Configuración de los Servicios de Federación de Active Directory Mediante WS-Federation
App Builder puede integrarse con Active Directory Federation Services (AD FS) mediante el protocolo WS-Federation Passive. El protocolo WS-Federation Passive define los siguientes roles operativos:
Actor | Papel |
---|---|
App Builder | Parte que confía |
AD FS | Proveedor de identidad (IdP) / Servicio de token de seguridad (STS) |
Usuario | Solicitante pasivo |
La configuración implica los siguientes procedimientos:
- Crear an App Builder proveedor de seguridad para AD FS
- Cree una relación de confianza entre usuarios de confianza de AD FS para App Builder
Requisitos
Para continuar, necesitará lo siguiente:
- Acceso de administrador a AD FS.
- Acceso de administrador a App Builder.
- App Builder será necesario conectarse a AD FS a través de HTTPS para recuperar el documento de metadatos. AD FS debe usar un certificado TLS con una raíz de confianza: App Builder no se podrá recuperar el documento de metadatos si el certificado no es confiable o no es válido.
- App Builder deberá estar disponible a través de HTTPS. El proveedor de seguridad Requerir HTTPS debe estar habilitado (o se deben tomar otras medidas para garantizar que App Builder solo se puede acceder a través de HTTPS).
- Las máquinas cliente deberán configurarse para confiar en AD FS. De lo contrario, AD FS solicitará al usuario que inicie sesión.
Las instrucciones a continuación harán referencia a las siguientes propiedades:
Ejemplo | Notas | |
---|---|---|
App Builder URL | https://example.com/App Builder/ | App Builder Debe ser accesible a través de HTTPS. La URL debe incluir la barra diagonal final. La ruta distingue entre mayúsculas y minúsculas.TABLEROWEND |
Nombre del proveedor | ExampleADFS | Cada uno App Builder se le asigna un nombre lógico al proveedor de seguridad. Dado que el nombre del proveedor aparecerá en la URL del protocolo pasivo (ver a continuación), evite espacios, puntuación y caracteres especiales. |
URL de protocolo pasivo | https://example.com/App Builder/signin-ExampleADFS | App Builder aprovisiona automáticamente un extremo de protocolo pasivo para los proveedores de seguridad de WS-Federation. Tenga en cuenta que el nombre del proveedor aparece en la URL. |
URL del documento de metadatos de federación | https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml | La URL del documento de metadatos de federación se puede recuperar desde AD FS. Para ello, inicie la consola de administración de AD FS. Seleccione AD FS → Servicio → Extremos. Localice el extremo de tipo Metadatos de federación. |
Audiencia | https://ejemplo.com/App Builder/signin-ExampleADFS | Se recomienda encarecidamente un valor de Audiencia para limitar el alcance de la autenticación. Considere utilizar la URL del protocolo pasivo. |
Wtrealm | https://ejemplo.com/App Builder/signin-ExampleADFS | Aunque el Wtrealm es arbitrario, AD FS y App Builder debe utilizar el mismo valor. Considere utilizar la URL del protocolo pasivo. |
Crear an App Builder proveedor de Seguridad para AD FS
Para crear el proveedor de seguridad, comience iniciando sesión en App Builder como administrador:
- Navegue hasta el IDE
- Seleccione el botón Proveedores de seguridad
- En el panel Autenticación de usuario, haga clic en el botón + Autenticación de usuario
-
Proporcione lo siguiente:
-
Nombre:
Security Provider Name
(ver arriba)Ejemplo: ExampleADFS
-
Tipo: WS-Federation
- Habilitado: Marcar
- Aprovisionamiento de usuarios: Marcar para habilitar el aprovisionamiento de usuarios Just-in-Time (JIT).
- Suministra membresía de grupo: Marcar si AD FS se ha configurado para pasar la membresía de grupo de usuarios.
