Configurare le impostazioni del provider Open ID Connect per i portali

I provider di identità esterni OpenID Connect sono servizi conformi alle specifiche Open ID Connect. L'integrazione di un provider riguarda l'individuazione dell'URL autorità (o emittente) associato al provider. Un URL di configurazione può essere determinato dall'autorità che fornisce i metadati richiesti durante il flusso di lavoro di autenticazione. Le impostazioni del provider sono basate sulle proprietà della classe OpenIdConnectAuthenticationOptions.

Esempi di URL di autorità sono:

Ogni provider OpenID Connect implica anche la registrazione di un'applicazione (simile a quella di un provider OAuth 2.0) e l'ottenimento di un ID client. L'URL di autorità e l'ID del client applicazione generato sono le impostazioni richieste per abilitare l'autenticazione esterna tra il portale e il provider di identità.

Nota

L'endpoint Google OpenID Connect non è attualmente supportato poiché le librerie sottostanti sono ancora nelle fasi iniziali della versione con problemi di compatibilità da indirizzare. Può essere invece utilizzato l'endpoint Impostazioni del provider OAuth2 per i portali.

Impostazioni di OpenID per Azure Active Directory

Per iniziare, accedi al Portale di gestione Azure e crea o seleziona una directory esistente. Quando una directory è disponibile, segui le istruzioni per aggiungere un'applicazione alla directory.

  1. Nel menu Applicazioni della directory, seleziona Aggiungi.

  2. Seleziona Aggiungi un'applicazione che l'organizzazione sta sviluppando.

  3. Specifica un nome personalizzato per l'applicazione e scegli il tipo Applicazione Web e/o API Web.

  4. Per l'URL di accesso e l'URI ID dell'app specifica l'URL del portale per entrambi i campi https://portal.contoso.com/

  5. A questo punto, viene creata una nuova applicazione. Passa alla sezione Configura nel menu.

    Nella sezione Single Sign-On, modifica il primo inserimento URL di risposta per includere un percorso dell'URL: https://portal.contoso.com/signin-azure-ad. Questo valore corrispondente all'impostazione del sito RedirectUri

  6. Nella sezione proprietà, individuare il campo ID client. Questo valore corrispondente all'impostazione del sito ClientId

  7. Nel menu del piè di pagina seleziona Visualizza endpoint e nota il campo Documento con metadati di federazione.

La parte sinistra dell'URL è il valore Autorità ed è in uno dei formati seguenti:

Per ottenere l'URL di configurazione del servizio, sostituire la coda del percorso FederationMetadata/2007-06/FederationMetadata.xml con il percorso .well-known/openid-configuration. Ad esempio, https://login.microsoftonline.com/contoso.onmicrosoft.com/.well-known/openid-configuration

Questo valore corrisponde all'impostazione del sito MetadataAddress.

Applica le impostazioni del sito del portale che fanno riferimento all'applicazione su riportata.

Nota

Una configurazione Azure AD standard utilizza solo le seguenti impostazioni (con valori di esempio):

Più provider di identità possono essere configurati sostituendo il tag [provider] con un'etichetta. Ogni etichetta univoca forma un gruppo di impostazioni correlate a un provider di identità. Esempi: ADFS, AzureAD, MyIdP

