Ir para o conteúdo

Configurando o Microsoft Azure Active Directory Usando WS-Federation

App Builder integra-se com o Microsoft Azure Active Directory (AD) usando o protocolo WS-Federation, permitindo o logon único. Cada App Builder instância deve ser configurada individualmente para funcionar com o Azure AD e vice-versa. Há três tarefas principais envolvidas:

  1. Registre-se App Builder como um aplicativo do Azure AD
  2. Configure o Azure AD como an App Builder provedor de Segurança
  3. Mapa App Builder usuários e grupos para identidades do Azure

Requisitos

Para prosseguir, você precisará do seguinte:

  • Acesso de administrador a uma conta do Azure com um serviço do Azure Active Directory
  • Acesso de administrador a App Builder
  • App Builder deve estar disponível via HTTPS com um certificado SSL válido

Propriedades

Este documento fará referência às seguintes propriedades.

Exemplo Notas
App Builder URL https://example.com/App Builder/ App Builder deve ser acessível via HTTPS. A URL deve incluir a barra final. O caminho diferencia maiúsculas de minúsculas.
Nome do Provedor Azure Normalmente, o nome do provedor deve corresponder ao nome de domínio do Active Directory. Como o nome do provedor aparecerá na URL de Logon (veja abaixo), evite espaços, pontuação e caracteres especiais.
URL de login App Builder diretório raiz/signin-[Nome do Provedor de Segurança]

https://example.com/App Builder/signin-Azure
URL de retorno de chamada provisionada automaticamente ao criar o provedor de segurança do Azure AD em App Builder.

O exemplo fornecido aqui pressupõe que: example.com é o nome do host, https://example.com/App Builder/ é o App Builder diretório raiz do aplicativo e que Azure é o nome do Provedor de Segurança do Azure.

Registrar App Builder como um Aplicativo do Azure AD

O App Builder a instância deve ser registrada como um aplicativo do Azure AD. A página a seguir documenta o processo:

https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-integrating-applications

Resumidamente:

  1. Efetue login no Portal do Microsoft Azure
  2. Navegue até o centro de administração do Azure Active Directory
  3. Clique em Azure Active Directory na navegação
  4. Clique em Registros de aplicativos
  5. Crie um Novo Registro e forneça o Nome como App Builder
  6. Digite seu URI de redirecionamento como https://yourdomainname.com/signin-App Builder (Mudar 'App Builder' para qualquer nome que você usará dentro App Builder provedores de segurança.)

    activedirectoryredirect.png

  7. Clique em Registrar

  8. Abra o aplicativo recém-criado que você registrou e, na barra lateral Gerenciar, selecione Manifesto:

    1. Anote a string appId, como '"appId": "062e3d2f-c200-40bc-b402-5be728bcdd1a",'
    2. Anote seu domínio principal, mostrado em suas 'Informações do locatário' do Microsoft Entra ID.
    3. Edite as seguintes linhas da seguinte forma:

      Editar:

      "groupMembershipClaims": null,
          "identifierUris": [],
      

      Para ser:

      "groupMembershipClaims": "SecurityGroup",
          "identifierUris": [
              "https://[yourprimarydomain.com]/[appId]"
          ],
      

    Exemplo: se o domínio principal do Azure Tenant for zudy.com:

    admanifest.png

  9. Clique em Salvar

  10. Clique em Visão geral na navegação
  11. Clique na aba Endpoints
  12. Onde estiver escrito Documento de metadados da federação, clique no ícone copiar para a área de transferência e cole o valor em algum lugar que você possa consultar mais tarde (por exemplo, Bloco de notas)

Conecte e Configure um Novo Provedor de Segurança em App Builder

Nesta etapa, você definirá o novo Provedor de Segurança para o Azure AD. Isso inclui definir o Tipo como serviços WS-Federation, definir os parâmetros Audience, MetadataAddress e Wtrealm (fornecidos pela Microsoft) e configurar os Tipos de Declaração emitidos pela Microsoft para alinhar com qualquer mapeamento de Grupo dentro de App Builder.

  1. Navegue até o IDE
  2. Selecione Provedores de Segurança
  3. Clique em + Autenticação do Usuário em Autenticação do Usuário
  4. Selecione Tipo como WS-Federation
  5. Forneça um Nome que corresponda ao que você usou para configurar o URI de Redirecionamento. Por exemplo: Azure
  6. Opções para alterar: (Deixar como está para não listado)

    • Nome: ('Azure' no exemplo)
    • Tipo: WS-Federation
    • Habilitado: Sim
    • Provisionamento de usuários: Sim ; Isso permitirá que o Azure crie usuários em App Builder.
    • Associação ao grupo de suprimentos: Sim
    • Campo Store Claims: Opcional; Isso permite visibilidade dos dados de meta claims vindos da Microsoft para an App Builder usuário.
  7. Clique em Salvar

  8. Observe que ao salvar App Builder emitirá um valor de Identificador exclusivo para este Provedor

Configurar os Parâmetros das Propriedades

Nesta etapa, você configurará 3 parâmetros que representam valores fornecidos pelo Microsoft Azure.