- Mostrar en el formulario de inicio de sesión: Marcar
-
-
Haga clic en el botón Guardar
- En el panel Propiedades, haga clic en el botón + Propiedad
-
Proporcione lo siguiente:
- Parámetro: MetadataAddress
-
Valor:
Federation Metadata Document URL
(ver arriba).Ejemplo:
https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
-
Haga clic en el ícono Guardar (Marcar marca de verificación)
- En el panel Propiedades, haga clic en el botón + Propiedad
-
Proporcione lo siguiente:
- Parámetro: Wtrealm
-
Valor:
Wtrealm
(ver arriba).Ejemplo:
https://example.com/App Builder/signin-ExampleADFS
-
Haga clic en el icono Guardar (Marcar marca de verificación)
- En el panel Propiedades, haga clic en el botón + Propiedad
-
Proporcione lo siguiente:
- Parámetro: Público
-
Valor: Público (ver arriba).
Ejemplo:
https://example.com/App Builder/signin-ExampleADFS
-
Haga clic en el ícono Guardar (Marcar marca de verificación)
Además, todas las reclamaciones asignadas en AD FS deberán asignarse en App Builder por ejemplo, para mapear la reclamación de correo:
- En el panel Reclamaciones, haga clic en el botón + Reclamación
-
Proporcione lo siguiente:
-
Identificador: Nombre del tipo de reclamo.\
Ejemplo:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
-
Uso: Uso del tipo de reclamo.\
Ejemplo: Dirección de Correo
-
-
Haga clic en el ícono Guardar (Marcar como favorito)
Cree una Relación de Confianza Entre Usuarios de Confianza de AD FS para App Builder
Cada instancia de App Builder debe estar registrado en AD FS como una relación de confianza de usuario autenticado. Los detalles completos de la creación, configuración y mantenimiento de relaciones de confianza de usuario autenticado no se incluyen en este documento. Para obtener información adicional que describa cómo crear una relación de confianza de usuario autenticado en AD FS, consulte el siguiente artículo de TechNet:
https://technet.microsoft.com/en-ca/library/dd807108.aspx
Para crear un fideicomiso de parte confiante se requiere la siguiente información:
- Protocolo: WS-Federation Pasivo
-
URL del protocolo pasivo WS-Federation de la parte confiante: corresponde a la
Passive Protocol URL
(ver arriba).Ejemplo:
https://example.com/App Builder/signin-ExampleADFS
-
Identificador de confianza del usuario autenticado: corresponde al
Wtrealm
propiedad (ver arriba).Ejemplo:
https://example.com/App Builder/signin-ExampleADFS
Cree una URL de Extremo de AD FS para App Builder
Cada instancia de App Builder debe estar registrado en AD FS como extremo. Cree un extremo en la pestaña Extremos de AD FS de la siguiente manera:
- Haga clic en el botón Agregar WS-Federation.
- Establezca el extremo como predeterminado (casilla de verificación).
-
URL de confianza: corresponde a la propiedad Wtrealm (ver arriba).
Ejemplo:
https://example.com/App Builder/signin-ExampleADFS
Mapeos de Reclamaciones (opcional)
También puede proporcionar asignaciones de notificaciones opcionales. El siguiente artículo de TechNet describe cómo crear reglas de notificaciones de confianza de usuario autenticado de AD FS:
https://technet.microsoft.com/en-us/library/dd807115.aspx
Las reclamaciones que se suelen mapear incluyen:
- Dirección de Correo -
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- Membresía grupal -http://schemas.xmlsoap.org/claims/Group
Ver Reclamaciones para obtener información adicional sobre reclamaciones.
Solución de Problemas
Ajustes de Configuración
Nota
Tus ajustes de configuración pueden variar de los ejemplos proporcionados en este artículo, dependiendo de tu ambiente exacto. Por ejemplo, según cómo esté configurado tu grupo de aplicaciones, es posible que uses demo.zudy.com/signin-AD
o demo.zudy.com/vinyl/signin-AD
.
"error de Tiempo de Ejecución " al Hacer Clic en el Enlace "iniciar Sesión Con..."
