Configuración de Microsoft Entra ID usando WS-Federation en Jitterbit App Builder
App Builder se integra con Microsoft Entra ID utilizando el protocolo WS-Federation, lo que permite el inicio de sesión único. Cada instancia de App Builder debe configurarse individualmente para trabajar con Microsoft Entra ID y viceversa. Hay tres tareas principales involucradas:
- Registrar App Builder como una aplicación de Microsoft Entra ID
- Configurar Microsoft Entra ID como un Proveedor de Seguridad de App Builder
- Mapear usuarios y grupos de App Builder a identidades de Azure
Requisitos
Para proceder, necesitarás lo siguiente:
- Acceso de administrador a una cuenta de Azure con un servicio de Microsoft Entra ID
- Acceso de administrador a App Builder
- App Builder debe estar disponible a través de HTTPS con un certificado SSL válido
Propiedades
Este documento hará referencia a las siguientes propiedades.
Ejemplo | Notas | |
---|---|---|
URL de App Builder | https://example.com/Vinyl/ | App Builder debe ser accesible a través de HTTPS. La URL debe incluir la barra diagonal al final. La ruta es sensible a mayúsculas y minúsculas. |
Nombre del Proveedor | Azure | Típicamente, el nombre del proveedor debe coincidir con el nombre de dominio de Active Directory. Dado que el nombre del proveedor aparecerá en la URL de inicio de sesión (ver más abajo), evita espacios, puntuación y caracteres especiales. |
URL de inicio de sesión | Directorio raíz de App Builder/signin-[Nombre del Proveedor de Seguridad] https://example.com/Vinyl/signin-Azure |
URL de callback provisionada automáticamente al crear el proveedor de seguridad de Microsoft Entra ID dentro de App Builder. El ejemplo proporcionado aquí asume que: example.com es el nombre del host, https://example.com/Vinyl/ es el directorio raíz de la aplicación App Builder, y que Azure es el nombre del Proveedor de Seguridad de Azure. |
Registrar App Builder como una aplicación de Microsoft Entra ID
La instancia de App Builder debe registrarse como una aplicación de Microsoft Entra ID. La siguiente página documenta el proceso:
En resumen:
- Inicie sesión en el Portal de Microsoft Azure
- Navegue al centro de administración de Azure Active Directory
- Haga clic en Azure Active Directory en la navegación
- Haga clic en Registros de aplicaciones
- Cree un Nuevo registro y proporcione el nombre como App Builder
-
Escriba su URI de redirección como
https://yourdomainname.com/signin-App Builder
(Cambie 'App Builder' por el nombre que utilizará dentro de los Proveedores de Seguridad de App Builder.) -
Haga clic en Registrar
-
Abra la nueva aplicación que registró y, en la barra lateral de Administrar, seleccione Manifiesto:
- Tome nota de la cadena appId, como '"appId": "062e3d2f-c200-40bc-b402-5be728bcdd1a",'
- Tome nota de su dominio principal, que se muestra en la 'Información del inquilino' de su Microsoft Entra ID.
-
Edite las siguientes líneas de la siguiente manera:
Editar:
"groupMembershipClaims": null, "identifierUris": [],
Para ser:
"groupMembershipClaims": "SecurityGroup", "identifierUris": [ "https://[yourprimarydomain.com]/[appId]" ],
Ejemplo: Si el dominio principal para el inquilino de Azure es zudy.com:
-
Haga clic en Guardar
- Haga clic en Resumen en la navegación
- Haga clic en la pestaña Puntos finales
- Donde dice Documento de metadatos de federación, haga clic en el icono de copiar al portapapeles y pegue el valor en un lugar donde pueda consultarlo más tarde (por ejemplo, Notepad)
Conectar y configurar un nuevo proveedor de seguridad en App Builder
En este paso, definirás el nuevo Proveedor de Seguridad para Microsoft Entra ID. Esto incluye definir el Tipo como servicios WS-Federation, definir los parámetros Audience, MetadataAddress y Wtrealm (proporcionados por Microsoft) y configurar los Tipos de Reclamaciones emitidos por Microsoft para alinearlos con cualquier mapeo de Grupos dentro de App Builder.
- Navega a la IDE
- Selecciona Proveedores de Seguridad
- Haz clic en + Autenticación de Usuario bajo Autenticación de Usuario
- Selecciona el Tipo como WS-Federation
- Proporciona un Nombre que coincida con lo que usaste para configurar la URI de Redirección. Por ejemplo:
Azure
-
Opciones para cambiar: (Dejar como está para no listado)
- Nombre: ('Azure' en el ejemplo)
- Tipo: WS-Federation
- Habilitado: Sí
- Aprovisionamiento de Usuarios: Sí; Esto permitirá que Azure cree Usuarios en App Builder.
- Suministra Membresía de Grupo: Sí
- Campo de Almacenamiento de Reclamaciones: Opcional; Esto permite visibilidad en los datos de meta reclamaciones que provienen de Microsoft hacia un Usuario de App Builder.
