Configurar un proveedor OpenID Connect con Microsoft Entra ID

Microsoft Entra es uno de los proveedores de identidad OpenID Connect que puede utilizar para autenticar a los visitantes en su sitio de Power Pages. Junto con Microsoft Entra ID, Microsoft Entra ID multicliente y Microsoft Entra ID externo, puede usar cualquier otro proveedor que se ajuste a la especificación Open ID Connect.

Este artículo describe los pasos siguientes:

• Configurar Microsoft Entra en Power Pages
• Crear un registro de aplicación en Azure
• Introduzca la configuración del sitio en Power Pages
• Permitir autenticación multitenant de Microsoft Entra

Configurar Microsoft Entra en Power Pages

Establezca Microsoft Entra como proveedor de identidad para el sitio.

1. En el sitio de Power Pages, seleccione Seguridad>Proveedores de identidades.

   Si no aparecen proveedores de identidades, asegúrese de que Inicio de sesión externo está establecido en Activado en la configuración general de autenticación de su sitio.

2. Seleccione + Nuevo proveedor.

3. En Seleccionar proveedor de inicio de sesión seleccione Otro.

4. En Protocolo seleccione OpenID Connect.

5. Introduzca un nombre para el proveedor, por ejemplo, Microsoft Entra ID.

   El nombre del proveedor es el texto en el botón que los usuarios ven cuando seleccionan su proveedor de identidad en la página de inicio de sesión.

6. Seleccione Siguiente.

7. En URL de respuesta, seleccione Copiar.

   No cierre la pestaña del navegador de Power Pages. Volverá a ella pronto.

Crear un registro de aplicación en Azure

Cree un registro de aplicación en Azure Portal con la URL de respuesta de su sitio como URI de redireccionamiento.

1. Inicie sesión en Azure Portal.

2. Busque y seleccione Azure Active Directory.

3. En Administrar, seleccione Registros de aplicaciones.

4. Seleccione Nuevo registro.

5. Escriba un nombre.

6. Seleccione uno de los Tipos de cuenta admitidos que mejor refleje los requisitos de su organización.

7. En URI de redirección, seleccione Web como plataforma y luego ingrese la URL de respuesta de su sitio.

   • Si está utilizando la URL predeterminada de su sitio, pegue la URL de respuesta que copió.
   • Si está usando un nombre de dominio personalizado, introduzca la URL personalizada. Asegúrese de utilizar la misma URL personalizada para la URL de redirección en la configuración del proveedor de identidad de su sitio.

8. Seleccione Registrar.

9. Copie el identificador de aplicación (cliente).

10. A la derecha de Credenciales del cliente, seleccione Agregar un certificado o secreto.

11. Seleccione + Nuevo secreto de cliente.

12. Escriba una descripción opcional, seleccione una expiración y seleccione Agregar.

13. En Id. de secreto, seleccione el icono Copiar al portapapeles.

14. En la parte superior de la página, seleccione Descripción general y, a continuación, Puntos de conexión.

15. Busque la URL del documento de metadatos de OpenID Connect y seleccione el icono de copia.

16. En el panel de la izquierda, en Administrar, seleccione Autenticación.

17. Bajo Concesión implícita, seleccione Tokens de identificación (utilizados para flujos implícitos e híbridos).

18. Haga clic en Guardar.

Introduzca la configuración del sitio en Power Pages

Vuelva a la página Power Pages Configurar proveedor de identidad que dejó anteriormente e ingrese los siguientes valores. Opcionalmente, cambie la configuración adicional según sea necesario. seleccione Confirmar cuando acabe.

• Autoridad: Ingrese la URL de la autoridad en el siguiente formato: https://login.microsoftonline.com/<Directory (tenant) ID>/, donde <Identificador de directorio (inquilino)> es el identificador de directorio (inquilino) de la aplicación que creó. Por ejemplo, si el Id. de directorio (inquilino) en el portal de Azure es aaaabbbb-0000-cccc-1111-dddd2222eeee, la URL de autoridad es https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/​.

• Id. de cliente: pegue el ID de aplicación o cliente de la aplicación que creó.

• Redirigir URL: si su sitio usa un nombre de dominio personalizado, ingrese la URL personalizada; de lo contrario, deje el valor predeterminado. Asegúrese de que el valor sea exactamente el mismo que el URI de redireccionamiento de la aplicación que creó.

• Dirección de metadatos: pegue la URL del documento de metadatos de OpenID Connect que copió.

• Ámbito: introduzca openid email.

  El valor de openid es obligatorio. El valor de email es opcional; asegura que la dirección de correo electrónico del usuario se complete automáticamente y se muestre en la página de perfil después de que el usuario inicie sesión. Más información sobre otros reclamos que puede agregar.

• Tipo de respuesta: seleccione code id_token.