La URL puede leerse: http://example.com/App Builder/service/authentication/external?returnUrl=...
Revise el registro de eventos de Windows. En concreto, compruebe el registro de aplicaciones en busca de advertencias de ASP.Net con un ID de evento de 1309. Es posible que encuentre una entrada con el siguiente mensaje de excepción:
Unable to get document from: https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
Esto indica que App Builder no se pudo recuperar el documento de metadatos de la federación. Asegúrese de que App Builder el servidor web puede realizar una conexión HTTPS al extremo del documento de metadatos de AD FS. Asegúrese también de que el certificado TLS sea válido. Si el certificado no está firmado por una raíz de confianza, puede registrarlo manualmente.
"error de Tiempo de Ejecución " Después de Iniciar Sesión en AD FS
La URL puede leerse: http://example.com/App Builder/signin-ADFS
Revise el registro de eventos de Windows. En concreto, compruebe el registro de aplicaciones en busca de advertencias de ASP.Net con un ID de evento de 1309. Es posible que encuentre una entrada con uno de los siguientes mensajes de excepción.
Reclamación Faltante
The identity does not contain a claim matching the given type.
Esto indica que a la aserción SAML le faltan una o más reclamaciones obligatorias. Revise la configuración de la regla de reclamación.
Audiencia No Válida
IDX10214: Audience validation failed. Audiences: 'https://example.com/App Builder'. Did not match: validationParameters.ValidAudience: 'https://example.com/App Builder/' or validationParameters.ValidAudiences: 'null'
Esto indica que la aserción SAML tiene una restricción de audiencia no válida. En este ejemplo en particular, a la audiencia le falta la barra diagonal final. Asegúrese de que el identificador de confianza de la parte autenticada sea correcto.
Imprimir la Configuración de Confianza de Usuario Autenticado de AD FS
Ejecute el siguiente comando de PowerShell desde el servidor AD FS para imprimir la configuración de confianza del usuario autenticado:
> Get-ADFSRelyingPartyTrust -Identifier https://example.com/App Builder/signin-ADFS`
The Identifier argument corresponds to the URL de protocolo pasivo
(como se describe arriba).
Falta de Pertenencia al Grupo
De forma predeterminada, ADFS no incluye notificaciones de grupo en las aserciones SAML. Los administradores deben crear una o más reglas de notificaciones para incluir la pertenencia a grupos. Es posible crear una única regla de notificaciones que incluya la pertenencia a todos los grupos. Sin embargo, si se utiliza la regla "Reclamo de grupo" integrada de ADFS, se requiere una regla independiente para cada grupo.
El siguiente artículo describe cómo incluir la pertenencia a un grupo que coincida con una expresión regular (por ejemplo, grupos que comienzan con "App Builder"): http://social.technet.microsoft.com/wiki/contents/articles/8008.ad-fs-2-0-selectively-send-group-membership-s-as-a-claim.aspx
El siguiente artículo describe cómo utilizar expresiones regulares en las reglas de transformación de reclamaciones:
http://social.technet.microsoft.com/wiki/contents/articles/16161.ad-fs-2-0-using-regex-in-the-claims-rule-language.aspx
Configuración de Reclamaciones Faltante o Incorrecta
Es posible que aparezca el siguiente mensaje de error después de la autenticación:
The user account (`<nombre de usuario>`) has successfully signed in, but no available landing page has been configured for their applications.
Esto indica que la configuración del proveedor de seguridad y del extremo AD FS fue exitosa, pero significa que las reclamaciones aún no se configuraron o que se deben corregir.
Revisar las reclamaciones que se devolvieron a App Builder desde ADFS (asegúrese de que la opción Reclamaciones de la tienda esté marcada) para asegurarse de que se estén pasando las reclamaciones correctas (membresías de grupo, atributos personalizados) a App Builder y estos luego se pueden mapear en la configuración de Reclamos del Proveedor de Seguridad.