Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se muestra cómo configurar Azure App Service o Azure Functions para usar un proveedor de autenticación personalizado que cumpla la especificación openID Connect (OIDC). OIDC es un estándar del sector que usan muchos proveedores de identidades (IDP). No es necesario comprender los detalles de la especificación para que la aplicación use un proveedor de identidades OIDC.
Puede configurar la aplicación para que use uno o varios proveedores de OIDC. Cada proveedor debe tener un nombre alfanumérico único en la configuración. Solo un proveedor puede actuar como destino de redirección predeterminado.
Registra tu aplicación con el proveedor de identidades
Su proveedor le exige que registre los datos de su aplicación con él. Uno de estos pasos implica especificar un URI de redirección que tenga el formulario <app-url>/.auth/login/<provider-name>/callback. Cada proveedor de identidades debe proporcionar más instrucciones sobre cómo completar los pasos. El <provider-name> valor hace referencia al nombre descriptivo que se asigna al nombre del proveedor de OpenID en Azure.
Nota
Algunos proveedores pueden requerir pasos adicionales para su configuración y para usar los valores que proporcionan. Por ejemplo, Apple proporciona una clave privada que no se usa como secreto de cliente de OIDC. Se usa para crear un token web JSON (JWT). El token web se usa como secreto que se proporciona en la configuración de la aplicación. Para obtener más información, consulte Creación de un secreto de cliente.
Debe recopilar un identificador de cliente y un secreto de cliente para la aplicación. El secreto de cliente es una credencial de seguridad importante, No comparta este secreto con nadie ni distribúyalo en una aplicación cliente.
Nota
Solo tiene que proporcionar un secreto de cliente a la configuración si desea adquirir tokens de acceso para el usuario a través del flujo de inicio de sesión interactivo mediante el flujo de código de autorización. Si este no es el caso, no es necesario recopilar un secreto.
También necesita los metadatos de OIDC para el proveedor. Estos metadatos a menudo se exponen en un documento de metadatos de configuración, que es la dirección URL del emisor del proveedor con el sufijo /.well-known/openid-configuration. Obtenga esta dirección URL de configuración.
Si no puede usar un documento de metadatos de configuración, obtenga los siguientes valores por separado:
- La URL del emisor (a veces se muestra como
issuer) - El punto de conexión de autorización de OAuth 2.0 (a veces se muestra como
authorization_endpoint) - El punto de conexión del token de OAuth 2.0 (a veces se muestra como
token_endpoint) - Dirección URL del documento de conjunto de claves web JSON de OAuth 2.0 (a veces se muestra como
jwks_uri)
Adición de información de un proveedor a su aplicación
Para agregar información de proveedor para el proveedor de OpenID Connect, siga estos pasos.
Inicie sesión en Azure Portal y vaya a la aplicación.
En el menú de la izquierda, seleccione Configuración>autenticación. Seleccione Agregar proveedor de identidades.
En Proveedor de identidades, seleccione OpenID Connect.
En Nombre de proveedor de OpenID, proporcione el nombre alfanumérico único que seleccionó anteriormente.
Si tiene la dirección URL del documento de metadatos del proveedor de identidades, proporcione ese valor para dirección URL de metadatos.
De lo contrario, seleccione Proporcionar puntos de conexión por separado. Coloque cada dirección URL del proveedor de identidades en el campo adecuado.
Proporcione los valores que recopiló anteriormente para id. de cliente. Si también se recopiló el secreto de cliente , proporciónelo como parte del proceso de configuración.
Especifique un nombre de configuración de aplicación para el secreto de cliente. El secreto de cliente se almacena como una configuración de aplicación para asegurarse de que los secretos se almacenan de forma segura. Si quiere administrar el secreto en Azure Key Vault, actualice esa configuración más adelante para usar las referencias de Azure Key Vault.
Seleccione Agregar para finalizar la configuración del proveedor de identidades.
Nota
El nombre del proveedor de OpenID no puede contener un guión (-) porque se crea una configuración de aplicación basada en este nombre. La configuración de la aplicación no admite guiones. En su lugar, use un carácter de subrayado (_).
También requiere que el aud ámbito del token sea el mismo que el Client ID según se configuró arriba. Actualmente no es posible configurar las audiencias permitidas para este proveedor en este momento.
Azure requiere ámbitos openid, profile, y email. Asegúrese de configurar el registro de la aplicación en el proveedor de identificadores con al menos estos ámbitos.