• Secreto de cliente: pegue el secreto de cliente de la aplicación que creó. Esta configuración es necesaria si el tipo de respuesta es code.

• Modo de respuesta: Seleccione form_post.

• Cierre de sesión externo: esta configuración controla si su sitio utiliza el cierre de sesión federado. Con el cierre de sesión federado, cuando los usuarios cierran sesión en una aplicación o sitio, también cierran sesión en todas las aplicaciones y sitios que usan el mismo proveedor de identidad. Actívelo para redirigir a los usuarios a la experiencia de cierre de sesión federado al cerrar sesión en su sitio web. Desactívelo para cerrar las sesiones de los usuarios en su sitio web únicamente.

• URL de redirección después del cierre de sesión: introduzca la URL donde el proveedor de identidades redirigirá a los usuarios tras un cierre de sesión. Esta ubicación también se debe establecer correctamente en la configuración del proveedor de identidades.

• Cierre de sesión iniciado por RP: esta configuración controla si la parte de confianza (la aplicación cliente de OpenID Connect) puede cerrar la sesión de los usuarios. Para usar esta configuración, active cierre de sesión externo.

Configuración adicional en Power Pages

La configuración adicional le brinda un control más preciso sobre cómo los usuarios se autentican con su proveedor de identidad Microsoft Entra. No necesita establecer cualquiera de estos valores. Son completamente opcionales.

• Filtro de emisor: introduzca un filtro basado en comodines que busca todos los emisores en todos los inquilinos, por ejemplo, https://sts.windows.net/*/.

• Validar audiencia: active esta configuración para validar audiencia durante la validación del token.

• Audiencias válidas: introduzca una lista de direcciones URL separadas por comas.

• Validar emisores: active esta configuración para validar el emisor durante la validación del token.

• Emisores válidos: Introduzca una lista de direcciones URL de emisores separadas por comas.

• Asignación de reclamaciones de registro​ y Asignación de reclamaciones de inicio de sesión: en la autenticación de usuario, una reclamación es información que describe la identidad de un usuario, como una dirección de correo electrónico o fecha de nacimiento. Cuando inicia sesión en una aplicación o un sitio web, se crea un token. Un token contiene información sobre su identidad, incluidos los reclamos asociados con él. Los tokens se utilizan para autenticar su identidad cuando accede a otras partes de la aplicación o sitio u otras aplicaciones y sitios que están conectados al mismo proveedor de identidad. El mapeo de declaraciones es una manera de cambiar la información incluida en un token. Se puede usar para personalizar la información que está disponible para la aplicación o el sitio y para controlar el acceso a funciones o datos. La asignación de reclamaciones de registro modifica las reclamaciones que se emiten cuando se inscribe en una aplicación o un sitio. Asignación de notificaciones de inicio de sesión modifica las notificaciones que se emiten cuando inicia sesión para una aplicación o un sitio. Más información sobre las políticas de asignación de reclamaciones.

• Duración de nonce: escriba la duración del valor nonce como un intervalo de tiempo (por ejemplo, "00:15:00"). El valor predeterminado se define mediante el validador de protocolo OpenID Connect del marco de .NET.

• Usar la duración del token: Este ajuste controla si la duración de la sesión de autenticación, como las cookies, coincida con la del token de autenticación. Si se activa, este valor anulará el valor de Periodo de vencimiento de la cookie de aplicación en la configuración del sitio Autenticación/Cookie de aplicación/Periodo de vencimiento.

• Asignación de contacto con correo electrónico: especifica si los contactos están asignados a un correo electrónico correspondiente cuando inician sesión.

  • Activado: Se asocia un registro de contacto único con una dirección de correo electrónico coincidente y se asigna automáticamente el proveedor de identidad externo al contacto después de que el usuario inicia sesión correctamente.
  • Desactivado

Preparar notificaciones adicionales

1. Habilite declaraciones opcionales en Microsoft Entra ID.

2. Establezca Ámbito, para incluir las reclamaciones adicionales, por ejemplo openid email profile.

3. Establezca la opción Asignación de notificaciones de registro adicional del sitio, por ejemplo firstname=given_name,lastname=family_name.

4. Establezca la opción Asignación de notificaciones de inicio de sesión adicional del sitio, por ejemplo firstname=given_name,lastname=family_name.

En estos ejemplos, el nombre de pila, el apellido y las direcciones de correo electrónico proporcionadas con las notificaciones adicionales se convertirán en los valores predeterminados en la página de perfil en el sitio web.

Permitir la autenticación de Microsoft Entra de varios inquilinos

Para permitir que los usuarios de Microsoft Entra se autentiquen desde cualquier inquilino en Azure, no solo desde un inquilino específico, cambie el registro de Microsoft Entra de la aplicación a multiinquilino.

También debe configurar el filtro de emisor en la configuración adicional de su proveedor.

Consulte también

Preguntas frecuentes sobre OpenID Connect