Ir para o conteúdo

Configurando os Serviços de Federação do Active Directory Usando o Logon Único SAML

App Builder pode integrar com o Active Directory Federation Services (AD FS) usando o protocolo SAML Single Sign-On (SSO). O protocolo SAML SSO define as seguintes funções operacionais:

Ator Papel
App Builder Provedor de serviços (SP)
AD FS Provedor de identidade (IdP) / Serviço de token de segurança (STS)
Usuário Navegador

A configuração envolve os seguintes procedimentos:

  1. Criar an App Builder provedor de segurança para AD FS
  2. Crie um AD FS Relying Party Trust para App Builder

Requisitos

Para prosseguir, você precisará do seguinte:

  • Acesso de administrador ao AD FS.
  • Acesso de administrador ao App Builder.
  • App Builder precisará se conectar ao AD FS via HTTPS para recuperar o documento de metadados. O AD FS deve usar um certificado TLS com uma raiz confiável: App Builder não será capaz de recuperar o documento de metadados se o certificado não for confiável ou inválido.
  • App Builder precisará estar disponível via HTTPS. O provedor de segurança Require HTTPS deve ser habilitado (ou outras medidas devem ser tomadas para garantir que App Builder é acessível somente via HTTPS).
  • As máquinas cliente precisarão ser configuradas para confiar no AD FS. Caso contrário, o AD FS solicitará que o usuário faça login.

As instruções abaixo farão referência às seguintes propriedades:

Exemplo Notas
App Builder URL https://example.com/App Builder/ App Builder deve ser acessível via HTTPS. A URL deve incluir a barra final. O caminho diferencia maiúsculas de minúsculas.
Nome do Provedor ADFS Cada App Builder o provedor de segurança recebe um nome lógico. Como o nome do provedor aparecerá no URL do Assertion Consumer Service (veja abaixo), evite espaços, pontuação e caracteres especiais.
URL do Serviço de Asserção ao Consumidor https://example.com/App Builder/signin-Okta App Builder provisiona automaticamente um endpoint do Assertion Consumer Service (ACS) para provedores de segurança SAML Single Sign-On (SSO). O AD FS se refere à URL do ACS como " URL do serviço SSO SAML 2.0 da parte confiável". Observe que o Nome do Provedor aparece na URL.
URI do público https://example.com/App Builder/ Embora o URI do público seja arbitrário, o AD FS e App Builder deve usar o mesmo valor. Considere usar o App Builder URL.
URL do documento de metadados da federação https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml A URL do documento de metadados da federação pode ser recuperada do AD FS. Para fazer isso, inicie o console de gerenciamento do AD FS. Selecione AD FS → Serviço → Endpoints. Localize o endpoint do tipo Metadados da federação.

Criar an App Builder provedor de Segurança para AD FS

Para criar o provedor de segurança, comece fazendo login em App Builder como administrador:

  1. Navegue até o IDE
  2. Selecione o botão Provedores de Segurança
  3. No painel Autenticação do Usuário, clique no botão + Autenticação do Usuário
  4. Forneça o seguinte:

    • Nome: Security Provider Name (veja acima) Exemplo: ADFS
    • Tipo: * SAML*
    • Habilitado: Verificar
    • Provisionamento de usuário: marque para habilitar o provisionamento de usuário Just-in-Time (JIT)
    • Suprimentos Associação ao Grupo: Verifique se o AD FS foi configurado para passar associação ao grupo de usuários
    • Mostrar no formulário de login: Verificar
  5. Clique no botão Salvar

  6. No painel Propriedades, clique em + Propriedade
  7. Forneça o seguinte:

    • Parâmetro: MetadataEndpoint
    • Valor: Federation Metadata Document URL(veja acima).\

      Exemplo: https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml

  8. Clique no ícone Salvar (Verificar)

  9. No painel Propriedades, clique em + Propriedade
  10. Forneça o seguinte:

    • Parâmetro: Público
    • Valor: Audience URI(veja acima).

      Exemplo: https://example.com/App Builder/

  11. Clique no ícone Salvar (Verificar)

Além disso, quaisquer declarações mapeadas no AD FS precisarão ser mapeadas em App Builder. Por exemplo, para mapear a reivindicação email:

  1. No painel Reivindicação, clique em + Reivindicação
  2. Forneça o seguinte:

    • Identificador: Nome do tipo de reivindicação.

      Exemplo: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Uso: Uso do tipo de declaração.

      Exemplo: Endereço de Email

  3. Clique no ícone Salvar (Verificar)

Crie uma Confiança de Terceira Parte Confiável do AD FS para App Builder

Cada instância de App Builder deve ser registrado no AD FS como uma confiança de parte confiável. Os detalhes completos de criação, configuração e manutenção de confianças de parte confiável estão fora do escopo deste documento. Para obter informações adicionais descrevendo como criar uma confiança de parte confiável do AD FS, consulte o seguinte artigo do TechNet:

https://technet.microsoft.com/en-ca/library/dd807108.aspx

A criação de um trust de parte confiável requer as seguintes informações:

  • URL do serviço SSO SAML 2.0 da parte confiável: Corresponde ao Assertion Consumer Service URL.

    Exemplo: https://example.com/App Builder/signin-ADFS

  • Identificador de confiança da parte confiável: Corresponde ao Audience URIpropriedade.

    Exemplo: https://example.com/App Builder/

Você também pode fornecer mapeamentos de reivindicação opcionais. O seguinte artigo do TechNet descreve como criar regras de reivindicação de confiança de terceira parte confiável do AD FS:

https://technet.microsoft.com/en-us/library/dd807115.aspx

As reivindicações comumente mapeadas incluem:

  • Endereço Email - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Associação de Grupo - http://schemas.xmlsoap.org/claims/Group

Veja Reivindicações para obter informações adicionais sobre reivindicações.

Solução de Problemas

Execute o seguinte comando do PowerShell no servidor AD FS para imprimir as configurações de confiança da parte confiável:

> Get-ADFSRelyingPartyTrust -Identifier https://example.com/App Builder/signin-ADFS

O argumento Identificador corresponde ao Assertion Consumer Service URL(conforme descrito acima).

Associação de Grupo Ausente

Por padrão, o ADFS não inclui declarações de grupo em asserções SAML. Os administradores devem criar uma ou mais regras de declaração para incluir associação de grupo. É possível criar uma única regra de declaração que inclua todas as associações de grupo. No entanto, usando a regra interna "Reivindicação de Grupo" do ADFS, uma regra separada é necessária para cada grupo.

O artigo a seguir descreve como incluir associação de grupo correspondente a uma expressão regular (por exemplo, grupos que começam com "App Builder"): http://social.technet.microsoft.com/wiki/contents/articles/8008.ad-fs-2-0-selectively-send-group-membership-s-as-a-claim.aspx

O artigo a seguir descreve como usar expressões regulares em regras de transformação de declarações:

http://social.technet.microsoft.com/wiki/contents/articles/16161.ad-fs-2-0-using-regex-in-the-claims-rule-language.aspx

Erro "a AudienceRestrictionCondition Não Era Válida Porque o Público Especificado Não Está Presente em AudienceUris."

Este erro indica que o URI do público não corresponde. Certifique-se de que a propriedade Audience tenha sido definida explicitamente. Se não for definida, o padrão será o URL atual, que pode variar de acordo com o usuário. O valor diferencia maiúsculas de minúsculas.