Configurar un proveedor de OpenID Connect

Los proveedores de identidad OpenID Connect son servicios que se ajustan a la especificación de Open ID Connect. OpenID Connect presenta el concepto de un token de ID. Un token de identificación es un token de seguridad que permite a un cliente verificar la identidad de un usuario. También obtiene información de perfil básica sobre el usuario, comúnmente conocida como notificaciones.

Los proveedores de OpenID Connect Id. externa de Microsoft Entra, Microsoft Entra ID y Microsoft Entra ID con varios inquilinos están integrados en Power Pages. Este artículo explica cómo agregar otros proveedores de identidad de OpenID Connect a su sitio Power Pages.

Flujos de autenticación admitidos y no admitidos en Power Pages

  • Concesión implícita
    • Este flujo es el método de autenticación predeterminado que utilizan los sitios de Power Pages.
  • Código de autorización
    • Power Pages usa el método client_secret_post para comunicarse con el punto de conexión del token del servidor de identidad.
    • El método private_key_jwt para autenticarse con el punto de conexión del token no es compatible.
  • Híbrido (compatibilidad restringida)
    • Power Pages requiere que id_token esté presente en la respuesta, por lo que tener el valor response_type = como token de código no es compatible.
    • El flujo híbrido en Power Pages sigue el mismo flujo que la concesión implícita y utiliza id_token para iniciar sesión directamente para los usuarios.
  • Clave de prueba para intercambio de código (PKCE)
    • No se admiten técnicas basadas en PKCE para autenticar a los usuarios.

Nota:

Cambios en la configuración de autenticación de su sitio podría tardar unos minutos para reflejarse en el sitio. Para ver los cambios de inmediato, reinicie su sitio en el centro de administración.

Configurar el proveedor de OpenID Connect en Power Pages

  1. En el sitio de Power Pages, seleccione Seguridad>Proveedores de identidades.

    Si no aparece ningún proveedor de identidad, asegúrese de que el inicio de sesión externo esté activado en la configuración de autenticación general de su sitio.

  2. Seleccione + Nuevo proveedor.

  3. En Seleccionar proveedor de inicio de sesión seleccione Otro.

  4. En Protocolo seleccione OpenID Connect.

  5. Introduzca un nombre para el proveedor.

    El nombre del proveedor es el texto del botón que los usuarios ven al seleccionar su proveedor de identidad en la página de inicio de sesión.

  6. Seleccione Siguiente.

  7. En URL de respuesta, seleccione Copiar.

    No cierre la pestaña del navegador de Power Pages. Volverá a ella pronto.

Crear un registro de aplicación en el proveedor de identidad

  1. Cree y registre una aplicación con su proveedor de identidad utilizando la URL de respuesta que copió.

  2. Copie el id. de la aplicación o del cliente y el valor de secreto de cliente.

  3. Busque los puntos de conexión de la aplicación y copie la URL del documento de metadatos de OpenID Connect.

  4. Cambie otras configuraciones según sea necesario para su proveedor de identidad.

Introduzca la configuración del sitio en Power Pages

Vuelva a la página Power Pages Configurar proveedor de identidad que dejó anteriormente e ingrese los siguientes valores. Opcionalmente, cambie la configuración adicional según sea necesario. seleccione Confirmar cuando acabe.

  • Autoridad: Ingrese la URL de la autoridad en el siguiente formato: https://login.microsoftonline.com/<Directory (tenant) ID>/, donde <Identificador de directorio (inquilino)> es el identificador de directorio (inquilino) de la aplicación que creó. Por ejemplo, si el Id. de directorio (inquilino) en el portal de Azure es aaaabbbb-0000-cccc-1111-dddd2222eeee, la URL de autoridad es https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

  • Id. de cliente: pegue el ID de aplicación o cliente de la aplicación que creó.

  • Redirigir URL: si su sitio usa un nombre de dominio personalizado, ingrese la URL personalizada; de lo contrario, deje el valor predeterminado. Asegúrese de que el valor sea exactamente el mismo que el URI de redireccionamiento de la aplicación que creó.

  • Dirección de metadatos: pegue la URL del documento de metadatos de OpenID Connect que copió.

  • Ámbito: escriba una lista de ámbitos separados por espacios o separados por comas para solicitar mediante el parámetro OpenID Connect scope . El valor predeterminado es openid.

    El valor de openid es obligatorio. Más información sobre otros reclamos que puede agregar.

  • Tipo de respuesta: introduzca el valor del parámetro response_type de OpenID Connect. Valores posibles: code, code id_token, id_token, id_token token y code id_token token. El valor predeterminado es code id_token.

  • Secreto de cliente: pegue el secreto de cliente de la aplicación del proveedor. También puede denominarse secreto de la aplicación o secreto de consumidor. Esta configuración es necesaria si el tipo de respuesta es code.

