir como o Endereço de E-mail Principal do registo de contacto no Dataverse:

  1. Correio eletrónico
  2. e-mails
  3. upn

Quando utilizado, é também utilizado "emailclaimsmapping" para procurar um contacto existente (campo Endereço de E-mail Principal no Dataverse).

Posso ter acesso a tokens (ID ou acesso) usando JavaScript?

Não. O token de ID fornecido pelo fornecedor de identidade não é disponibilizado através de qualquer técnica padrão do lado do cliente, e é usado apenas para efeitos de autenticação. No entanto, se estiver a utilizar o fluxo de Concessão Implícita, pode utilizar os métodos fornecidos pelo seu fornecedor de identidade para ter acesso a tokens de ID ou de acesso.

Por exemplo, o Azure AD fornece Biblioteca de Autenticação da Microsoft para alcançar este cenário nos clientes.

Posso utilizar um fornecedor personalizado OpenID Connect em vez do Azure AD?

Sim. Os portais suportam qualquer fornecedor OpenID Connect que suporte a especificação OpenID Connect padrão.

Consulte também

Configurar um fornecedor Open ID Connect para portais

Nota

Pode indicar-nos as suas preferências no que se refere ao idioma da documentação? Responda a um breve inquérito. (tenha em atenção que o inquérito está em inglês)

O inquérito irá demorar cerca de sete minutos. Não são recolhidos dados pessoais (declaração de privacidade).