Logon único baseado em SAML: configuração e limitações
Neste artigo, você aprenderá a configurar um aplicativo para logon único (SSO) baseado em SAML com o Microsoft Entra ID. Se concentrar na configuração do SSO SAML para aplicativos que são migrados dos Serviços de Federação do Ative Directory (ADFS) para o Microsoft Entra ID.
Os conceitos abordados incluem o mapeamento de usuários para funções de aplicativo específicas com base em regras e limitações a serem lembradas ao mapear atributos. Ele também abrange certificados de assinatura SAML, criptografia de token SAML, verificação de assinatura de solicitação SAML e provedores de declarações personalizadas.
Os aplicativos que usam SAML 2.0 para autenticação podem ser configurados para logon único (SSO) baseado em SAML. Com o SSO baseado em SAML, você pode mapear usuários para funções de aplicativo específicas com base em regras definidas em suas declarações SAML.
Para configurar um aplicativo SaaS para SSO baseado em SAML, consulte Guia de início rápido: configurar o logon único baseado em SAML.
Muitos aplicativos SaaS têm um tutorial específico do aplicativo que o orienta na configuração do SSO baseado em SAML.
Algumas aplicações podem ser migradas facilmente. Aplicativos com requisitos mais complexos, como declarações personalizadas, podem exigir configuração extra no Microsoft Entra ID e/ou Microsoft Entra Connect Health. Para obter informações sobre mapeamentos de declarações suportados, consulte Como personalizar declarações emitidas em tokens para um aplicativo específico em um locatário (Visualização).
Tenha em mente as seguintes limitações ao mapear atributos:
- Nem todos os atributos que podem ser emitidos no AD FS aparecem na ID do Microsoft Entra como atributos a serem emitidos para tokens SAML, mesmo que esses atributos estejam sincronizados. Quando você edita o atributo, a lista suspensa Valor mostra os diferentes atributos disponíveis no Microsoft Entra ID. Verifique a configuração dos artigos do Microsoft Entra Connect Sync para garantir que um atributo necessário — por exemplo, samAccountName — seja sincronizado com o ID do Microsoft Entra. Você pode usar os atributos de extensão para emitir qualquer declaração que não faça parte do esquema de usuário padrão no ID do Microsoft Entra.
- Nos cenários mais comuns, apenas a afirmação NameID e outras afirmações de identificador de utilizador comuns são necessárias para as aplicações. Para determinar se são necessárias declarações adicionais, examine quais declarações você está emitindo do AD FS.
- Nem todas as declarações podem ser emitidas, pois algumas declarações são protegidas no Microsoft Entra ID.
- A capacidade de usar tokens SAML criptografados está agora em visualização. Consulte Como personalizar declarações emitidas no token SAML para aplicativos corporativos.
Aplicativos de software como serviço (SaaS)
Se os usuários entrarem em aplicativos SaaS, como Salesforce, ServiceNow ou Workday, e estiverem integrados ao AD FS, você estará usando o logon federado para aplicativos SaaS.
A maioria dos aplicativos SaaS pode ser configurada no Microsoft Entra ID. A Microsoft tem muitas conexões pré-configuradas com aplicativos SaaS na galeria de aplicativos do Microsoft Entra, o que facilita sua transição. Os aplicativos SAML 2.0 podem ser integrados ao Microsoft Entra ID por meio da galeria de aplicativos do Microsoft Entra ou como aplicativos que não são de galeria.
Os aplicativos que usam OAuth 2.0 ou OpenID Connect podem ser integrados de forma semelhante ao Microsoft Entra ID como registros de aplicativos. Os aplicativos que usam protocolos herdados podem usar o proxy de aplicativo Microsoft Entra para autenticar com o Microsoft Entra ID.
Certificados de assinatura SAML para SSO
A assinatura de certificados é uma parte importante de qualquer implantação de SSO. O Microsoft Entra ID cria os certificados de assinatura para estabelecer SSO federado baseado em SAML para seus aplicativos SaaS. Depois de adicionar aplicativos de galeria ou não galeria, configure o aplicativo adicionado usando a opção SSO federado. Veja Gerir certificados para início de sessão único federado no Microsoft Entra ID.
