Ir para o conteúdo

Configurando o Microsoft Entra ID usando WS-Federation no Jitterbit App Builder

O App Builder integra-se com o Microsoft Entra ID usando o protocolo WS-Federation, permitindo o logon único. Cada instância do App Builder deve ser configurada individualmente para funcionar com o Microsoft Entra ID e vice-versa. Há três tarefas principais envolvidas:

  1. Registre o App Builder como um aplicativo Microsoft Entra ID
  2. Configurar o Microsoft Entra ID como um provedor de segurança do App Builder
  3. Mapear usuários e grupos do App Builder para identidades do Azure

Requisitos

Para prosseguir, você precisará do seguinte:

  • Acesso de administrador a uma conta do Azure com um serviço Microsoft Entra ID
  • Acesso de administrador ao App Builder
  • O App Builder deve estar disponível via HTTPS com um certificado SSL válido

Propriedades

Este documento fará referência às seguintes propriedades.

Exemplo Notas
URL do App Builder https://example.com/App Builder/ O App Builder deve ser acessível via HTTPS. A URL deve incluir a barra final. O caminho diferencia maiúsculas de minúsculas.
Nome do Provedor Azure Normalmente, o nome do provedor deve corresponder ao nome de domínio do Active Directory. Como o nome do provedor aparecerá na URL de Logon (veja abaixo), evite espaços, pontuação e caracteres especiais.
URL de logon Diretório raiz do App Builder /signin-[Nome do provedor de segurança]

https://example.com/App Builder/signin-Azure		 URL de retorno de chamada provisionada automaticamente ao criar o provedor de segurança do Microsoft Entra ID no App Builder.

O exemplo fornecido aqui pressupõe que: example.com é o nome do host, https://example.com/App Builder/ é o diretório raiz do aplicativo App Builder e que Azure é o nome do Provedor de Segurança do Azure.

Registre o App Builder como um aplicativo Microsoft Entra ID

A instância do App Builder deve ser registrada como aplicativo Microsoft Entra ID. A página a seguir documenta o processo:

https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-integrating-applications

Resumidamente:

  1. Efetue login no Portal do Microsoft Azure
  2. Navegue até o centro de administração do Azure Active Directory
  3. Clique em Azure Active Directory na navegação
  4. Clique em Registros de aplicativos
  5. Crie um Novo Registro e forneça o Nome como App Builder

  6. Digite seu URI de redirecionamento como https://yourdomainname.com/signin-App Builder (Altere ' App Builder' para qualquer nome que você usará nos Provedores de Segurança do App Builder .)

    redirecionamentodediretórioativo.png

  7. Clique em Registrar

  8. Abra o aplicativo recém-criado que você registrou e, na barra lateral Gerenciar, selecione Manifesto:

    1. Anote a string appId, como '"appId": "062e3d2f-c200-40bc-b402-5be728bcdd1a",'
    2. Anote seu domínio principal, mostrado nas "Informações do locatário" do seu Microsoft Entra ID.

    3. Edite as seguintes linhas da seguinte forma:

      Edição:

      "groupMembershipClaims": null,
    "identifierUris": [],

      Para ser:

      "groupMembershipClaims": "SecurityGroup",
    "identifierUris": [
        "https://[yourprimarydomain.com]/[appId]"
    ],

    Exemplo: se o domínio principal do Azure Tenant for zudy.com:

    admanifest.png

  9. Clique em Salvar

  10. Clique em Visão geral na navegação
  11. Clique na aba Endpoints
  12. Onde estiver escrito Documento de metadados da federação, clique no ícone copiar para a área de transferência e cole o valor em algum lugar que você possa consultar mais tarde (por exemplo, Bloco de notas)

Conecte e configure um novo provedor de segurança no App Builder

Nesta etapa, você definirá o novo Security Provider para o Microsoft Entra ID. Isso inclui definir o Type como serviços WS-Federation, definir os parâmetros Audience, MetadataAddress e Wtrealm (fornecidos pela Microsoft) e configurar os Claim Types emitidos pela Microsoft para se alinharem a qualquer mapeamento de Group dentro do App Builder.

  1. Navegue até o IDE
  2. Selecione Provedores de segurança
  3. Clique em + Autenticação do usuário em Autenticação do usuário
  4. Selecione o tipo como WS-Federation
  5. Forneça um Nome que corresponda ao que você usou para configurar o URI de redirecionamento. Por exemplo: Azure

  6. Opções para alterar: (Deixar como está para não listado)

    • Nome: ('** Azure**' no exemplo)
    • Tipo: WS-Federation
    • Habilitado: Sim
    • Provisionamento de usuários: Sim ; Isso permitirá que o Azure crie usuários no App Builder.
    • Associação ao Grupo de Suprimentos: Sim
    • Campo Armazenar declarações: Opcional; Isso permite visibilidade dos dados de meta declarações provenientes da Microsoft para um usuário do App Builder.