  1. No painel Propriedades, crie as seguintes reivindicações:

    • Público: https://**YourAzureprimarydomain.com**/**App-id-from-azure-app-reg**

      Exemplo: https://zudy.com/062e3d2f-c200-40bc-b402-5be728bcdd1r

    • MetadataAddress: https://login.microsoftonline.com/***Your-Tenant-ID***/federationmetadata/2007-06/federationmetadata.xml

    • Wtrealm: https://**YourAzureprimarydomain.com**/**App-id-from-azure-app-reg**
  2. Em Claims crie o seguinte:

    • Procure pela palavra "groups" e selecione a primeira entrada que aparecer, que é http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
  3. Para Uso, selecione Grupo

  4. Clique no ícone de marca de seleção para salvar

Mapa App Builder usuários e Grupos para Identidades do Azure

Na área Identidades do Secure, você verá agora uma entrada para o Provedor de Segurança criado. Quando os Usuários se autenticam em App Builder usando este Provedor de Segurança todas as identidades associadas fluirão e você verá os registros aparecerem nos painéis Grupos de Provedores e Identidades por Provedor de acordo.

No painel Grupos de Provedores você pode fornecer mapeamentos entre qualquer App Builder grupos e Grupos do Azure que você gostaria de usar, usando o campo Grupos. O campo Grupos aqui é um menu suspenso que lista todos os Grupos configurados em App Builder. Isso permitirá o provisionamento just in time.

Com Provisionamento de Usuário

Se você habilitou o provisionamento de usuários conforme descrito acima e tentar efetuar login, você poderá ser redirecionado de volta para o App Builder login. O formulário de login exibirá uma mensagem semelhante à seguinte:

The user account (arthur.dent@example.onmicrosoft.com) has not been granted access to an application.

No entanto App Builder conseguiu provisionar o usuário com sucesso, o usuário não tem acesso a nenhum App Builder aplicativos por padrão. Supondo que o usuário do Azure AD tenha sido adicionado a um ou mais grupos e que a Associação ao Grupo de Suprimentos esteja habilitada (conforme descrito acima), você precisará mapear os grupos de segurança do Azure AD para App Builder grupos de segurança. Para fazer isso:

  1. Faça login em App Builder como administrador
  2. Navegue até o IDE
  3. Clique no botão Gerenciamento de usuários
  4. Clique na aba Identidades
  5. No painel Provedores, realce seu novo provedor de segurança do Azure AD
  6. No painel Grupos de provedores, clique em + Grupo
  7. Insira o nome de um grupo que você tenha no Microsoft Entra ID, juntamente com seu Identificador (ele pode ser encontrado abrindo um tipo de Grupo de Segurança em Grupos do AAD e anotando seu ID de Objeto).

    Em seguida, escolha o App Builder grupo ao qual eles serão automaticamente adicionados como membros ao fazer login.

  8. Clique no botão Salvar

Sem Provisionamento de Usuário

Se você não habilitou o provisionamento de usuário, a autenticação falhará com uma mensagem semelhante à seguinte:

Although you've successfully authenticated with Azure, the account arthur.dent@example.onmicrosoft.com (arthur.dent@example.onmicrosoft.com) is not associated with a local account.

Na mensagem acima, "arthur.dent@example.onmicrosoft.com" é o nome de usuário (chamado de "nome" na autenticação de declarações). A parte entre parênteses é o identificador exclusivo (chamado de "identificador de nome" na autenticação de declarações). Você precisará dessas duas informações para a próxima etapa.

  1. Faça login em App Builder como administrador
  2. Navegue até o IDE
  3. Clique no botão Gerenciamento de usuários
  4. Clique na aba Usuários
  5. No painel Usuários, selecione o usuário que deseja mapear
  6. No painel Identidades, clique no botão + Identidade
  7. Forneça o seguinte:

    • Provedor: Nome do provedor (veja acima)
    • Nome: O nome de usuário do Azure (veja acima)
    • Identificador: O identificador do nome de usuário do Azure (veja acima)
  8. Clique no botão Salvar.

Sair de App Builder

Confirme que agora na página de Login há um botão "Entrar com …" que agora aparece, e ele lerá o Nome que você forneceu ao configurar o Provedor de Segurança

Signin 0365

Exemplo de botão de login para novo provedor de segurança na página de login

Ao fazer o teste de login, você será redirecionado para autenticar com uma conta do Azure