-
Haz clic en Guardar
- Ten en cuenta que al guardar, App Builder emitirá un valor de Identificador único para este Proveedor
Configurar los parámetros de propiedades
En este paso, configurarás 3 Parámetros que representan valores proporcionados por Microsoft Azure.
-
Desde el panel de Propiedades, crea las siguientes reclamaciones:
-
Audience:
https://**TuDominioPrincipalDeAzure.com**/**App-id-de-azure-app-reg**
Ejemplo:
https://zudy.com/062e3d2f-c200-40bc-b402-5be728bcdd1r
-
MetadataAddress:
https://login.microsoftonline.com/***Tu-ID-de-Tenant***/federationmetadata/2007-06/federationmetadata.xml
- Wtrealm:
https://**TuDominioPrincipalDeAzure.com**/**App-id-de-azure-app-reg**
-
-
Bajo Reclamaciones, crea lo siguiente:
- Busca la palabra "groups" y selecciona la primera entrada que aparece, que es
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
- Busca la palabra "groups" y selecciona la primera entrada que aparece, que es
-
Para Uso, selecciona Grupo
- Haz clic en el icono de marca de verificación para guardar
Mapear usuarios y grupos de App Builder a identidades de Azure
Desde el área de Identidades de Secure, ahora verás una entrada para el Proveedor de Seguridad creado. Cuando los Usuarios se autentiquen en App Builder utilizando este Proveedor de Seguridad, todas las identidades asociadas fluirán y verás registros aparecer en los paneles de Grupos de Proveedores e Identidades por Proveedor en consecuencia.
Desde el panel de Grupos de Proveedores, puedes proporcionar mapeos entre cualquier Grupo de App Builder y Grupos de Azure que desees, utilizando el campo Grupos. El campo Grupos aquí es un menú desplegable que lista todos los Grupos configurados en App Builder. Esto habilitará la provisión justo a tiempo.
Con provisión de usuarios
Si has habilitado la provisión de usuarios como se describió anteriormente y intentas iniciar sesión, es posible que seas redirigido de vuelta al inicio de sesión de App Builder. El formulario de inicio de sesión mostrará un mensaje similar al siguiente:
La cuenta de usuario (arthur.dent@example.onmicrosoft.com) no ha sido autorizada para acceder a una aplicación.
Aunque App Builder pudo provisionar exitosamente al usuario, el usuario no tiene acceso a ninguna aplicación de App Builder por defecto. Suponiendo que el usuario de Microsoft Entra ID ha sido agregado a uno o más grupos y que la Membresía de Grupo de Suministros está habilitada (como se describió anteriormente), necesitarás mapear los grupos de seguridad de Microsoft Entra ID a los grupos de seguridad de App Builder. Para hacerlo:
- Inicia sesión en App Builder como Administrador
- Navega a la IDE
- Haz clic en el botón Gestión de Usuarios
- Haz clic en la pestaña Identidades
- En el panel de Proveedores, resalta tu nuevo proveedor de seguridad de Microsoft Entra ID
- En el panel de Grupos de Proveedores, haz clic en + Grupo
-
Ingresa el nombre de un grupo que tengas dentro de Microsoft Entra ID, junto con su Identificador (Esto se puede encontrar abriendo un tipo de Grupo de Seguridad dentro de los Grupos de Microsoft Entra ID y anotando su Id. de Objeto.)
Luego elige el grupo de App Builder al que se añadirá automáticamente como miembro al iniciar sesión.
-
Haz clic en el botón Guardar
Sin provisión de usuarios
Si no has habilitado la provisión de usuarios, la autenticación habrá fallado con un mensaje similar al siguiente:
Aunque has autenticado con éxito con Azure, la cuenta arthur.dent@example.onmicrosoft.com (arthur.dent@example.onmicrosoft.com) no está asociada con una cuenta local.
En el mensaje anterior, "arthur.dent@example.onmicrosoft.com" es el nombre de usuario (llamado "nombre" en la autenticación de claims). La parte entre paréntesis es el identificador único (llamado "identificador de nombre" en la autenticación de claims). Necesitarás estas dos piezas de información para el siguiente paso.
- Inicia sesión en App Builder como Administrador
- Navega a la IDE
- Haz clic en el botón Gestión de Usuarios
- Haz clic en la pestaña Usuarios
- En el panel Usuarios, selecciona el usuario que te gustaría mapear
- En el panel Identidades, haz clic en el botón + Identidad
-
Proporciona lo siguiente:
- Proveedor: Nombre del Proveedor (ver arriba)
- Nombre: El nombre de usuario de Azure (ver arriba)
- Identificador: El identificador de nombre de usuario de Azure (ver arriba)
-
Haz clic en el botón Guardar.
Cerrar sesión en App Builder
Confirma que ahora en la página de inicio de sesión hay un botón "Iniciar sesión con …" que ahora aparece, y leerá el Nombre que proporcionaste al configurar el Proveedor de Seguridad
Ejemplo de botón de inicio de sesión para nuevo Proveedor de Seguridad en la Página de Inicio de Sesión
Prueba iniciar sesión, deberías ser redirigido para autenticarte con una cuenta de Azure.