Ir para o conteúdo

Configurando o Microsoft Entra ID usando WS-Federation no Jitterbit App Builder

O App Builder integra-se ao Microsoft Entra ID usando o protocolo WS-Federation, permitindo o login único. Cada instância do App Builder deve ser configurada individualmente para funcionar com o Microsoft Entra ID e vice-versa. Existem três tarefas principais envolvidas:

  1. Registrar o App Builder como um aplicativo do Microsoft Entra ID
  2. Configurar o Microsoft Entra ID como um Provedor de Segurança do App Builder
  3. Mapear usuários e grupos do App Builder para identidades do Azure

Requisitos

Para prosseguir, você precisará do seguinte:

  • Acesso de administrador a uma conta do Azure com um serviço do Microsoft Entra ID
  • Acesso de administrador ao App Builder
  • O App Builder deve estar disponível via HTTPS com um certificado SSL válido

Propriedades

Este documento fará referência às seguintes propriedades.

Exemplo Notas
URL do App Builder https://example.com/Vinyl/ O App Builder deve ser acessível via HTTPS. A URL deve incluir a barra final. O caminho é sensível a maiúsculas e minúsculas.
Nome do Provedor Azure Normalmente, o nome do provedor deve corresponder ao nome de domínio do Active Directory. Como o nome do provedor aparecerá na URL de login (veja abaixo), evite espaços, pontuação e caracteres especiais.
URL de Login Diretório raiz do App Builder/signin-[Nome do Provedor de Segurança]

https://example.com/Vinyl/signin-Azure
URL de retorno provisionada automaticamente ao criar o provedor de segurança do Microsoft Entra ID dentro do App Builder.

O exemplo fornecido aqui assume que: example.com é o nome do host, https://example.com/Vinyl/ é o diretório raiz do aplicativo App Builder, e que Azure é o nome do Provedor de Segurança do Azure.

Registrar o App Builder como um aplicativo do Microsoft Entra ID

A instância do App Builder deve ser registrada como um aplicativo do Microsoft Entra ID. A página a seguir documenta o processo:

https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-integrating-applications

Em resumo:

  1. Faça login no Portal do Microsoft Azure
  2. Navegue até o centro de administração do Azure Active Directory
  3. Clique em Azure Active Directory na navegação
  4. Clique em Registros de Aplicativos
  5. Crie um Novo Registro e forneça o Nome como App Builder
  6. Digite sua URI de Redirecionamento como https://yourdomainname.com/signin-App Builder (Altere 'App Builder' para qualquer nome que você usará dentro dos Provedores de Segurança do App Builder.)

    activedirectoryredirect.png

  7. Clique em Registrar

  8. Abra o novo Aplicativo que você registrou e, no menu lateral Gerenciar, selecione Manifesto:

    1. Anote a string appId, como '"appId": "062e3d2f-c200-40bc-b402-5be728bcdd1a",'
    2. Anote seu domínio principal, mostrado nas 'Informações do locatário' do Microsoft Entra ID.
    3. Edite as seguintes linhas da seguinte forma:

      Editar:

      "groupMembershipClaims": null,
          "identifierUris": [],
      

      Para ser:

      "groupMembershipClaims": "SecurityGroup",
          "identifierUris": [
              "https://[yourprimarydomain.com]/[appId]"
          ],
      

    Exemplo: Se o domínio principal para o Locatário do Azure for zudy.com:

    admanifest.png

  9. Clique em Salvar

  10. Clique em Visão Geral na navegação
  11. Clique na aba Endpoints
  12. Onde está escrito Documento de metadados de federação, clique no ícone de copiar para a área de transferência e cole o valor em algum lugar que você possa consultar mais tarde (por exemplo, Bloco de Notas)

Conectar e configurar novo provedor de segurança no App Builder

Neste passo, você definirá o novo Provedor de Segurança para o Microsoft Entra ID. Isso inclui definir o Tipo como serviços WS-Federation, definir os parâmetros Audience, MetadataAddress e Wtrealm (fornecidos pela Microsoft) e configurar os Tipos de Claim emitidos pela Microsoft para alinhar com qualquer mapeamento de Grupo dentro do App Builder.

  1. Navegue até o IDE
  2. Selecione Provedores de Segurança
  3. Clique em + Autenticação de Usuário sob Autenticação de Usuário
  4. Selecione o Tipo como WS-Federation
  5. Forneça um Nome que corresponda ao que você usou para configurar o URI de Redirecionamento. Por exemplo: Azure
  6. Opções para alterar: (Deixe como está para não listado)

    • Nome: ('Azure' no exemplo)
    • Tipo: WS-Federation
    • Habilitado: Sim
    • Provisionamento de Usuário: Sim; Isso permitirá que o Azure crie Usuários no App Builder.
    • Fornece Membro de Grupo: Sim
    • Campo de Armazenamento de Claims: Opcional; Isso permite visibilidade nos dados de meta claims provenientes da Microsoft para um Usuário do App Builder.
  7. Clique em Salvar

  8. Observe que ao salvar, o App Builder emitirá um valor de Identificador único para este Provedor

Configurar os parâmetros de propriedades

Neste passo, você configurará 3 Parâmetros que representam valores fornecidos pela Microsoft Azure.