  7. Clique em Salvar

  8. Observe que, ao salvar, o App Builder emitirá um valor de identificador exclusivo para este provedor

Configurar os parâmetros das propriedades

Nesta etapa, você configurará 3 parâmetros que representam valores fornecidos pelo Microsoft Azure.

  1. No painel Propriedades, crie as seguintes reivindicações:

    • Público: https://**YourAzureprimarydomain.com**/**App-id-from-azure-app-reg**

      Exemplo: https://zudy.com/062e3d2f-c200-40bc-b402-5be728bcdd1r

    • MetadataAddress: https://login.microsoftonline.com/***Your-Tenant-ID***/federationmetadata/2007-06/federationmetadata.xml

    • Wtrealm: https://**YourAzureprimarydomain.com**/**App-id-from-azure-app-reg**

  2. Em Claims crie o seguinte:

    • Procure pela palavra "groups" e selecione a primeira entrada que aparecer, que é http://schemas.microsoft.com/ws/2008/06/identity/claims/groups

  3. Para Uso, selecione Grupo

  4. Clique no ícone de marca de seleção para salvar

Mapear usuários e grupos do App Builder para identidades do Azure

Na área Identities do Secure, você verá agora uma entrada para o Security Provider criado. Quando os usuários se autenticarem no App Builder usando este Security Provider, todas as identidades associadas fluirão e você verá os registros aparecerem nos painéis Provider Groups e Identities by Provider de acordo.

No painel Provider Groups, você pode fornecer mapeamentos entre quaisquer App Builder Groups e Azure Groups que desejar, usando o campo Groups. O campo Groups aqui é um menu suspenso que lista todos os Groups configurados no App Builder. Isso habilitará o provisionamento just in time.

Com provisionamento de usuário

Se você habilitou o provisionamento de usuário conforme descrito acima e tentar efetuar login, você poderá ser redirecionado de volta para o login do App Builder. O formulário de login exibirá uma mensagem semelhante à seguinte:

The user account (arthur.dent@example.onmicrosoft.com) has not been granted access to an application.

Embora o App Builder tenha conseguido provisionar o usuário com sucesso, o usuário não tem acesso a nenhum aplicativo do App Builder por padrão. Supondo que o usuário do Microsoft Entra ID tenha sido adicionado a um ou mais grupos e que a Associação ao Grupo de Suprimentos esteja habilitada (conforme descrito acima), você precisará mapear os grupos de segurança do Microsoft Entra ID para os grupos de segurança do App Builder. Para fazer isso:

  1. Faça login no App Builder como administrador
  2. Navegue até o IDE
  3. Clique no botão Gerenciamento de usuários
  4. Clique na aba Identidades
  5. No painel Provedores, realce seu novo provedor de segurança Microsoft Entra ID
  6. No painel Grupos de provedores, clique em + Grupo

  7. Insira o nome de um grupo que você tenha dentro do Microsoft Entra ID, junto com seu Identificador (ele pode ser encontrado abrindo um tipo de Grupo de Segurança dentro dos Grupos do Microsoft Entra ID e anotando seu ID de Objeto).

    Em seguida, escolha o grupo do App Builder ao qual eles serão adicionados automaticamente como membros ao efetuar login.

  8. Clique no botão Salvar

Sem provisionamento de usuário

Se você não habilitou o provisionamento de usuário, a autenticação falhará com uma mensagem semelhante à seguinte:

Although you've successfully authenticated with Azure, the account arthur.dent@example.onmicrosoft.com (arthur.dent@example.onmicrosoft.com) is not associated with a local account.

Na mensagem acima, "arthur.dent@example.onmicrosoft.com" é o nome de usuário (chamado de "nome" na autenticação de declarações). A parte entre parênteses é o identificador exclusivo (chamado de "identificador de nome" na autenticação de declarações). Você precisará dessas duas informações para a próxima etapa.

  1. Faça login no App Builder como administrador
  2. Navegue até o IDE
  3. Clique no botão Gerenciamento de usuários
  4. Clique na aba Usuários
  5. No painel Usuários, selecione o usuário que deseja mapear
  6. No painel Identidades, clique no botão + Identidade

  7. Forneça o seguinte:

    • Provedor: Nome do provedor (veja acima)
    • Nome: O nome de usuário do Azure (veja acima)
    • Identificador: O identificador do nome de usuário do Azure (veja acima)

  8. Clique no botão Salvar.

Sair do App Builder

Confirme que agora na página de Login há um botão "Entrar com …" que agora aparece, e ele lerá o Nome que você forneceu ao configurar o Provedor de Segurança

Entrar 0365

Exemplo de botão de login para novo provedor de segurança na página de login

Ao fazer o teste de login, você será redirecionado para autenticar com uma conta do Azure