Criptografia de token SAML
Tanto o AD FS quanto o Microsoft Entra ID fornecem criptografia de token — a capacidade de criptografar as asserções de segurança SAML que vão para aplicativos. As asserções são encriptadas com uma chave pública e desencriptadas pela aplicação recetora com a chave privada correspondente. Ao configurar a criptografia de token, você carrega arquivos de certificado X.509 para fornecer as chaves públicas.
Para obter informações sobre a criptografia de token SAML do Microsoft Entra e como configurá-la, consulte Como configurar a criptografia de token SAML do Microsoft Entra.
Nota
A criptografia de token é um recurso do Microsoft Entra ID P1 ou P2. Para saber mais sobre as edições, recursos e preços do Microsoft Entra, consulte Preços do Microsoft Entra.
Verificação de assinatura de solicitação SAML
Essa funcionalidade valida a assinatura de solicitações de autenticação assinadas. Um administrador de aplicativo habilita e desabilita a imposição de solicitações assinadas e carrega as chaves públicas que devem ser usadas para fazer a validação. Para obter mais informações, consulte Como impor solicitações de autenticação SAML assinadas.
Fornecedores de declarações personalizadas (pré-visualização)
Para migrar dados de sistemas herdados, como ADFS, ou armazenamentos de dados, como LDAP, seus aplicativos dependem de determinados dados nos tokens. Você pode usar provedores de declarações personalizados para adicionar declarações ao token. Para obter mais informações, consulte Visão geral do provedor de declarações personalizadas.
Aplicativos e configurações que podem ser movidos hoje
Os aplicativos que você pode mover facilmente hoje incluem aplicativos SAML 2.0 que usam o conjunto padrão de elementos de configuração e declarações. Estes itens padrão são:
- Nome Principal do Utilizador
- Endereço de e-mail
- Nome próprio
- Apelido
- Atributo alternativo como SAML NameID, incluindo o atributo de email Microsoft Entra ID, prefixo de email, ID de funcionário, atributos de extensão 1-15 ou atributo SamAccountName local. Para obter mais informações, veja Editing the NameIdentifier claim (Editar a afirmação NameIdentifier).
- Afirmações personalizadas.
O seguinte requer mais etapas de configuração para migrar para o Microsoft Entra ID:
- Regras personalizadas de autorização ou autenticação multifator (MFA) no AD FS. Você os configura usando o recurso de acesso condicional do Microsoft Entra.
- Aplicativos com vários pontos de extremidade de URL de resposta. Você os configura no Microsoft Entra ID usando o PowerShell ou a interface do centro de administração do Microsoft Entra.
- Aplicações WS-Federation, como as aplicações do SharePoint, que precisam de tokens SAML da versão 1.1. Você pode configurá-los manualmente usando o PowerShell. Você também pode adicionar um modelo genérico pré-integrado para aplicativos SharePoint e SAML 1.1 da galeria. Suportamos o protocolo SAML 2.0.
- A emissão de sinistros complexos transforma as regras. Para obter informações sobre mapeamentos de declarações suportados, consulte:
Aplicativos e configurações não suportados no Microsoft Entra hoje
Os aplicativos que exigem determinados recursos não podem ser migrados hoje.
Capacidades de protocolo
Os aplicativos que exigem os seguintes recursos de protocolo não podem ser migrados hoje:
- Suporte para o padrão WS-Trust Atas
- Resolução de artefactos SAML
Mapear configurações do aplicativo do AD FS para o ID do Microsoft Entra
A migração requer a avaliação de como o aplicativo está configurado no local e, em seguida, o mapeamento dessa configuração para o Microsoft Entra ID. O AD FS e o ID do Microsoft Entra funcionam de forma semelhante, portanto, os conceitos de configuração de confiança, URLs de entrada e saída e identificadores se aplicam em ambos os casos. Documente as definições de configuração do AD FS das suas aplicações para que possa configurá-las facilmente no Microsoft Entra ID.
