Configurando o Microsoft Azure Active Directory Usando WS-Federation
App Builder integra-se com o Microsoft Azure Active Directory (AD) usando o protocolo WS-Federation, permitindo o logon único. Cada App Builder instância deve ser configurada individualmente para funcionar com o Azure AD e vice-versa. Há três tarefas principais envolvidas:
- Registre-se App Builder como um aplicativo do Azure AD
- Configure o Azure AD como an App Builder provedor de Segurança
- Mapa App Builder usuários e grupos para identidades do Azure
Requisitos
Para prosseguir, você precisará do seguinte:
- Acesso de administrador a uma conta do Azure com um serviço do Azure Active Directory
- Acesso de administrador a App Builder
- App Builder deve estar disponível via HTTPS com um certificado SSL válido
Propriedades
Este documento fará referência às seguintes propriedades.
Exemplo | Notas | |
---|---|---|
App Builder URL | https://example.com/App Builder/ | App Builder deve ser acessível via HTTPS. A URL deve incluir a barra final. O caminho diferencia maiúsculas de minúsculas. |
Nome do Provedor | Azure | Normalmente, o nome do provedor deve corresponder ao nome de domínio do Active Directory. Como o nome do provedor aparecerá na URL de Logon (veja abaixo), evite espaços, pontuação e caracteres especiais. |
URL de login | App Builder diretório raiz/signin-[Nome do Provedor de Segurança] https://example.com/App Builder/signin-Azure | URL de retorno de chamada provisionada automaticamente ao criar o provedor de segurança do Azure AD em App Builder. O exemplo fornecido aqui pressupõe que: example.com é o nome do host, https://example.com/App Builder/ é o App Builder diretório raiz do aplicativo e que Azure é o nome do Provedor de Segurança do Azure. |
Registrar App Builder como um Aplicativo do Azure AD
O App Builder a instância deve ser registrada como um aplicativo do Azure AD. A página a seguir documenta o processo:
https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-integrating-applications
Resumidamente:
- Efetue login no Portal do Microsoft Azure
- Navegue até o centro de administração do Azure Active Directory
- Clique em Azure Active Directory na navegação
- Clique em Registros de aplicativos
- Crie um Novo Registro e forneça o Nome como App Builder
-
Digite seu URI de redirecionamento como
https://yourdomainname.com/signin-App Builder
(Mudar 'App Builder' para qualquer nome que você usará dentro App Builder provedores de segurança.) -
Clique em Registrar
-
Abra o aplicativo recém-criado que você registrou e, na barra lateral Gerenciar, selecione Manifesto:
- Anote a string appId, como '"appId": "062e3d2f-c200-40bc-b402-5be728bcdd1a",'
- Anote seu domínio principal, mostrado em suas 'Informações do locatário' do Microsoft Entra ID.
-
Edite as seguintes linhas da seguinte forma:
Editar:
"groupMembershipClaims": null, "identifierUris": [],
Para ser:
"groupMembershipClaims": "SecurityGroup", "identifierUris": [ "https://[yourprimarydomain.com]/[appId]" ],
Exemplo: se o domínio principal do Azure Tenant for zudy.com:
-
Clique em Salvar
- Clique em Visão geral na navegação
- Clique na aba Endpoints
- Onde estiver escrito Documento de metadados da federação, clique no ícone copiar para a área de transferência e cole o valor em algum lugar que você possa consultar mais tarde (por exemplo, Bloco de notas)
Conecte e Configure um Novo Provedor de Segurança em App Builder
Nesta etapa, você definirá o novo Provedor de Segurança para o Azure AD. Isso inclui definir o Tipo como serviços WS-Federation, definir os parâmetros Audience, MetadataAddress e Wtrealm (fornecidos pela Microsoft) e configurar os Tipos de Declaração emitidos pela Microsoft para alinhar com qualquer mapeamento de Grupo dentro de App Builder.
- Navegue até o IDE
- Selecione Provedores de Segurança
- Clique em + Autenticação do Usuário em Autenticação do Usuário
- Selecione Tipo como WS-Federation
- Forneça um Nome que corresponda ao que você usou para configurar o URI de Redirecionamento. Por exemplo:
Azure
-
Opções para alterar: (Deixar como está para não listado)
- Nome: ('Azure' no exemplo)
- Tipo: WS-Federation
- Habilitado: Sim
- Provisionamento de usuários: Sim ; Isso permitirá que o Azure crie usuários em App Builder.
- Associação ao grupo de suprimentos: Sim
- Campo Store Claims: Opcional; Isso permite visibilidade dos dados de meta claims vindos da Microsoft para an App Builder usuário.
