Configurare un provider OpenID Connect con Microsoft Entra ID

Microsoft Entra è uno dei provider di identità OpenID Connect che puoi utilizzare per autenticare i visitatori sul tuo sito Power Pages. Insieme ad Microsoft Entra ID, Microsoft Entra ID multi-tenant e Azure AD B2C, puoi utilizzare qualsiasi altro provider conforme alla specifica Open ID Connect.

In questo articolo vengono descritti i seguenti passaggi:

Nota

L'applicazione delle modifiche alle impostazioni di autenticazione del tuo sito potrebbe richiedere alcuni minuti. Per visualizzare immediatamente le modifiche, riavvia il sito nell'interfaccia di amministrazione.

Configurare Microsoft Entra in Power Pages

Imposta Microsoft Entra come provider di identità per il tuo sito.

  1. Nel sito Power Pages, seleziona Sicurezza>Provider di identità.

    Se non vengono visualizzati provider di identità, assicurati che Accesso esterno sia impostato su Attivo nelle impostazioni generali di autenticazione del tuo sito.

  2. Seleziona + Nuovo provider.

  3. In Seleziona provider di accesso seleziona Altro.

  4. In Protocollo seleziona OpenID Connect.

  5. Immetti un nome per il provider, ad esempio Microsoft Entra ID.

    Il nome del provider è il testo sul pulsante che gli utenti visualizzano quando selezionano il loro provider di identità nella pagina di accesso.

  6. Seleziona Avanti.

  7. In URL di risposta, seleziona Copia.

    Non chiudere la scheda del browser Power Pages. Ci tornerai a breve.

Creare una nuova registrazione di app nel portale di Azure

Creare una registrazione dell'app nel portale di Azure con l'URL di risposta del sito come URI di reindirizzamento.

  1. Accedi al portale di Azure.

  2. Cerca e seleziona Azure Active Directory.

  3. In Gestisci, seleziona Registrazioni app.

  4. Seleziona Nuova registrazione.

  5. Immetti un nome.

  6. Seleziona uno dei Tipi di account supportati che rispecchia al meglio i requisiti della tua organizzazione.

  7. In URI di reindirizzamento, seleziona Web come piattaforma, quindi inserisci l'URL di risposta del tuo sito.

    • Se utilizzi l'URL predefinito del tuo sito, incolla l'URL di risposta che hai copiato.
    • Se stai utilizzando un nome di dominio personalizzato, immetti l'URL personalizzato. Assicurati di utilizzare lo stesso URL personalizzato per l'URL di reindirizzamento nelle impostazioni del provider di identità sul tuo sito.
  8. Selezionare Registrazione.

  9. Copia l'ID Application (client).

  10. A destra di Credenziali client, seleziona Aggiungi un certificato o un segreto.

  11. Selezionare + Nuovo segreto client.

  12. Immetti una descrizione facoltativa, seleziona una scadenza, quindi seleziona Aggiungi.

  13. In ID segreto, seleziona l'icona Copia negli appunti.

  14. Seleziona Endpoint nella parte superiore della pagina.

  15. Trova l'URL del documento di metadati OpenID Connect e seleziona l'icona di copia.

  16. Nel pannello a sinistra, in Gestisci, seleziona Autenticazione.

  17. In Concessione implicita, seleziona ID token (utilizzati per flussi impliciti e ibridi).

  18. Seleziona Salva.

Inserisci le impostazioni del sito in Power Pages

Torna alla pagina Power Pages Configura provider di identità che hai lasciato in precedenza e inserisci i seguenti valori. Facoltativamente, modifica le impostazioni aggiuntive secondo necessità. Al termine, seleziona Conferma.

  • Autorità: immetti l'URL dell'autorità nel seguente formato: https://login.microsoftonline.com/<Directory (tenant) ID>/, dove <ID directory (tenant)> è l'ID della directory (tenant) dell'applicazione che hai creato. Ad esempio, se l'ID directory (tenant) nel portale di Azure è 7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb, l'URL autorità è https://login.microsoftonline.com/7e6ea6c7-a751-4b0d-bbb0-8cf17fe85dbb/​.

  • ID client​: incolla l'applicazione o l'ID client dell'applicazione che hai creato.

  • URL di reindirizzamento: se il tuo sito utilizza un nome di dominio personalizzato, inserisci l'URL personalizzato; in caso contrario, lascia il valore predefinito. Assicurati che il valore sia esattamente lo stesso dell'URI di reindirizzamento dell'applicazione che hai creato.

  • Indirizzo metadati: incolla l'URL del documento di metadati OpenID Connect che hai copiato.

  • Ambito: immetti openid email.

    Il valore obbligatorio è openid. Il valore email è facoltativo; garantisce che l'indirizzo e-mail dell'utente sia automaticamente compilato e visualizzato nella pagina Profilo dopo che l'utente ha effettuato l'accesso. Scopri altre attestazioni che puoi aggiungere.

  • Tipo di risposta: seleziona code id_token.

  • Segreto client: incolla il segreto client dall'applicazione che hai creato. Questa impostazione è obbligatoria se il tipo di risposta è code.

