Configure um aplicativo SAML para receber tokens com declarações de um armazenamento externo

Este artigo descreve como configurar um aplicativo SAML para receber tokens com declarações externas do seu provedor de declarações personalizadas.

Pré-requisitos

Antes de configurar um aplicativo SAML para receber tokens com declarações externas, primeiramente siga estas seções:

• Configurar um evento de início de emissão de token do provedor de declarações personalizadas
• Registrar uma extensão de declarações personalizadas

Configurar um aplicativo SAML que receba tokens enriquecidos

Os administradores ou proprietários de aplicativos individuais podem usar um provedor de declarações personalizado para enriquecer tokens para aplicativos existentes ou novos aplicativos. Esses aplicativos podem usar tokens nos formatos JWT (para OpenID Connect) ou SAML.

As etapas a seguir são para registrar um aplicativo de demonstração XRayClaims para que você possa testar se ele pode receber um token com declarações enriquecidas.

Adicionar um novo aplicativo SAML

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Adicione um novo aplicativo SAML que não seja da galeria ao seu locatário:

1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Aplicativo de nuvem.

2. Navegue até Identidade>Aplicativos>Aplicativos Empresariais.

3. Selecione Novo aplicativo e, em seguida, Criar seu próprio aplicativo.

4. Adicionar um nome para o aplicativo. Por exemplo, AzureADClaimsXRay. Selecione a opção Integrar qualquer outro aplicativo que você não encontrar na galeria (Que não seja da galeria) e selecione Criar.

Configurar o logon único com SAML

Configurar o logon único no aplicativo:

1. Na página Visão geral, selecione Configurar Logon Único e, em seguida, SAML. Selecione Editar em Configuração Básica de SAML.

2. Selecione Adicionar identificador e adicione "urn:microsoft:adfs:claimsxray" como o identificador. Se esse identificador já estiver sendo usado por outro aplicativo em sua organização, você poderá usar uma alternativa como urn:microsoft:adfs:claimsxray12

3. Selecione URL de resposta e adicione https://adfshelp.microsoft.com/ClaimsXray/TokenResponse como a URL de resposta.

4. Clique em Salvar.

Configurar declarações

Os atributos retornados pela API do provedor de declarações personalizadas não são incluídos automaticamente nos tokens retornados pela ID do Microsoft Entra. Você precisa configurar seu aplicativo para fazer referência aos atributos retornados pelo provedor de declarações personalizadas e devolvê-los como declarações em tokens.

1. Na página de configuração de Aplicativos empresariais desse novo aplicativo, vá para o painel Logon único.

2. Selecione Editar na seção Atributos e Declarações

3. Expanda a seção Configurações avançadas.

4. Selecione Configurar para Provedor de declarações personalizadas.

5. Selecione a extensão de autenticação personalizada que você registrou anteriormente na lista suspensa Provedor de declarações personalizadas. Selecione Salvar.

6. Selecione Adicionar nova declaração para adicionar uma nova declaração.

7. Forneça um nome para a declaração que você deseja que seja emitida, por exemplo, "DOB". Opcionalmente, defina um URI do namespace.

8. Para Origem, selecione Atributo e escolha o atributo fornecido pelo provedor de declarações personalizadas na lista suspensa Atributo de origem. Os atributos mostrados são os atributos definidos como 'a serem disponibilizados' pelo provedor de declarações personalizadas na configuração do seu provedor de declarações personalizadas. Os atributos fornecidos pelo provedor de declarações personalizadas são prefixados com customclaimsprovider. Por exemplo, customclaimsprovider.DateOfBirth e customclaimsprovider.CustomRoles. Essas declarações podem ser de valor único ou múltiplo, dependendo da resposta da API.

9. Selecione Salvar para adicionar a declaração à configuração do token de SAML.

10. Feche as janelas Gerenciar declaração e Atributos e Declarações.

Atribuir um usuário ou um grupo ao aplicativo

Antes de testar a entrada do usuário, você precisa atribuir um usuário ou grupo de usuários ao aplicativo. Se você não fizer isso, o erro AADSTS50105 - The signed in user is not assigned to a role for the application retornará ao entrar.

1. Na página Visão geral do aplicativo, selecione Atribuir usuários e grupos em Introdução.

2. Na página Usuários e grupos, selecione Adicionar usuário/grupo.

3. Pesquise e selecione o usuário para entrar no aplicativo. Selecione o botão Atribuir.

Testar o aplicativo

Teste se o token está sendo enriquecido para usuários que entram no aplicativo:

1. Na página de visão geral do aplicativo, selecione Logon único na barra de navegação esquerda.

2. Role para baixo e selecione Teste em Testar logon único com {app name}.

3. Selecione Iniciar sessão de teste e inicie a sessão. No final da sua entrada, você deve ver a ferramenta Raio-X de Declarações de Resposta de Token. As declarações configuradas para aparecerem no token deverão ser listadas se tiverem valores não nulos, incluindo qualquer uma que use o provedor de declarações personalizadas como fonte.

Próximas etapas

Solucionar problemas da sua API do provedor de declarações personalizadas.

Veja o aplicativo de exemplo Gatilho de Eventos de Autenticação para o Azure Functions.