Mapear definições de configuração do aplicativo
A tabela a seguir descreve alguns dos mapeamentos mais comuns de configurações entre uma Confiança de Terceira Parte Confiável do AD FS para o Aplicativo Empresarial Microsoft Entra:
- AD FS—Encontre a configuração na Confiança de Terceira Parte Confiável do AD FS para o aplicativo. Clique com o botão direito do mouse na terceira parte confiável e selecione Propriedades.
- ID do Microsoft Entra—A configuração é definida no centro de administração do Microsoft Entra nas propriedades de SSO de cada aplicativo.
| Definição de configuração | AD FS | Como configurar no Microsoft Entra ID | SAML Token |
|---|---|---|---|
| URL de início de sessão da aplicação A URL para o usuário entrar no aplicativo em um fluxo SAML iniciado por um provedor de serviços (SP). |
N/A | Abrir a Configuração Básica de SAML a partir do início de sessão baseado em SAML | N/A |
| URL de resposta do aplicativo A URL do aplicativo da perspetiva do provedor de identidade (IdP). O IdP envia o usuário e o token aqui depois que o usuário entra no IdP. Também conhecido como ponto de extremidade do consumidor de asserção SAML. |
Selecione a guia Pontos de extremidade | Abrir a Configuração Básica de SAML a partir do início de sessão baseado em SAML | Elemento de destino no token SAML. Valor de exemplo: https://contoso.my.salesforce.com |
| URL de saída do aplicativo A URL para a qual as solicitações de limpeza de saída são enviadas quando um usuário sai de um aplicativo. O IdP também envia a solicitação para sair do usuário de todos os outros aplicativos. |
Selecione a guia Pontos de extremidade | Abrir a Configuração Básica de SAML a partir do início de sessão baseado em SAML | N/A |
| Identificador do aplicativo O identificador do aplicativo da perspetiva do IdP. O valor do URL de início de sessão é, muitas vezes, utilizado como o identificador (mas não sempre). Às vezes, o aplicativo chama isso de ID da entidade. |
Selecione a guia Identificadores | Abrir a Configuração Básica de SAML a partir do início de sessão baseado em SAML | Mapeia para o elemento Audience no token SAML. |
| Metadados de federação de aplicativos O local dos metadados de federação do aplicativo. O IdP utiliza-os para atualizar automaticamente definições de configuração específicas, como pontos finais ou certificados de encriptação. |
Selecione a guia Monitoramento | N/A. O Microsoft Entra ID não suporta o consumo direto de metadados de federação de aplicativos. Você pode importar manualmente os metadados de federação. | N/A |
| Identificador de usuário/ ID de nome Atributo usado para indicar exclusivamente a identidade do usuário do ID do Microsoft Entra ou AD FS para seu aplicativo. Normalmente, este atributo é o UPN ou o endereço de e-mail do utilizador. |
Regras de reclamação. Na maioria dos casos, a regra de declaração emite uma declaração com um tipo que termina com NameIdentifier. | Você pode encontrar o identificador sob o cabeçalho User Attributes and Claims. Por padrão, o UPN é aplicado | Mapeia para o elemento NameID no token SAML. |
| Outras reivindicações Exemplos de outras informações de declaração que normalmente são enviadas do IdP para o aplicativo incluem nome, sobrenome, endereço de e-mail e associação ao grupo. |
No AD FS, está disponível como outras regras de afirmação na entidade confiadora. | Você pode encontrar o identificador sob o cabeçalho User Attributes & Claims. Selecione Vista e edite todos os outros atributos de utilizador | N/A |
Mapear configurações do Provedor de Identidade (IdP)
Configure seus aplicativos para apontar para Microsoft Entra ID versus AD FS para SSO. Aqui, estamos nos concentrando em aplicativos SaaS que usam o protocolo SAML. No entanto, esse conceito também se estende a aplicativos de linha de negócios personalizados.