Nome impostazione sito Descrizione
Authentication/Registration/ExternalLoginEnabled Abilita o disabilita l'accesso account esterno e la registrazione. Valore predefinito: true
Authentication/OpenIdConnect/[provider]/Authority Obbligatorio. L'autorità da utilizzare quando si eseguono chiamate OpenIdConnect. Esempio: https://login.microsoftonline.com/contoso.onmicrosoft.com/. Per ulteriori informazioni:OpenIdConnectAuthenticationOptions.Authority.
Authentication/OpenIdConnect/[provider]/MetadataAddress L'endpoint di individuazione per ottenere i metadati. Termina di solito con il percorso:/.well-known/openid-configuration. Esempio: https://login.microsoftonline.com/contoso.onmicrosoft.com/.well-known/openid-configuration. Per ulteriori informazioni:OpenIdConnectAuthenticationOptions.MetadataAddress.
Authentication/OpenIdConnect/[provider]/AuthenticationType Tipo del middleware di autenticazione OWIN. Specifica il valore dell'emittente nei metadati di configurazione dei servizi. Esempio: https://sts.windows.net/contoso.onmicrosoft.com/. Per ulteriori informazioni: AuthenticationOptions.AuthenticationType.
Authentication/OpenIdConnect/[provider]/ClientId Obbligatorio. Il valore ID del client dall'applicazione provider. È possibile farvi riferimento come un "ID App" o "Chiave consumer". Per ulteriori informazioni: OpenIdConnectAuthenticationOptions.ClientId.
Authentication/OpenIdConnect/[provider]/ClientSecret Il valore segreto del client dall'applicazione provider. È possibile farvi riferimento come un "Segreto App" o "Segreto consumer". Per ulteriori informazioni: OpenIdConnectAuthenticationOptions.ClientSecret.
Authentication/OpenIdConnect/[provider]/RedirectUri Requisiti consigliati. L'endpoint passivo WS-Federation AD FS. Esempio: https://portal.contoso.com/signin-saml2. Per ulteriori informazioni: OpenIdConnectAuthenticationOptions.RedirectUri.
Authentication/OpenIdConnect/[provider]/Caption Requisiti consigliati. Il testo che l'utente può visualizzare in un'interfaccia utente di accesso. Impostazione predefinita: [provider]. Per ulteriori informazioni: OpenIdConnectAuthenticationOptions.Caption.
Authentication/OpenIdConnect/[provider]/Resource "risorsa". Per ulteriori informazioni: OpenIdConnectAuthenticationOptions.Resource.
Authentication/OpenIdConnect/[provider]/ResponseType Il 'response_type'. Per ulteriori informazioni: OpenIdConnectAuthenticationOptions.ResponseType.
Authentication/OpenIdConnect/[provider]/Scope Un elenco di autorizzazioni delimitato da uno spazio da richiedere. Impostazione predefinita: openid. Per ulteriori informazioni: OpenIdConnectAuthenticationOptions.Scope .
Authentication/OpenIdConnect/[provider]/CallbackPath Un percorso vincolato facoltativo in cui elaborare il callback di autenticazione. Se non viene specificato e RedirectUri è disponibile, questo valore verrà generato da RedirectUri. Per ulteriori informazioni: OpenIdConnectAuthenticationOptions.CallbackPath.
Authentication/OpenIdConnect/[provider]/BackchannelTimeout Valore di timeout per le comunicazioni di canale posteriore. Esempio: 00:05:00 (5 minuti). Per ulteriori informazioni: OpenIdConnectAuthenticationOptions.BackchannelTimeout.
Authentication/OpenIdConnect/[provider]/RefreshOnIssuerKeyNotFound Determina se è necessario eseguire un aggiornamento dei metadati dopo un'eccezione SecurityTokenSignatureKeyNotFoundException. Per ulteriori informazioni: OpenIdConnectAuthenticationOptions.RefreshOnIssuerKeyNotFound.
Authentication/OpenIdConnect/[provider]/UseTokenLifetime Indica che la durata della sessione di autenticazione (ad esempio cookie) deve corrispondere a quella del token di autenticazione. Per ulteriori informazioni: OpenIdConnectAuthenticationOptions.UseTokenLifetime.
Authentication/OpenIdConnect/[provider]/AuthenticationMode Modalità del middleware di autenticazione OWIN. Per ulteriori informazioni: AuthenticationOptions.AuthenticationMode.
Authentication/OpenIdConnect/[provider]/SignInAsAuthenticationType AuthenticationType utilizzato per creare System.Security.Claims.ClaimsIdentity. Per ulteriori informazioni: OpenIdConnectAuthenticationOptions.SignInAsAuthenticationType.
Authentication/OpenIdConnect/[provider]/PostLogoutRedirectUri 'post_logout_redirect_uri'. Per ulteriori informazioni: OpenIdConnectAuthenticationOptions.PostLogoutRedirectUri.
Authentication/OpenIdConnect/[provider]/ValidAudiences Elenco di URL partecipanti separati da virgola. Per ulteriori informazioni: TokenValidationParameters.AllowedAudiences.
Authentication/OpenIdConnect/[provider]/ValidIssuers Elenco di URL emittenti separati da virgola. Per ulteriori informazioni: TokenValidationParameters.ValidIssuers.
Authentication/OpenIdConnect/[provider]/ClockSkew Lo sfasamento orario da applicare al momento della convalida.
Authentication/OpenIdConnect/[provider]/NameClaimType Tipo di attestazione utilizzato da ClaimsIdentity per archiviare l'attestazione del nome.
Authentication/OpenIdConnect/[provider]/RoleClaimType Tipo di attestazione utilizzato da ClaimsIdentity per archiviare l'attestazione del ruolo.
Authentication/OpenIdConnect/[provider]/RequireExpirationTime Un valore che indica se i token devono avere valore "scadenza".
Authentication/OpenIdConnect/[provider]/RequireSignedTokens Un valore che indica se System.IdentityModel.Tokens.SecurityToken xmlns=https://ddue.schemas.microsoft.com/authoring/2003/5 può essere valido se non firmato.
Authentication/OpenIdConnect/[provider]/SaveSigninToken Un valore booleano per determinare se il token originale viene salvato quando viene creata una sessione.
Authentication/OpenIdConnect/[provider]/ValidateActor Un valore che indica se System.IdentityModel.Tokens.JwtSecurityToken.Actor deve essere convalidato.
Authentication/OpenIdConnect/[provider]/ValidateAudience Un valore booleano per per determinare se i partecipanti saranno convalidati durante la convalida del token.
Authentication/OpenIdConnect/[provider]/ValidateIssuer Un Valore booleano per determinare se l'emittente verrà convalidato durante la convalida del token.
Authentication/OpenIdConnect/[provider]/ValidateLifetime Un valore booleano per determinare se la durata verrà convalidata durante la convalida del token.
Authentication/OpenIdConnect/[provider]/ValidateIssuerSigningKey Valore booleano che controlla se la convalida di System.IdentityModel.Tokens.SecurityKey che ha eseguito l'accesso a securityToken xmln=https://ddue.schemas.microsoft.com/authoring/2003/5 viene chiamata.