  • Modalità di risposta: seleziona form_post.

  • Disconnessione esterna: questa impostazione controlla se il tuo sito utilizza la disconnessione federata. Con la disconnessione federata, quando gli utenti si disconnettono da un'applicazione o da un sito, vengono disconnessi anche da tutte le applicazioni e i siti che utilizzano lo stesso provider di identità. Attivala per reindirizzare gli utenti all'esperienza utente di disconnessione federata quando si disconnettono dal tuo sito Web. Disattivala per disconnettere gli utenti solo dal tuo sito Web.

  • URL di reindirizzamento post-disconnessione: Immetti l'URL dove il provider di identità deve reindirizzare gli utenti dopo la disconnessione. Questa posizione deve essere impostata in modo appropriato nella configurazione del provider di identità.

  • Disconnessione avviata da RP: questa impostazione controlla se la relying party, ovvero l'applicazione client OpenID Connect, può disconnettere gli utenti. Per utilizzare questa impostazione, abilita Disconnessione esterna.

Impostazioni aggiuntive in Power Pages

Le impostazioni aggiuntive ti offrono un controllo più preciso su come gli utenti si autenticano con il provider di identità di Microsoft Entra. Non è necessario impostare nessuno di questi valori. Sono del tutto facoltativi.

  • Filtro autorità emittente: immetti un carattere jolly che corrisponde a tutte le autorità emittenti in tutti i tenant; ad esempio https://sts.windows.net/*/.

  • Convalida destinatari: attiva questa impostazione per convalidare destinatari durante la convalida del token.

  • Destinatari validi: immetti gli URL di destinatari in un elenco di valori separati da virgole.

  • Convalida autorità emittenti: attiva questa impostazione per convalidare l'autorità emittente durante la convalida del token.

  • Autorità emittenti valide: immetti gli URL delle autorità emittenti in un elenco di valori separati da virgole.

  • Mapping attestazioni di registrazione​ e Mappig attestazioni di accesso: nell'autenticazione utente, un'attestazione è un'informazione che descrive l'identità di un utente, come un indirizzo e-mail o una data di nascita. Quando accedi a un'applicazione o a un sito Web, viene creato un token. Un token contiene informazioni sulla tua identità, incluse eventuali attestazioni ad essa associate. I token vengono utilizzati per autenticare la tua identità quando accedi ad altre parti dell'applicazione o del sito o ad altre applicazioni e siti connessi allo stesso provider di identità. Il mapping delle attestazioni è un modo per modificare le informazioni incluse in un token. Può essere utilizzato per personalizzare le informazioni disponibili per l'applicazione o il sito e per controllare l'accesso a funzionalità o dati. Il mapping delle attestazioni di registrazione modifica le attestazioni emesse quando ti registri su un'applicazione o un sito. Il mapping delle attestazioni di accesso modifica le attestazioni emesse quando accedi a un'applicazione o a un sito. Altre informazioni sui criteri di mapping delle attestazioni.

  • Durata Nonce: immetti la durata del valore nonce, in minuti. Il valore predefinito è 10 minuti.

  • Usa durata token: questa impostazione controlla se la durata della sessione di autenticazione, ad esempio i cookie, deve corrispondere a quella del token di autenticazione. Se la abiliti, questo valore sovrascrive il valore di intervallo di tempo per la scadenza dei cookie dell'applicazione nell'impostazione del sito Authentication/ApplicationCookie/ExpireTimeSpan.

  • Mapping dei contatti con e-mail: questa impostazione determina se i contatti sono mappati a un indirizzo e-mail corrispondente quando accedono.

    • Attivato: associa un unico record di contatto a un indirizzo e-mail corrispondente e assegna automaticamente il provider di identità esterno al contatto dopo che l'utente ha effettuato correttamente l'accesso.
    • No

Nota

Il parametro di richiesta UI_Locales viene ora inviato automaticamente nella richiesta di autenticazione e sarà impostato sulla lingua selezionata sul portale.

Configurazione di attestazioni aggiuntive

  1. Abilita le attestazioni facoltative in Microsoft Entra ID.

  2. Imposta Ambito per includere le attestazioni aggiuntive; ad esempio openid email profile.

  3. Imposta l'impostazione del sito aggiuntiva Mapping attestazioni di registrazione; ad esempio firstname=given_name,lastname=family_name.

  4. Imposta l'impostazione del sito aggiuntiva Mapping attestazioni di accesso; ad esempio firstname=given_name,lastname=family_name.

In questi esempi, nome, cognome e gli indirizzi e-mail forniti con le attestazioni aggiuntive diventeranno i valori predefiniti nella pagina del profilo nel sito Web.

Nota

La mappatura delle attestazioni è supportata per i tipi di dati booleano e testo.

Consenti l'autenticazione Microsoft Entra multi-tenant

Per consentire agli utenti Microsoft Entra di autenticarsi da qualsiasi tenant in Azure, non solo da un tenant specifico, modifica la registrazione dell'applicazione Microsoft Entra in multi-tenant.

Devi anche impostare il Filtro emittente nelle impostazioni aggiuntive del tuo provider.

Vedi anche

Domande frequenti su OpenID Connect