Saltar al contenido

Configuración de Microsoft Azure Active Directory Mediante WS-Federation

App Builder se integra con Microsoft Azure Active Directory (AD) mediante el protocolo WS-Federation, lo que permite el inicio de sesión único. App Builder Cada instancia debe configurarse individualmente para que funcione con Azure AD y viceversa. Hay tres tareas principales involucradas:

  1. Registrarse App Builder como una aplicación de Azure AD
  2. Configure Azure AD como an App Builder proveedor de seguridad
  3. Mapa App Builder usuarios y grupos a identidades de Azure

Requisitos

Para continuar, necesitará lo siguiente:

  • Acceso de administrador a una cuenta de Azure con un servicio de Azure Active Directory
  • Acceso de administrador a App Builder- App Builder debe estar disponible a través de HTTPS con un certificado SSL válido

Propiedades

Este documento hará referencia a las siguientes propiedades.

Ejemplo Notas
App Builder uRL https://example.com/App Builder/ App Builder Debe ser accesible a través de HTTPS. La URL debe incluir la barra diagonal final. La ruta distingue entre mayúsculas y minúsculas.TABLEROWEND
Nombre del proveedor Azure Normalmente, el nombre del proveedor debe coincidir con el nombre de dominio de Active Directory. Dado que el nombre del proveedor aparecerá en la URL de inicio de sesión (consulte a continuación), evite espacios, signos de puntuación y caracteres especiales.
URL de inicio de sesión App Builder directorio raíz/signin-[Nombre del proveedor de seguridad]

https://example.com/App Builder/signin-Azure		 La URL de devolución de llamada se aprovisiona automáticamente al crear el proveedor de seguridad de Azure AD dentro App Builder.

El ejemplo proporcionado aquí supone que: example.com es el nombre de host, https://example.com/App Builder/ es el App Builder directorio raíz de la aplicación y que Azure es el nombre del proveedor de seguridad de Azure.

Registro App Builder como una Aplicación de Azure AD

El App Builder la instancia debe estar registrada como aplicación de Azure AD. La siguiente página documenta el proceso:

https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-integrating-applications

En breve:

  1. Inicie sesión en el portal de Microsoft Azure
  2. Vaya al centro de administración de Azure Active Directory
  3. Haga clic en Azure Active Directory desde la navegación.
  4. Haga clic en Registros de aplicaciones
  5. Cree un Nuevo registro y proporcione el nombre como App Builder

  6. Escriba su URI de redireccionamiento como https://yourdomainname.com/signin-App Builder (Cambiar 'App Builder' a cualquier nombre que uses dentro App Builder proveedores de seguridad.)

    activedirectoryredirect.png

  7. Haga clic en Registrar

  8. Abra la aplicación recién creada que registró y, en la barra lateral Administrar, seleccione Manifiesto:

    1. Tome nota de la cadena de ID de aplicación, como '"appId": "062e3d2f-c200-40bc-b402-5be728bcdd1a",'
    2. Tome nota de su dominio principal, que se muestra en la 'Información del inquilino' de AzureAD.

    3. Edite las siguientes líneas de la siguiente manera:

      Editar:

      "groupMembershipClaims": null,
    "identifierUris": [],

      Para ser:

      "groupMembershipClaims": "SecurityGroup",
    "identifierUris": [
        "https://[yourprimarydomain.com]/[appId]"
    ],

    Ejemplo: si el dominio principal del inquilino de Azure es zudy.com:

    manifiesto publicitario.png

  9. Haga clic en Guardar

  10. Haga clic en Descripción general en la navegación.
  11. Haga clic en la pestaña Extremos
  12. Donde dice Documento de metadatos de la Federación, haga clic en el icono copiar al portapapeles y pegue el valor en algún lugar al que pueda hacer referencia más tarde (por ejemplo, el Bloc de notas).

Conectar y Configurar un Nuevo Proveedor de Seguridad en App Builder

En este paso, definirá el nuevo proveedor de seguridad para Azure AD. Esto incluye definir el tipo como servicios de federación de WS, definir los parámetros Audience, MetadataAddress y Wtrealm (proporcionados por Microsoft) y configurar los tipos de notificaciones emitidos por Microsoft para alinearlos con cualquier asignación de grupo dentro de App Builder.

  1. Navegue hasta IDE
  2. Seleccione Proveedores de seguridad
  3. Haga clic en + Autenticación de usuario en Autenticación de usuario
  4. Seleccione el tipo WS-Federation
  5. Proporcione un Nombre que coincida con el que utilizó para configurar el URI de redireccionamiento. Por ejemplo: Azure

  6. Opciones para cambiar: (Dejar como está para no incluirlo en la lista)

    • Nombre: ('Azure' en el ejemplo)
    • Tipo: WS-Federation
    • Habilitado:
    • Aprovisionamiento de usuarios: ; Esto permitirá que Azure cree usuarios en App Builder.
    • Membresía del grupo de suministros:
    • Campo de reclamos de la tienda: Opcional; esto permite la visibilidad de los datos de los reclamos meta que llegan de Microsoft a an App Builder usuario.

