Configurar un proveedor de OpenID Connect
Los proveedores de identidad OpenID Connect son servicios que se ajustan a la especificación de Open ID Connect. OpenID Connect presenta el concepto de un token de ID. Un token de identificación es un token de seguridad que permite a un cliente verificar la identidad de un usuario. También obtiene información de perfil básica sobre el usuario, comúnmente conocida como notificaciones.
Los proveedores de OpenID Connect Azure AD B2C, Microsoft Entra ID y Microsoft Entra ID con varios inquilinos están integrados en Power Pages. Este artículo explica cómo agregar otros proveedores de identidad de OpenID Connect a su sitio Power Pages .
Flujos de autenticación admitidos y no admitidos en Power Pages
- Concesión implícita
- Este flujo es el método de autenticación predeterminado que utilizan los sitios de Power Pages.
- Código de autorización
- Power Pages usa el método client_secret_post para comunicarse con el punto de conexión del token del servidor de identidad.
- El método private_key_jwt para autenticarse con el punto de conexión del token no es compatible.
- Híbrido (compatibilidad restringida)
- Power Pages requiere que id_token esté presente en la respuesta, por lo que response_type = token de código no es compatible.
- El flujo híbrido en Power Pages sigue el mismo flujo que la concesión implícita y utiliza id_token para iniciar sesión directamente para los usuarios.
- Clave de prueba para intercambio de código (PKCE)
- No se admiten técnicas basadas en PKCE para autenticar a los usuarios.
Nota
Cambios en la configuración de autenticación de su sitio podría tardar unos minutos para reflejarse en el sitio. Para ver los cambios inmediatamente, reinicie el sitio en el centro de administración.
Configurar el proveedor de OpenID Connect en Power Pages
En el sitio de Power Pages, seleccione Seguridad>Proveedores de identidades.
Si no aparecen proveedores de identidades, asegúrese de que Inicio de sesión externo está establecido en Activado en la configuración general de autenticación de su sitio.
Seleccione + Nuevo proveedor.
En Seleccionar proveedor de inicio de sesión seleccione Otro.
En Protocolo seleccione OpenID Connect.
Introduzca un nombre para el proveedor.
El nombre del proveedor es el texto en el botón que los usuarios ven cuando seleccionan su proveedor de identidad en la página de inicio de sesión.
Seleccione Siguiente.
En URL de respuesta, seleccione Copiar.
No cierre la pestaña Power Pages del navegador. Pronto volverá a ella.
Crear un registro de aplicación en el proveedor de identidad
Cree y registre una aplicación con su proveedor de identidad utilizando la URL de respuesta que copió.
Copie el id. de la aplicación o del cliente y el valor de secreto de cliente.
Busque los puntos de conexión de la aplicación y copie la URL del documento de metadatos de OpenID Connect.
Cambie otras configuraciones según sea necesario para su proveedor de identidad.
Introduzca la configuración del sitio en Power Pages
Vuelva a la página Power Pages Configurar proveedor de identidad que dejó anteriormente e ingrese los siguientes valores. Opcionalmente, cambie la configuración adicional según sea necesario. seleccione Confirmar cuando acabe.
Autoridad: ingrese la URL de la autoridad en el siguiente formato:
https://login.microsoftonline.com/<Directory (tenant) ID>/
, donde <Directorio (inquilino) ID> es el directorio ( inquilino) Id. de la aplicación que creó. Por ejemplo, si el Id. de directorio (inquilino) en el portal de Azure es7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb
, la URL de autoridad eshttps://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/
.Id. de cliente: pegue el ID de aplicación o cliente de la aplicación que creó.
Redirigir URL: si su sitio usa un nombre de dominio personalizado, ingrese la URL personalizada; de lo contrario, deje el valor predeterminado. Asegúrese de que el valor sea exactamente el mismo que el URI de redireccionamiento de la aplicación que creó.
Dirección de metadatos: pegue la URL del documento de metadatos de OpenID Connect que copió.
