Configurando o Microsoft Azure Active Directory Usando WS-Federation¶

App Builder integra-se com o Microsoft Azure Active Directory (AD) usando o protocolo WS-Federation, permitindo o logon único. Cada App Builder instância deve ser configurada individualmente para funcionar com o Azure AD e vice-versa. Há três tarefas principais envolvidas:

1. Registre-se App Builder como um aplicativo do Azure AD
2. Configure o Azure AD como an App Builder provedor de Segurança
3. Mapa App Builder usuários e grupos para identidades do Azure

Requisitos¶

Para prosseguir, você precisará do seguinte:

• Acesso de administrador a uma conta do Azure com um serviço do Azure Active Directory
• Acesso de administrador a App Builder
• App Builder deve estar disponível via HTTPS com um certificado SSL válido

Propriedades¶

Este documento fará referência às seguintes propriedades.

Registrar App Builder como um Aplicativo do Azure AD¶

O App Builder a instância deve ser registrada como um aplicativo do Azure AD. A página a seguir documenta o processo:

https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-integrating-applications

Resumidamente:

1. Efetue login no Portal do Microsoft Azure
2. Navegue até o centro de administração do Azure Active Directory
3. Clique em Azure Active Directory na navegação
4. Clique em Registros de aplicativos
5. Crie um Novo Registro e forneça o Nome como App Builder

6. Digite seu URI de redirecionamento como https://yourdomainname.com/signin-App Builder (Mudar 'App Builder' para qualquer nome que você usará dentro App Builder provedores de segurança.)

   

7. Clique em Registrar

8. Abra o aplicativo recém-criado que você registrou e, na barra lateral Gerenciar, selecione Manifesto:

   1. Anote a string appId, como '"appId": "062e3d2f-c200-40bc-b402-5be728bcdd1a",'
   2. Anote seu domínio principal, mostrado em suas 'Informações do locatário' do AzureAD.

   3. Edite as seguintes linhas da seguinte forma:

      Editar:

      "groupMembershipClaims": null,
          "identifierUris": [],
      

      Para ser:

      "groupMembershipClaims": "SecurityGroup",
          "identifierUris": [
              "https://[yourprimarydomain.com]/[appId]"
          ],
      

   Exemplo: se o domínio principal do Azure Tenant for zudy.com:

   

9. Clique em Salvar

10. Clique em Visão geral na navegação
11. Clique na aba Endpoints
12. Onde estiver escrito Documento de metadados da federação, clique no ícone copiar para a área de transferência e cole o valor em algum lugar que você possa consultar mais tarde (por exemplo, Bloco de notas)

Conecte e Configure um Novo Provedor de Segurança em App Builder¶

Nesta etapa, você definirá o novo Provedor de Segurança para o Azure AD. Isso inclui definir o Tipo como serviços WS-Federation, definir os parâmetros Audience, MetadataAddress e Wtrealm (fornecidos pela Microsoft) e configurar os Tipos de Declaração emitidos pela Microsoft para alinhar com qualquer mapeamento de Grupo dentro de App Builder.

1. Navegue até o IDE
2. Selecione Provedores de Segurança
3. Clique em + Autenticação do Usuário em Autenticação do Usuário
4. Selecione Tipo como WS-Federation
5. Forneça um Nome que corresponda ao que você usou para configurar o URI de Redirecionamento. Por exemplo: Azure

6. Opções para alterar: (Deixar como está para não listado)

   • Nome: ('Azure' no exemplo)
   • Tipo: WS-Federation
   • Habilitado: Sim
   • Provisionamento de usuários: Sim ; Isso permitirá que o Azure crie usuários em App Builder.
   • Associação ao grupo de suprimentos: Sim
   • Campo Store Claims: Opcional; Isso permite visibilidade dos dados de meta claims vindos da Microsoft para an App Builder usuário.

7. Clique em Salvar

8. Observe que ao salvar App Builder emitirá um valor de Identificador exclusivo para este Provedor

Configurar os Parâmetros das Propriedades¶

Nesta etapa, você configurará 3 parâmetros que representam valores fornecidos pelo Microsoft Azure.