  • Modo de respuesta: introduzca el valor del parámetro response_mode de OpenID Connect. Debe ser query si el tipo de respuesta es code. El valor predeterminado es form_post.

  • Cierre de sesión externo: esta configuración controla si su sitio utiliza el cierre de sesión federado. Con el cierre de sesión federado, cuando los usuarios cierran sesión en una aplicación o sitio, también cierran sesión en todas las aplicaciones y sitios que usan el mismo proveedor de identidad. Actívelo para redirigir a los usuarios a la experiencia de cierre de sesión federado al cerrar sesión en su sitio web. Desactívelo para cerrar las sesiones de los usuarios en su sitio web únicamente.

  • URL de redirección después del cierre de sesión: introduzca la URL donde el proveedor de identidades redirigirá a los usuarios tras un cierre de sesión. Esta ubicación también se debe establecer correctamente en la configuración del proveedor de identidades.

  • Cierre de sesión iniciado por RP: esta configuración controla si la parte de confianza (la aplicación cliente de OpenID Connect) puede cerrar la sesión de los usuarios. Para usar esta configuración, active cierre de sesión externo.

Configuración adicional en Power Pages

La configuración adicional le brinda un control más preciso sobre cómo los usuarios se autentican con su proveedor de identidad OpenID Connect. No necesita establecer cualquiera de estos valores. Son completamente opcionales.

  • Filtro de emisor: introduzca un filtro basado en comodines que busca todos los emisores en todos los inquilinos, por ejemplo, https://sts.windows.net/*/. Si está utilizando un proveedor de autenticación de Microsoft Entra ID, el filtro de URL de emisor sería https://login.microsoftonline.com/*/v2.0/.

  • Validar audiencia: active esta configuración para validar audiencia durante la validación del token.

  • Audiencias válidas: introduzca una lista de direcciones URL separadas por comas.

  • Validar emisores: active esta configuración para validar el emisor durante la validación del token.

  • Emisores válidos: Introduzca una lista de direcciones URL de emisores separadas por comas.

  • Asignación de reclamaciones de registro​ y Asignación de reclamaciones de inicio de sesión: en la autenticación de usuario, una reclamación es información que describe la identidad de un usuario, como una dirección de correo electrónico o fecha de nacimiento. Cuando inicia sesión en una aplicación o un sitio web, se crea un token. Un token contiene información sobre su identidad, incluidos los reclamos asociados con él. Los tokens se utilizan para autenticar su identidad cuando accede a otras partes de la aplicación o sitio u otras aplicaciones y sitios que están conectados al mismo proveedor de identidad. Asignación de notificaciones es una forma de cambiar la información que se incluye en un token. Se puede usar para personalizar la información que está disponible para la aplicación o el sitio y para controlar el acceso a funciones o datos. La asignación de reclamaciones de registro modifica las reclamaciones que se emiten cuando se inscribe en una aplicación o un sitio. Asignación de notificaciones de inicio de sesión modifica las notificaciones que se emiten cuando inicia sesión para una aplicación o un sitio. Más información sobre las políticas de asignación de reclamaciones.

    La información del usuario se pueden proporcionar de dos maneras:

    • Declaraciones de ID Token: los atributos básicos del usuario, como el nombre o el correo electrónico, están en el token.
    • Punto de conexión UserInfo: una API segura que devuelve información detallada del usuario después de la autenticación.

    Para usar el punto de conexión UserInfo, cree una configuración del sitio denominada Authentication/OpenIdConnect/{ProviderName}/UseUserInfoEndpointforClaims y establezca el valor en verdadero.

    También puede crear una configuración del sitio denominada Authentication/OpenIdConnect/{ProviderName}/UserInfoEndpoint y establecer el valor en la dirección URL de punto de conexión UserInfo. Si no proporciona esta configuración, Power Pages intenta encontrar el punto de conexión a partir de los metadatos de OIDC.

    Control de errores:

    • Si la URL del punto de conexión no está establecida y Power Pages no la encuentra en los metadatos, el inicio de sesión continúa y registra una advertencia.
    • Si la URL está establecida, pero no es accesible, el inicio de sesión continúa con una advertencia.
    • Si el punto de conexión devuelve un error de autenticación (como 401 o 403), el inicio de sesión continúa con una advertencia que incluye el mensaje de error.

    Sintaxis de asignación:

    Para usar declaraciones UserInfo en asignaciones de declaraciones de inicio de sesión o registro, use este formato:

    fieldName = userinfo.claimName

    Si UseUserInfoEndpointforClaims no está habilitado, se omiten las asignaciones que usan el prefijo userinfo..

  • Tiempo de vida de Nonce: introduzca el tiempo de vida del valor de Nonce, en minutos. El valor predeterminado es 10 minutos.

