Partilhar via

Adicionar OpenID Connect como um provedor de identidade externo

Aplica-se a: círculo verde com um símbolo de marca de seleção branco que indica que o conteúdo a seguir se aplica a locatários externos. Inquilinos externos (saiba mais)

Ao configurar a federação com um provedor de identidade OpenID Connect (OIDC) configurado de forma personalizada, você permite que os usuários se inscrevam e entrem em seus aplicativos usando suas contas existentes do provedor externo federado. Esta federação OIDC permite a autenticação com vários provedores que aderem ao protocolo OpenID Connect.

Quando você adiciona um provedor de identidade OIDC às opções de entrada do seu fluxo de usuário, os usuários podem se inscrever e entrar nos aplicativos registrados definidos nesse fluxo de usuário. Eles podem fazer isso usando suas credenciais do provedor de identidade OIDC. (Saiba mais sobre métodos de autenticação e provedores de identidade para clientes.)

Pré-requisitos

Configurar seu provedor de identidade OpenID Connect

Para poder federar usuários ao seu provedor de identidade, primeiro você precisa preparar seu provedor de identidade para aceitar solicitações de federação de seu locatário externo. Para fazer isso, você precisa preencher seus URIs de redirecionamento e se registrar em seu provedor de identidade para ser reconhecido.

Antes de passar para a próxima etapa, preencha os URIs de redirecionamento da seguinte maneira:

https://<tenant-subdomain>.ciamlogin.com/<tenant-ID>/federation/oauth2

https://<tenant-subdomain>.ciamlogin.com/<tenant-subdomain>.onmicrosoft.com/federation/oauth2

Habilite o login e a inscrição com seu provedor de identidade

Para habilitar o login e a inscrição para usuários com uma conta em seu provedor de identidade, você precisa registrar o Microsoft Entra ID como um aplicativo em seu provedor de identidade. Esta etapa permite que seu provedor de identidade reconheça e emita tokens para sua ID do Microsoft Entra para federação. Registre o aplicativo usando seus URIs de redirecionamento preenchidos. Salve os detalhes da configuração do provedor de identidade para configurar a federação em seu locatário externo.

Configurações de federação

Para configurar a federação de conexão OpenID com seu provedor de identidade no Microsoft Entra External ID, você precisa ter as seguintes configurações:

  • Ponto final bem conhecido
  • URI do emissor
  • ID do Cliente
  • Método de autenticação de cliente
  • Segredo do Cliente
  • Âmbito de aplicação
  • Tipo de resposta
  • Mapeamento de sinistros
    • Substituto
    • Nome
    • Nome próprio
    • Nome de família
    • Email (obrigatório)
    • Email_verificado
    • Número de telefone
    • Número de telefone verificado
    • Endereço
    • Localidade
    • Região
    • Código postal
    • País

Configurar um novo provedor de identidade OpenID connect no centro de administração

Depois de configurar seu provedor de identidade, nesta etapa você configurará uma nova federação de conexão OpenID no centro de administração do Microsoft Entra.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Provedor de Identidade Externo.

  2. Navegue até Entra ID>Identidades Externas>Todos os fornecedores de identidade.

  3. Selecione o separador Personalizar e, em seguida, selecione Adicionar novo>Open ID Connect.

    Captura de tela da adição de um novo provedor de identidade personalizado.

  4. Insira os seguintes detalhes para seu provedor de identidade:

    • Nome para exibição: o nome do seu provedor de identidade que será exibido aos usuários durante os fluxos de entrada e inscrição. Por exemplo, Inicie sessão com o nome do IdP ou Registe-se com o nome do IdP.

    • Ponto de extremidade conhecido (também conhecido como URI de metadados) é o URI de descoberta da OIDC para obter as informações de configuração para o seu provedor de identidade. A resposta a ser recuperada de um local conhecido é um documento JSON, incluindo os locais dos endpoints OAuth 2.0. O documento de metadados deve, no mínimo, conter as seguintes propriedades: issuer, authorization_endpoint, , token_endpointtoken_endpoint_auth_methods_supported, response_types_supported, subject_types_supportede jwks_uri. Consulte as especificações do OpenID Connect Discovery para obter mais detalhes.

    • URI do Emissor OpenID: A entidade do seu provedor de identidade que emite tokens de acesso para seu aplicativo. Por exemplo, se utilizares o OpenID Connect para federar com o Azure AD B2C, é possível obter o URI do emissor a partir do URI de descoberta utilizando a tag "emissor" e terá a seguinte aparência: https://login.b2clogin.com/{tenant}/v2.0/. O URI do emissor é uma URL sensível a maiúsculas e minúsculas que utiliza o esquema https e contém o esquema, o host e, opcionalmente, o número de porta e os componentes de caminho, sem componentes de consulta ou fragmento.

    Observação

    No momento, não há suporte para a configuração de outros locatários do Microsoft Entra como um provedor de identidade externo. Assim, o microsoftonline.com domínio no URI do emissor não é aceito.

    • ID do Cliente e Segredo do Cliente são os identificadores que seu provedor de identidade usa para identificar o serviço de aplicativo registrado. O segredo do cliente precisa ser fornecido se a autenticação client_secret estiver selecionada. Se o private_key_jwt for selecionado, a chave privada precisará ser fornecida nos metadados do provedor OpenID (ponto de extremidade conhecido), recuperável através da propriedade jwks_uri.
    • de Autenticação de Cliente é o tipo de método de autenticação de cliente a ser usado para autenticar com o seu provedor de identidade usando o endpoint de token. client_secret_post, client_secret_jwte private_key_jwt os métodos de autenticação são suportados.

    Observação

    Devido a possíveis problemas de segurança, não há suporte para client_secret_basic método de autenticação de cliente.

    • O escopo define as informações e permissões que você deseja coletar do seu provedor de identidade, por exemplo openid profile. Para receber o token de ID do seu provedor de identidade, as solicitações do OpenID Connect devem incluir o valor openid no âmbito. Outros escopos podem ser acrescentados separados por espaços. Consulte a documentação do OpenID Connect para ver quais outros escopos podem estar disponíveis, como profile, email, etc.
    • Tipo de resposta descreve que tipo de informação é enviada de volta na chamada inicial para o authorization_endpoint do seu provedor de identidade. Atualmente, apenas o tipo de resposta code é suportado. id_token e token não são suportados no momento.

  5. Você pode selecionar Avançar: Mapeamento de declarações para configurar o mapeamento de declarações ou Revisar + criar para adicionar seu provedor de identidade.

Observação

A Microsoft recomenda que você não use o fluxo de concessão implícita ou o fluxo ROPC. Portanto, a configuração do provedor de identidade externo OpenID connect não suporta esses fluxos. A maneira recomendada de suportar SPAs é o fluxo de código de autorização OAuth 2.0 (com PKCE), que é suportado pela configuração de federação OIDC.

Adicionar provedor de identidade OIDC a um fluxo de usuário

Neste ponto, o provedor de identidade OIDC foi configurado na sua Microsoft Entra ID, mas ainda não está disponível em nenhuma das páginas de início de sessão. Para adicionar o provedor de identidade OIDC a um fluxo de usuário:

  1. No seu arrendatário externo, navegue até Entra ID>Identidades Externas>Fluxos de usuário.

  2. Selecione o fluxo de usuário onde você deseja adicionar o provedor de identidade OIDC.

  3. Em Configurações, selecione Provedores de identidade.

  4. Em Outros provedores de identidade, selecione Provedor de identidade OIDC.

    Captura de ecrã do provedor OIDC personalizado na lista IdP.

  5. Selecione Salvar.

Conteúdo relacionado