  1. No painel de Propriedades, crie as seguintes claims:

    • Audience: https://**SeuDominioPrincipalAzure.com**/**App-id-do-registro-azure-app**

      Exemplo: https://zudy.com/062e3d2f-c200-40bc-b402-5be728bcdd1r

    • MetadataAddress: https://login.microsoftonline.com/***Seu-ID-de-Tenant***/federationmetadata/2007-06/federationmetadata.xml

    • Wtrealm: https://**SeuDominioPrincipalAzure.com**/**App-id-do-registro-azure-app**
  2. Sob Claims, crie o seguinte:

    • Pesquise a palavra "groups" e selecione a primeira entrada que aparece, que é http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
  3. Para Uso, selecione Grupo

  4. Clique no ícone de marca de verificação para salvar

Mapear usuários e grupos do App Builder para identidades do Azure

Da área de Identidades do Secure, agora você verá uma entrada para o Provedor de Segurança criado. Quando os Usuários se autenticam no App Builder usando este Provedor de Segurança, todas as identidades associadas fluirão e você verá registros aparecerem nos painéis Grupos de Provedor e Identidades por Provedor, respectivamente.

No painel Grupos de Provedor, você pode fornecer mapeamentos entre quaisquer Grupos do App Builder e Grupos do Azure que desejar, usando o campo Grupos. O campo Grupos aqui é um menu suspenso que lista todos os Grupos configurados no App Builder. Isso permitirá o provisionamento sob demanda.

Com provisionamento de usuário

Se você ativou o provisionamento de usuário conforme descrito acima e tentar fazer login, pode ser redirecionado de volta para o login do App Builder. O formulário de login exibirá uma mensagem semelhante à seguinte:

A conta de usuário (arthur.dent@example.onmicrosoft.com) não foi concedida acesso a um aplicativo.

Embora o App Builder tenha conseguido provisionar o usuário com sucesso, o usuário não tem acesso a nenhum aplicativo do App Builder por padrão. Supondo que o usuário do Microsoft Entra ID tenha sido adicionado a um ou mais grupos e que a Assinatura de Membros de Grupo esteja ativada (conforme descrito acima), você precisará mapear os grupos de segurança do Microsoft Entra ID para os grupos de segurança do App Builder. Para fazer isso:

  1. Faça login no App Builder como Administrador
  2. Navegue até o IDE
  3. Clique no botão Gerenciamento de Usuários
  4. Clique na aba Identidades
  5. No painel Provedores, destaque seu novo provedor de segurança do Microsoft Entra ID
  6. No painel Grupos de Provedor, clique em + Grupo
  7. Insira o nome de um grupo que você possui dentro do Microsoft Entra ID, junto com seu Identificador (Isso pode ser encontrado abrindo um tipo de Grupo de Segurança dentro dos Grupos do Microsoft Entra ID e anotando seu Id de Objeto.)

    Em seguida, escolha o grupo do App Builder ao qual eles serão automaticamente adicionados como membro ao fazer login.

  8. Clique no botão Salvar

Sem provisionamento de usuário

Se você não ativou o provisionamento de usuário, a autenticação terá falhado com uma mensagem semelhante à seguinte:

Embora você tenha se autenticado com sucesso no Azure, a conta arthur.dent@example.onmicrosoft.com (arthur.dent@example.onmicrosoft.com) não está associada a uma conta local.

Na mensagem acima, "arthur.dent@example.onmicrosoft.com" é o nome de usuário (chamado de "nome" na autenticação de reivindicações). A parte entre parênteses é o identificador único (chamado de "identificador de nome" na autenticação de reivindicações). Você precisará dessas duas informações para a próxima etapa.

  1. Faça login no App Builder como Administrador
  2. Navegue até o IDE
  3. Clique no botão Gerenciamento de Usuários
  4. Clique na aba Usuários
  5. No painel Usuários, selecione o usuário que gostaria de mapear
  6. No painel Identidades, clique no botão + Identidade
  7. Forneça o seguinte:

    • Provedor: Nome do Provedor (veja acima)
    • Nome: O nome de usuário do Azure (veja acima)
    • Identificador: O identificador do nome de usuário do Azure (veja acima)
  8. Clique no botão Salvar.

Desconectar do App Builder

Confirme que agora na página de Login há um botão "Entrar com …" que agora aparece, e ele mostrará o Nome que você forneceu ao configurar o Provedor de Segurança

Signin 0365

Exemplo de botão de entrada para novo Provedor de Segurança na Página de Login

Teste o login, você deve ser redirecionado para se autenticar com uma conta do Azure.