Falando de configuração do Microsoft Entra ID como Provedor no TOTVS Identity...

Essa documentação reúne os passos para a configuração do Microsoft Entra ID como provedor no Identity, que consiste na criação do aplicativo no Microsoft Entra ID, preenchimento dos campos para cadastro do provedor no Identity e então a configuração da autenticação do aplicativo novamente no Microsoft Entra ID.

Criação do aplicativo no Microsoft Entra ID

Dentro do Microsoft Entra ID, acesse a opção de Aplicativos Empresariais, crie um novo aplicativo que não está na galeria, adicione o Nome para identificar que é o TOTVS Identity e clique em Criar.

Depois selecione quem poderá usar a aplicação, isso fica a critério do administrador, clique em Registrar:

Será exibida a mensagem de aplicativo criado:

Depois disto, abra o aplicativo criado e copie o valor de ID do aplicativo:

Configuração do provedor no TOTVS Identity

No TOTVS Identity, acesse o menu Segurança > Cadastro de provedor, clique em Cadastrar novo provedor e selecione a opção Generic:

Preencha o nome do provedor com o nome desejado, lembre-se que isso será exibido na tela de login, por exemplo, se você colocar o nome ‘Azure’, será exibido um botão ‘Logar com Azure’ na tela de login. Avance a configuração e no campo Identificador do aplicativo no Provedor, preencha com o valor de ID do aplicativo que foi criado no Microsoft:

No Microsoft, clique em Credenciais de cliente para cadastrar um ClientSecret:

Em seguida clique em Novo segredo do cliente:

Preencha com a descrição que desejar e selecione a expiração, o máximo possível é 24 meses. Lembre-se de que será necessário trocar a chave na configuração do Identity quando a mesma expirar. Clique em Adicionar e copie o valor do secret gerado, importante que ao sair dessa tela e voltar, a informação do valor não será mais exibida em tela.

Cole o valor do secret no campo Senha do Aplicativo no Provedor na configuração do Identity e preencha o campo de Escopos conforme orientado pelo seu provedor. Os escopos mais comuns são: openid, profile e email. Marque o parâmetro Auto Cadastro para que os usuários sejam criados no momento em que tentarem o login a partir do Microsoft.

Na tela seguinte, selecione o Tipo de protocolo OIDC e o GrantType Authorize e clique em Avançar:

Volte ao aplicativo criado no Microsoft Entra ID e clique em Pontos de extremidade:

Copie o valor do campo Ponto de extremidade de autorização OAuth 2.0 (v2) e cole no campo Auth URL:

Faça o mesmo com o parâmetro Ponto de extremidade de token OAuth 2.0 (v2) e cole no campo Token URI do Identity.

Em seguida, no Microsoft, copie a URL do campo Documento de metadados do OpenID Connect e abra a URL em uma nova aba do navegador, copie o valor do parâmetro jwks_uri e cole no campo JWKS do Identity:

Clique em Avançar na configuração do Identity e no bloco de Informações de busca de autenticação preencha o campo Parâmetro do provedor que contém o ID Token ou o Access Token com o valor ‘id_token’, esse valor pode mudar dependendo do provedor:

Desça a tela até o campo Variável com nome completo do usuário e preencha com ‘name’, em seguida marque o campo Identificador de nome completo:

Nessa mesma tela, preencha o campo E-mail do usuário com o valor ‘preferred_username’ e marque o parâmetro Code deve ser enviado por Form Param, em seguida clique em Avançar.

Volte ao metadado do aplicativo do Microsoft Entra ID e copie o valor do campo issuer:

Cole esse valor no campo Emissor do token padrão da configuração no Identity, substituindo o valor {tenantid} pelo ID da sua organização no Microsoft Entra ID. Caso tenha dificuldade em encontrar essa informação, utilize a documentação da própria Microsoft (em inglês).

Por fim, preencha o campo Receptor do token padrão com o Audience do provedor, neste caso é o ID da aplicação do Microsoft Entra ID e clique em Salvar:

Na tela de provedores cadastrados, clique em Copiar URL no provedor que foi cadastrado:

Configuração da autenticação no Microsoft Entra ID

Volte a aplicação no Microsoft Entra ID e clique em URIs de Redirecionamento:

Em seguida Adicione uma plataforma WEB e Adicione a URL do Identity como URL de Redirecionamento, em seguida Salve as alterações:

Após isto, é necessário vincular os usuários dentro do Microsoft a este novo aplicativo TOTVS Identity, para que eles possam efetivamente fazer a autenticação no Identity.