  7. Haga clic en Guardar

  8. Tenga en cuenta que al guardar App Builder emitirá un valor de identificador único para este proveedor

Configurar los Parámetros de Propiedades

En este paso, configurará 3 parámetros que representan valores proporcionados desde Microsoft Azure.

  1. Desde el panel Propiedades, cree las siguientes notificaciones:

    • Público: https://**YourAzureprimarydomain.com**/**App-id-from-azure-app-reg**

      Ejemplo: https://zudy.com/062e3d2f-c200-40bc-b402-5be728bcdd1r

    • Dirección de metadatos: https://login.microsoftonline.com/***Your-Tenant-ID***/federationmetadata/2007-06/federationmetadata.xml

    • Reino del agua: https://**YourAzureprimarydomain.com**/**App-id-from-azure-app-reg**

  2. En Reclamaciones, cree lo siguiente:

    • Busque la palabra "grupos" y seleccione la primera entrada que aparezca, que es http://schemas.microsoft.com/ws/2008/06/identity/claims/groups

  3. Para Uso, seleccione Grupo

  4. Haga clic en el ícono de marca de verificación para guardar

Mapa App Builder usuarios y Grupos a Identidades de Azure

En el área Identidades de Secure, ahora verá una entrada para el proveedor de seguridad creado. Cuando los usuarios se autentican en App Builder al utilizar este proveedor de seguridad, todas las identidades asociadas se transferirán y verá que los registros aparecen en los paneles Grupos de proveedores e Identidades por proveedor según corresponda.

Desde el panel Grupos de proveedores, puede proporcionar asignaciones entre cualquier proveedor App Builder grupos y grupos de Azure que desee, mediante el campo Grupos. El campo Grupos aquí es un menú desplegable que enumera todos los grupos configurados en App Builder esto permitirá el aprovisionamiento en el momento justo.

Con Aprovisionamiento de Usuarios

Si ha habilitado el aprovisionamiento de usuarios como se describe anteriormente e intenta iniciar sesión, es posible que se lo redirija nuevamente a la página de inicio de sesión. App Builder iniciar sesión. El formulario de inicio de sesión mostrará un mensaje similar al siguiente:

The user account (arthur.dent@example.onmicrosoft.com) has not been granted access to an application.

Aunque App Builder pudo aprovisionar al usuario con éxito, el usuario no tiene acceso a ningún App Builder aplicaciones de forma predeterminada. Suponiendo que el usuario de Azure AD se haya agregado a uno o más grupos y que la pertenencia al grupo de suministros esté habilitada (como se describe anteriormente), deberá asignar los grupos de seguridad de Azure AD a App Builder grupos de seguridad. Para ello:

  1. Inicie sesión App Builder como administrador
  2. Navegue hasta el IDE
  3. Haga clic en el botón Administración de usuarios
  4. Haga clic en la pestaña Identidades
  5. En el panel Proveedores, resalte su nuevo proveedor de seguridad de Azure AD
  6. En el panel Grupos de proveedores, haga clic en + Grupo

  7. Ingrese el nombre de un grupo que tenga dentro de AzureAD, junto con su identificador (esto se puede encontrar abriendo un tipo de grupo de seguridad dentro de Grupos de AAD y tomando nota de su Id. de objeto).

    Luego elige el App Builder se agregarán automáticamente como miembros al grupo al iniciar sesión.

  8. Haga clic en el botón Guardar

Sin Aprovisionamiento de Usuarios

Si no ha habilitado el aprovisionamiento de usuarios, la autenticación habrá fallado y aparecerá un mensaje similar al siguiente:

Although you've successfully authenticated with Azure, the account arthur.dent@example.onmicrosoft.com (arthur.dent@example.onmicrosoft.com) is not associated with a local account.

En el mensaje anterior, "arthur.dent@example.onmicrosoft.com" es el nombre de usuario (llamado "nombre" en la autenticación de notificaciones). La parte entre paréntesis es el identificador único (llamado "identificador de nombre" en la autenticación de notificaciones). Necesitará estos dos datos para el siguiente paso.

  1. Inicie sesión en App Builder como administrador
  2. Navegue hasta el IDE
  3. Haga clic en el botón Administración de usuarios
  4. Haga clic en la pestaña Usuarios
  5. En el panel Usuarios, seleccione el usuario que desea asignar
  6. En el panel Identidades, haga clic en el botón + Identidad

  7. Proporcione lo siguiente:

    • Proveedor: Nombre del proveedor (ver arriba)
    • Nombre: El nombre de usuario de Azure (ver arriba)
    • Identificador: el identificador del nombre de usuario de Azure (ver arriba)

  8. Haga clic en el botón Guardar.

Cerrar sesión App Builder

Confirme que ahora en la página de inicio de sesión aparece el botón "Iniciar sesión con…", que mostrará el nombre que proporcionó al configurar el proveedor de seguridad.

Signin 0365

Ejemplo de botón de inicio de sesión para nuevo proveedor de seguridad en la página de inicio de sesión

Pruebe el inicio de sesión; debería ser redirigido para autenticarse con una cuenta de Azure