Ámbito: Introduzca una lista de ámbitos separados por espacios que se van a solicitar mediante el parámetro
scope
de OpenID Connect. El valor predeterminado esopenid
.El valor de
openid
es obligatorio. Más información sobre otros reclamos que puede agregar.Tipo de respuesta: introduzca el valor del parámetro
response_type
de OpenID Connect. Valores posibles:code
,code id_token
,id_token
,id_token token
ycode id_token token
. El valor predeterminado escode id_token
.Secreto de cliente: pegue el secreto de cliente de la aplicación del proveedor. También puede denominarse secreto de la aplicación o secreto de consumidor. Esta configuración es necesaria si el tipo de respuesta es
code
.Modo de respuesta: introduzca el valor del parámetro response_mode de OpenID Connect. Debe ser
query
si el tipo de respuesta escode
. El valor predeterminado esform_post
.Cierre de sesión externo: esta configuración controla si su sitio utiliza el cierre de sesión federado. Con el cierre de sesión federado, cuando los usuarios cierran sesión en una aplicación o sitio, también cierran sesión en todas las aplicaciones y sitios que usan el mismo proveedor de identidad. Actívelo para que los usuarios se redirijan a la experiencia de usuario de inicio de sesión federado al cerrar sesión en el sitio web. Desactívelo para cerrar la sesión de los usuarios solo en su sitio web.
URL de redirección después del cierre de sesión: introduzca la URL donde el proveedor de identidades redirigirá a los usuarios tras un cierre de sesión. Esta ubicación también se debe establecer correctamente en la configuración del proveedor de identidades.
Cierre de sesión iniciado por RP: esta configuración controla si la parte de confianza (la aplicación cliente de OpenID Connect) puede cerrar la sesión de los usuarios. Para usar esta configuración, active cierre de sesión externo.
Configuración adicional en Power Pages
La configuración adicional le brinda un control más preciso sobre cómo los usuarios se autentican con su proveedor de identidad OpenID Connect. No necesita establecer cualquiera de estos valores. Son completamente opcionales.
Filtro de emisor: introduzca un filtro basado en comodines que busca todos los emisores en todos los inquilinos, por ejemplo,
https://sts.windows.net/*/
. Si está utilizando un proveedor de autenticación de Microsoft Entra ID, el filtro de URL del emisor seríahttps://login.microsoftonline.com/*/v2.0/
.Validar audiencia: active esta configuración para validar audiencia durante la validación del token.
Audiencias válidas: introduzca una lista de direcciones URL separadas por comas.
Validar emisores: active esta configuración para validar el emisor durante la validación del token.
Emisores válidos: introduzca una lista de direcciones URL de emisores.
Asignación de reclamos de registro y Asignación de reclamos de inicio de sesión: en la autenticación de usuario, una notificación es información que describe la identidad de un usuario, como una dirección de correo electrónico o fecha de nacimiento. Cuando inicia sesión en una aplicación o un sitio web, se crea un token. Un token contiene información sobre su identidad, incluidos los reclamos asociados con él. Los tokens se utilizan para autenticar su identidad cuando accede a otras partes de la aplicación o sitio u otras aplicaciones y sitios que están conectados al mismo proveedor de identidad. Asignación de notificaciones es una forma de cambiar la información que se incluye en un token. Se puede usar para personalizar la información que está disponible para la aplicación o el sitio y para controlar el acceso a funciones o datos. La asignación de notificaciones de registro modifica las notificaciones que se emiten cuando se registra para una aplicación o un sitio. Asignación de notificaciones de inicio de sesión modifica las notificaciones que se emiten cuando inicia sesión para una aplicación o un sitio. Más información sobre las directivas de asignación de notificaciones.
Tiempo de vida de Nonce: Ingrese el tiempo de vida del valor de Nonce, en minutos. El valor predeterminado es 10 minutos.
Usar duración de token: este ajuste controla si la duración de la sesión de autenticación (por ejemplo, cookies) debe coincidir con la del token de autenticación. Si se activa, este valor anulará el valor de Periodo de vencimiento de la cookie de aplicación en la configuración del sitio Autenticación/Cookie de aplicación/Periodo de vencimiento.
Asignación de contacto con correo electrónico: especifica si los contactos están asignados a un correo electrónico correspondiente cuando inician sesión.
- Activado: el valor se asocia a un registro de contacto único con una dirección de correo electrónico coincidente, y después asigna automáticamente el proveedor de identidades externo al contacto cuando el usuario inicia sesión correctamente.
- Desactivada
Nota
El parámetro de solicitud UI_Locales ahora se envia automáticamente en la solicitud de autenticación y se establece en el idioma seleccionado en el portal.
Consulte también
Configurar un proveedor OpenID Connect con Azure Active Directory (Azure AD) B2C
Configurar un proveedor OpenID Connect con Microsoft Entra ID
Preguntas frecuentes sobre OpenID Connect