Abilitare l'autenticazione utilizzando un'applicazione multi-tenant di Azure Active Directory

Puoi configurare il portale perché accetti gli utenti Azure Active Directory di qualsiasi tenant in Azure e non solo un tenant specifico tramite l'applicazione multi-tenant registrata in Azure Active Directory. Per abilitare la multi-tenancy, imposta l'opzione Multi-tenant su nell'applicazione Azure Active Directory.

Abilitare multi-tenancy nell'applicazione Azure Active Directory

Più provider di identità possono essere configurati sostituendo il tag [provider] con un'etichetta. Ogni etichetta univoca forma un gruppo di impostazioni correlate a un provider di identità. Puoi creare o configurare le seguenti impostazioni del sito nei portali per supportare l'autenticazione rispetto a Azure Active Directory utilizzando un'applicazione multi-tenant:

Nome impostazione sito Descrizione
Authentication/OpenIdConnect/[provider]/Authority L'autorità da utilizzare quando si eseguono chiamate OpenIdConnect. Ad esempio: https://login.microsoftonline.com/common
Authentication/OpenIdConnect/[provider]/ClientId Il valore ID del client dall'applicazione provider. È possibile farvi riferimento come un ID App o Chiave consumer.
Authentication/OpenIdConnect/[provider]/ExternalLogoutEnabled Abilita o disabilita la disconnessione e la registrazione account esterno. Imposta il valore come True.
Authentication/OpenIdConnect/[provider]/IssuerFilter Filtro carattere jolly che corrisponde a tutti gli emittenti in tutti i tenant. Nella maggior parte dei casi utilizza il valore: https://sts.windows.net/*/
Authentication/OpenIdConnect/[provider]/RedirectUri Il percorso URL di risposta in cui il fornitore invia la risposta di autenticazione. Ad esempio: https://portal.contoso.com/signin-oidc
Authentication/OpenIdConnect/[provider]/ValidateIssuer Un Valore booleano per determinare se l'emittente verrà convalidato durante la convalida del token. Imposta il valore come False.

Vedi anche

Configurazione dell'autenticazione del portale
Impostazione dell'identità di autenticazione per un portale
Impostazioni del provider OAuth2 per i portali
Impostazioni del provider WS-Federation per i portali
Impostazioni del provider SAML 2.0 per i portali