-
Clique em Salvar
- Observe que ao salvar App Builder emitirá um valor de Identificador exclusivo para este Provedor
Configurar os Parâmetros das Propriedades
Nesta etapa, você configurará 3 parâmetros que representam valores fornecidos pelo Microsoft Azure.
-
No painel Propriedades, crie as seguintes reivindicações:
-
Público:
https://**YourAzureprimarydomain.com**/**App-id-from-azure-app-reg**
Exemplo:
https://zudy.com/062e3d2f-c200-40bc-b402-5be728bcdd1r
-
MetadataAddress:
https://login.microsoftonline.com/***Your-Tenant-ID***/federationmetadata/2007-06/federationmetadata.xml
- Wtrealm:
https://**YourAzureprimarydomain.com**/**App-id-from-azure-app-reg**
-
-
Em Claims crie o seguinte:
- Procure pela palavra "groups" e selecione a primeira entrada que aparecer, que é
http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
- Procure pela palavra "groups" e selecione a primeira entrada que aparecer, que é
-
Para Uso, selecione Grupo
- Clique no ícone de marca de seleção para salvar
Mapa App Builder usuários e Grupos para Identidades do Azure
Na área Identidades do Secure, você verá agora uma entrada para o Provedor de Segurança criado. Quando os Usuários se autenticam em App Builder usando este Provedor de Segurança todas as identidades associadas fluirão e você verá os registros aparecerem nos painéis Grupos de Provedores e Identidades por Provedor de acordo.
No painel Grupos de Provedores você pode fornecer mapeamentos entre qualquer App Builder grupos e Grupos do Azure que você gostaria de usar, usando o campo Grupos. O campo Grupos aqui é um menu suspenso que lista todos os Grupos configurados em App Builder. Isso permitirá o provisionamento just in time.
Com Provisionamento de Usuário
Se você habilitou o provisionamento de usuários conforme descrito acima e tentar efetuar login, você poderá ser redirecionado de volta para o App Builder login. O formulário de login exibirá uma mensagem semelhante à seguinte:
The user account (arthur.dent@example.onmicrosoft.com) has not been granted access to an application.
No entanto App Builder conseguiu provisionar o usuário com sucesso, o usuário não tem acesso a nenhum App Builder aplicativos por padrão. Supondo que o usuário do Azure AD tenha sido adicionado a um ou mais grupos e que a Associação ao Grupo de Suprimentos esteja habilitada (conforme descrito acima), você precisará mapear os grupos de segurança do Azure AD para App Builder grupos de segurança. Para fazer isso:
- Faça login em App Builder como administrador
- Navegue até o IDE
- Clique no botão Gerenciamento de usuários
- Clique na aba Identidades
- No painel Provedores, realce seu novo provedor de segurança do Azure AD
- No painel Grupos de provedores, clique em + Grupo
-
Insira o nome de um grupo que você tenha no Microsoft Entra ID, juntamente com seu Identificador (ele pode ser encontrado abrindo um tipo de Grupo de Segurança em Grupos do AAD e anotando seu ID de Objeto).
Em seguida, escolha o App Builder grupo ao qual eles serão automaticamente adicionados como membros ao fazer login.
-
Clique no botão Salvar
Sem Provisionamento de Usuário
Se você não habilitou o provisionamento de usuário, a autenticação falhará com uma mensagem semelhante à seguinte:
Although you've successfully authenticated with Azure, the account arthur.dent@example.onmicrosoft.com (arthur.dent@example.onmicrosoft.com) is not associated with a local account.
Na mensagem acima, "arthur.dent@example.onmicrosoft.com" é o nome de usuário (chamado de "nome" na autenticação de declarações). A parte entre parênteses é o identificador exclusivo (chamado de "identificador de nome" na autenticação de declarações). Você precisará dessas duas informações para a próxima etapa.
- Faça login em App Builder como administrador
- Navegue até o IDE
- Clique no botão Gerenciamento de usuários
- Clique na aba Usuários
- No painel Usuários, selecione o usuário que deseja mapear
- No painel Identidades, clique no botão + Identidade
-
Forneça o seguinte:
- Provedor: Nome do provedor (veja acima)
- Nome: O nome de usuário do Azure (veja acima)
- Identificador: O identificador do nome de usuário do Azure (veja acima)
-
Clique no botão Salvar.
Sair de App Builder
Confirme que agora na página de Login há um botão "Entrar com …" que agora aparece, e ele lerá o Nome que você forneceu ao configurar o Provedor de Segurança
Exemplo de botão de login para novo provedor de segurança na página de login
Ao fazer o teste de login, você será redirecionado para autenticar com uma conta do Azure