Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo mostra como configurar o Serviço de Aplicativo do Azure ou o Azure Functions para usar um provedor de autenticação personalizado que adere à especificação OIDC (OpenID Connect). O OIDC é um padrão do setor que muitos provedores de identidade usam. Você não precisa entender os detalhes da especificação para usar um provedor de identidade OIDC para seu aplicativo.
Você pode configurar o aplicativo para usar um ou mais provedores de OIDC. Você deve dar a cada provedor OIDC um nome amigável exclusivo na configuração do aplicativo. Somente um provedor pode servir como o destino de redirecionamento padrão.
Registrar seu aplicativo com o provedor de identidade OIDC
Seu provedor exige que você registre seu aplicativo especificando um URI de redirecionamento no formulário <app-url>/.auth/login/<provider-name>/callback. No URI de redirecionamento, substitua <app-url> pela URL do aplicativo e <provider-name> pelo nome amigável que você está dando ao provedor OpenID no Azure.
Observação
O nome do provedor OpenID não pode conter um hífen -porque uma configuração de aplicativo do Serviço de Aplicativo é criada com base nesse nome e as configurações do aplicativo não dão suporte a hifens. Em vez disso, você pode usar um sublinhado _ .
Ao registrar seu aplicativo, você precisa coletar uma ID do cliente e um segredo do cliente para seu aplicativo. Anote esses valores a serem usados na configuração do aplicativo do Azure.
Observação
- O valor do segredo do cliente é uma credencial de segurança importante. Não compartilhe esse segredo com ninguém ou distribua-o em um aplicativo cliente.
- Seu aplicativo deve fornecer o segredo do cliente se você quiser que os usuários adquiram tokens de acesso usando o fluxo de código de autorização interativo. Se você não quiser adquirir tokens de acesso, não precisará usar um segredo.
Você também precisa dos metadados OIDC do provedor. Esses metadados geralmente são expostos em um documento de metadados de configuração que você pode obter no caminho formado acrescentando /.well-known/openid-configuration à URL do emissor do provedor.
Se você não conseguir acessar um documento de metadados de configuração, obtenha os seguintes valores separadamente:
- A URL do emissor, às vezes mostrada como
issuer. - O ponto de extremidade de autorização do OAuth 2.0, às vezes mostrado como
authorization_endpoint. - O ponto de extremidade do token OAuth 2.0, às vezes mostrado como
token_endpoint. - A URL do documento do conjunto de chaves Web JSON do OAuth 2.0 , às vezes mostrado como
jwks_uri.
Cada provedor de identidade deve fornecer instruções sobre como concluir as etapas de registro. Alguns provedores podem exigir etapas extras para sua configuração ou para usar os valores que eles fornecem. Por exemplo, a Apple fornece uma chave privada que você usa para criar um JWT (Token Web JSON), que você insere como o segredo na configuração do aplicativo. Para obter mais informações, consulte Criando um segredo do cliente.
Adicione informações do provedor ao seu aplicativo
Para configurar o provedor OpenID Connect no Azure, siga estas etapas:
Na página do portal do Azure para seu aplicativo, selecione Autenticação em Configurações no menu de navegação à esquerda.
Na página Autenticação , selecione Adicionar provedor de identidade ou selecione Adicionar provedor na seção Provedor de identidade .
Na página Adicionar um provedor de identidade , selecione OpenID Connect como provedor.
Para o nome do provedor OpenID, insira o nome amigável escolhido para seu provedor OIDC.
Na configuração do provedor do OpenID Connect, se você tiver um documento de metadados do provedor de identidade, selecione URL do Documento para entrada de Metadados.
Se você não tiver um documento de metadados, selecione Insira metadados e insira cada URL do provedor de identidade no campo apropriado.
Em Registro de aplicativo, forneça os valores coletados anteriormente para a ID do cliente e o segredo do cliente.
Se esse for o primeiro provedor de identidade para o aplicativo, a seção de configurações de autenticação do Serviço de Aplicativo será exibida com configurações como como seu aplicativo responde a solicitações não autenticadas. As seleções padrão redirecionam todas as solicitações para entrar com o novo provedor.
Se você já configurou um provedor de identidade para o aplicativo, esta seção não será exibida. Você pode personalizar as configurações posteriormente, se necessário.
Selecione Adicionar para concluir a configuração do provedor de identidade.
Na página Autenticação , <oidc_friendly_name>(provedor personalizado) agora aparece na seção Provedor de identidade . Você pode editar as configurações do provedor selecionando seu ícone de lápis em Editar.
A seção Configurações de Autenticação mostra configurações como como o aplicativo responde a solicitações não autenticadas. Você pode editar essas configurações selecionando Editar ao lado das configurações de Autenticação. Para saber mais sobre as opções, consulte o fluxo de autenticação.
O segredo do aplicativo é armazenado como uma configuração de aplicativo com slot autoadesiva chamada <oidc_friendly_name>_AUTHENTICATION_SECRET. Você pode ver a configuração na guia Configurações do Aplicativo da página de variáveis de Ambiente do aplicativo no portal. Se você quiser gerenciar o segredo no Azure Key Vault, poderá editar a configuração para usar referências do Key Vault.
Observação
Para adicionar escopos, defina as permissões que seu aplicativo tem no portal de registro do provedor. O aplicativo pode solicitar escopos que usam essas permissões no momento da entrada.
- O Azure requer
openid,profileeemailescopos. Configure o registro do aplicativo no provedor de identidade com pelo menos esses escopos. - O
audescopo deve ser o mesmo que a ID do Cliente configurada. Você não pode configurar as audiências permitidas para esse provedor.