1. No painel Propriedades, crie as seguintes reivindicações:

   • Público: https://**YourAzureprimarydomain.com**/**App-id-from-azure-app-reg**

     Exemplo: https://zudy.com/062e3d2f-c200-40bc-b402-5be728bcdd1r

   • MetadataAddress: https://login.microsoftonline.com/***Your-Tenant-ID***/federationmetadata/2007-06/federationmetadata.xml

   • Wtrealm: https://**YourAzureprimarydomain.com**/**App-id-from-azure-app-reg**

2. Em Claims crie o seguinte:

   • Procure pela palavra "groups" e selecione a primeira entrada que aparecer, que é http://schemas.microsoft.com/ws/2008/06/identity/claims/groups

3. Para Uso, selecione Grupo

4. Clique no ícone de marca de seleção para salvar

Mapa App Builder usuários e Grupos para Identidades do Azure¶

Na área Identidades do Secure, você verá agora uma entrada para o Provedor de Segurança criado. Quando os Usuários se autenticam em App Builder usando este Provedor de Segurança todas as identidades associadas fluirão e você verá os registros aparecerem nos painéis Grupos de Provedores e Identidades por Provedor de acordo.

No painel Grupos de Provedores você pode fornecer mapeamentos entre qualquer App Builder grupos e Grupos do Azure que você gostaria de usar, usando o campo Grupos. O campo Grupos aqui é um menu suspenso que lista todos os Grupos configurados em App Builder. Isso permitirá o provisionamento just in time.

Com Provisionamento de Usuário¶

Se você habilitou o provisionamento de usuários conforme descrito acima e tentar efetuar login, você poderá ser redirecionado de volta para o App Builder login. O formulário de login exibirá uma mensagem semelhante à seguinte:

The user account (arthur.dent@example.onmicrosoft.com) has not been granted access to an application.

No entanto App Builder conseguiu provisionar o usuário com sucesso, o usuário não tem acesso a nenhum App Builder aplicativos por padrão. Supondo que o usuário do Azure AD tenha sido adicionado a um ou mais grupos e que a Associação ao Grupo de Suprimentos esteja habilitada (conforme descrito acima), você precisará mapear os grupos de segurança do Azure AD para App Builder grupos de segurança. Para fazer isso:

1. Faça login em App Builder como administrador
2. Navegue até o IDE
3. Clique no botão Gerenciamento de usuários
4. Clique na aba Identidades
5. No painel Provedores, realce seu novo provedor de segurança do Azure AD
6. No painel Grupos de provedores, clique em + Grupo

7. Insira o nome de um grupo que você tenha no AzureAD, juntamente com seu Identificador (ele pode ser encontrado abrindo um tipo de Grupo de Segurança em Grupos do AAD e anotando seu ID de Objeto).

   Em seguida, escolha o App Builder grupo ao qual eles serão automaticamente adicionados como membros ao fazer login.

8. Clique no botão Salvar

Sem Provisionamento de Usuário¶

Se você não habilitou o provisionamento de usuário, a autenticação falhará com uma mensagem semelhante à seguinte:

Although you've successfully authenticated with Azure, the account arthur.dent@example.onmicrosoft.com (arthur.dent@example.onmicrosoft.com) is not associated with a local account.

Na mensagem acima, "arthur.dent@example.onmicrosoft.com" é o nome de usuário (chamado de "nome" na autenticação de declarações). A parte entre parênteses é o identificador exclusivo (chamado de "identificador de nome" na autenticação de declarações). Você precisará dessas duas informações para a próxima etapa.

1. Faça login em App Builder como administrador
2. Navegue até o IDE
3. Clique no botão Gerenciamento de usuários
4. Clique na aba Usuários
5. No painel Usuários, selecione o usuário que deseja mapear
6. No painel Identidades, clique no botão + Identidade

7. Forneça o seguinte:

   • Provedor: Nome do provedor (veja acima)
   • Nome: O nome de usuário do Azure (veja acima)
   • Identificador: O identificador do nome de usuário do Azure (veja acima)

8. Clique no botão Salvar.

Sair de App Builder

Confirme que agora na página de Login há um botão "Entrar com …" que agora aparece, e ele lerá o Nome que você forneceu ao configurar o Provedor de Segurança

Exemplo de botão de login para novo provedor de segurança na página de login

Ao fazer o teste de login, você será redirecionado para autenticar com uma conta do Azure