  • Usar la duración del token: Este ajuste controla si la duración de la sesión de autenticación, como las cookies, coincida con la del token de autenticación. Si se activa, este valor anulará el valor de Periodo de vencimiento de la cookie de aplicación en la configuración del sitio Autenticación/Cookie de aplicación/Periodo de vencimiento.

  • Asignación de contacto con correo electrónico: especifica si los contactos están asignados a un correo electrónico correspondiente cuando inician sesión.

    • Activado: Se asocia un registro de contacto único con una dirección de correo electrónico coincidente y se asigna automáticamente el proveedor de identidad externo al contacto después de que el usuario inicia sesión correctamente.
    • Desactivado

Nota:

El parámetro de solicitud UI_Locales ahora se envia automáticamente en la solicitud de autenticación y se establece en el idioma seleccionado en el portal.

Otros parámetros de autorización

Utilice los siguientes parámetros de autorización, pero no los establezca dentro del proveedor OpenID Connect en Power Pages:

  • acr_values: el parámetro acr_values permite a los proveedores de identidades aplicar niveles de garantía de seguridad como la autenticación multifactor (MFA). Permite que la aplicación indique el nivel de autenticación requerido.

    Para usar el parámetro acr_values, cree una configuración del sitio denominada Authentication/OpenIdConnect/{ProviderName}/AcrValues y establezca el valor que necesita. Cuando establece este valor, Power Pages incluye el parámetro acr_values en la solicitud de autorización.

  • Parámetros de autorización dinámicos: los parámetros dinámicos le permiten adaptar la solicitud de autorización a diferentes contextos de uso, como aplicaciones integradas o escenarios de varios inquilinos.

    • Parámetro de solicitud:

      Este parámetro controla si aparece la página de inicio de sesión o la pantalla de consentimiento. Puede configurarlo de dos maneras:

      1. Configuración de sitio (estática): cree una configuración de sitio denominada Authentication/OpenIdConnect/{ProviderName}/Prompt y establezca el valor en uno de los valores admitidos que se enumeran a continuación. Este valor se aplica a todas las solicitudes de autenticación del proveedor y tiene prioridad sobre el parámetro dinámico.
      2. Dinámico (por solicitud): agregue una personalización para enviarlo como parámetro de cadena de consulta al punto de conexión de inicio de sesión externo.

      Valores admitidos:

      • none
      • iniciar sesión
      • consentimiento
      • seleccionar cuenta

      Formato de URL.

      {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&prompt={value}

      Power Pages envía este valor al proveedor de identidades en el parámetro de solicitud.

    • Parámetro de sugerencia de inicio de sesión:

      Este parámetro le permite pasar un identificador de usuario conocido, como un correo electrónico, para rellenar previamente u omitir las pantallas de inicio de sesión. Para usarlo, agregue una personalización para enviarlo como un parámetro de cadena de consulta al punto de conexión ExternalLogin.

      Formato de URL.

      {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&login_hint={value}

      Esto ayuda cuando los usuarios ya han iniciado sesión con otra identidad, como Microsoft Entra ID o una cuenta Microsoft (MSA), en la misma sesión.

  • Parámetros de autorización personalizados: algunos proveedores de identidades admiten parámetros propietarios para un comportamiento de autorización específico. Power Pages permite que los creadores configuren y pasen estos parámetros de forma segura. Para usar estos parámetros, agregue una personalización para enviarlos como parámetros de cadena de consulta al punto de conexión ExternalLogin.

    Cree una configuración de sitio llamada Authentication/OpenIdConnect/{Provider}/AllowedDynamicAuthorizationParameters y establezca el valor en una lista separada por comas de nombres de parámetros, como param1,param2,param3.

    Formato de URL de ejemplo:

    {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&param1=value&param2=value&param3=value

    Si alguno de los parámetros (param1, param2 o param3) no está en la lista de parámetros permitidos, Power Pages lo ignora.

    Esta configuración define una lista de parámetros personalizados que se pueden enviar en la solicitud de autorización.

    Comportamiento

    • Pasar parámetros en la cadena de consulta del punto de conexión ExternalLogin.
    • Power Pages incluye solo los parámetros de la lista en la solicitud de autorización.
    • Los parámetros predeterminados, como solicitud, login_hint y ReturnUrl, siempre están permitidos y no es necesario que aparezcan en la lista.

    Formato de URL de ejemplo:

    {PortalUrl}/Account/Login/ExternalLogin?ReturnUrl=%2F&provider={ProviderName}&custom_param=value

    Si custom_param no está en la lista de parámetros permitidos, Power Pages lo ignora.

Consulte también

Configuración del identificador externo de Microsoft Entra con Power Pages
Configurar un proveedor OpenID Connect con Microsoft Entra ID
Preguntas frecuentes sobre OpenID Connect

  • Last updated on