Provedor de Segurança - WS-Federation
O provedor de segurança WS-Federation permite a autenticação Single Sign-On (SSO) com provedores de identidade WS-Federation (IdPs) compatíveis, incluindo Microsoft Azure Active Directory (AD) e Active Directory Federation Services (AD FS). Informações adicionais sobre WS-Federation estão disponíveis nos seguintes documentos:
Configuração
Fichas
- Audience: Restrição de audiência. Embora o padrão exija um URI sintaticamente válido, App Builder aceitará valores não URI para integrar com implementações não conformes. O padrão é Entity ID.
- Destinatário: URL de resposta do Ws-Federation (Wreply). O padrão é a URL atual. Veja Wreply Endpoint abaixo.
- ID da entidade: URI do domínio de segurança WS-Federation (Wtrealm). No Microsoft Azure, isso é chamado de ID do aplicativo. No AD FS, isso é chamado de Identificador. Obrigatório.
Cuidado
Em versões anteriores do App Builder, ID da entidade padrão para a URL raiz do aplicativo (por exemplo https://example.com/App Builder/). ID da entidade agora é obrigatório.
Endpoints
| Tipo | Descrição |
|---|---|
| Endpoint de metadados | URL de metadados do WS-Federation, por exemplo, https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml. Obrigatório. |
Propriedades
O provedor de segurança WS-Federation define os seguintes parâmetros:
| Parâmetro | Padrão | Descrição |
|---|---|---|
| IgnoreTlsErrors | Falso | Indica se App Builder deve ignorar erros de TLS ao conectar-se à URL de metadados do WS-Federation. Isso deve ser usado somente para desenvolvimento e teste. |
| ClockSkew | 5 | Número máximo de minutos para permitir relógios de servidor fora de sincronia ao validar a asserção SAML. |
| LogPII | Falso | Indica que informações pessoalmente identificáveis (PII) devem ser registradas. Esta configuração entra em vigor na inicialização. |
Reivindicações
WS-Federation é fundamentalmente um protocolo de autenticação baseado em declarações. O provedor de segurança WS-Federation reconhece as seguintes declarações:
| Identificador | Propósito | Descrição |
|---|---|---|
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier | Identificador de nome | Identificador único e imutável usado para mapear a identidade de externo para an App Builder usuário. |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name | Nome | Nome de usuário. |
| http://schemas.xmlsoap.org/claims/Group | Grupo | Associação ao grupo de segurança. |
| http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid | Grupo | Associação ao grupo de segurança. |
| http://schemas.microsoft.com/ws/2008/06/identity/claims/groups | Grupo | Associação ao grupo de segurança. |
| http://schemas.zudy.com/identity/claims/fullname | Nome completo | Nome completo. |
| http://schemas.zudy.com/identity/claims/displayname | Nome de exibição | Nome amigável. |
| http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress | Endereço de Email | Endereço de Email. |
| http://schemas.zudy.com/identity/claims/phonenumber | Número de telefone | Número de telefone. |
Integração
Endpoint do Wreply
O provedor de segurança WS-Federation expõe um único endpoint que escuta solicitações HTTP com um token de segurança. O endereço tem o seguinte formato:
https://example.com/App Builder/signin-WSFederation
A URL é composta das seguintes partes:
| Componente | Descrição |
|---|---|
| https://example.com/App Builder/ | URL absoluta para o App Builder diretório raiz do aplicativo. |
| WSFederation | Nome do provedor de segurança Ws-Federation codificado em URL. O valor diferencia maiúsculas de minúsculas. |
Problemas e Limitações Conhecidos
O App Builder o provedor de segurança WS-Federation tem as seguintes limitações:
- Apenas uma única restrição de público pode ser validada.
- O protocolo Logout não é suportado.