Nota
Os valores de configuração para o Microsoft Entra ID seguem o padrão em que a ID do Locatário do Azure substitui {tenant-id} e a ID do Aplicativo substitui {application-id}. Você encontra essas informações no centro de administração do Microsoft Entra em Propriedades do Microsoft Entra ID>:
- Selecione ID do diretório para ver sua ID do locatário.
- Selecione ID do aplicativo para ver o ID do aplicativo.
Em um alto nível, mapeie os seguintes principais elementos de configuração de aplicativos SaaS para o Microsoft Entra ID.
| Elemento | Valor da configuração |
|---|---|
| Emissor do provedor de identidade | https://sts.windows.net/{tenant-id}/ |
| URL de início de sessão do fornecedor de identidade | https://login.microsoftonline.com/{tenant-id}/saml2 |
| URL de saída do provedor de identidade | https://login.microsoftonline.com/{tenant-id}/saml2 |
| Localização dos metadados de federação | https://login.windows.net/{tenant-id}/federationmetadata/2007-06/federationmetadata.xml?appid={application-id} |
Mapear configurações de SSO para aplicativos SaaS
Os aplicativos SaaS precisam saber para onde enviar solicitações de autenticação e como validar os tokens recebidos. A tabela a seguir descreve os elementos para definir as configurações de SSO no aplicativo e seus valores ou locais no AD FS e no Microsoft Entra ID.
| Definição de configuração | AD FS | Como configurar no Microsoft Entra ID |
|---|---|---|
| URL de início de sessão do IdP URL de início de sessão do IdP da perspetiva da aplicação (para onde o utilizador é redirecionado para início de sessão). |
A URL de início de sessão do AD FS é o nome do serviço de federação do AD FS seguido de /adfs/ls/. Por exemplo: |
Substitua {tenant-id} pelo seu ID de inquilino. Para aplicativos que usam o protocolo SAML-P: Para aplicativos que usam o protocolo WS-Federation: |
| URL de saída do IdP URL de saída do IdP da perspetiva do aplicativo (para onde o usuário é redirecionado quando opta por sair do aplicativo). |
O URL de saída é o mesmo que o URL de início de sessão ou o mesmo URL com wa=wsignout1.0 anexado. Por exemplo: https://fs.contoso.com/adfs/ls/?wa=wsignout1.0 |
Substitua {tenant-id} pelo seu ID de inquilino. Para aplicativos que usam o protocolo SAML-P: Para aplicativos que usam o protocolo WS-Federation: |
| Certificado de assinatura de token O IdP usa a chave privada do certificado para assinar tokens emitidos. Verifica se o token provém do mesmo IdP para o qual a aplicação está configurada para confiar. |
O certificado de assinatura de tokens do AD FS está disponível na Gestão do AD FS, em Certificados. | Encontre-o no centro de administração do Microsoft Entra nas propriedades de logon único do aplicativo sob o cabeçalho Certificado de Assinatura SAML. Aí, pode transferir o certificado para carregamento para a aplicação. Se a aplicação tiver mais de um certificado, todos os certificados estão disponíveis no ficheiro XML dos metadados de federação. |
| Identificador/ "emitente" Identificador do IdP da perspetiva do aplicativo (às vezes chamado de "ID do emissor"). No token SAML, o valor aparece como o elemento Emissor. |
O identificador do AD FS geralmente é o identificador do serviço de federação no Gerenciamento do AD FS em Propriedades > do Serviço de Edição do Serviço de Federação. Por exemplo: http://fs.contoso.com/adfs/services/trust |
Substitua {tenant-id} pelo seu ID de inquilino. |
| Metadados de federação do IdP Localização dos metadados de federação publicamente disponíveis do IdP. (Algumas aplicações utilizam os metadados de federação como alternativa à configuração individual, por parte do administrador, de URLs, do identificador e do certificado de assinatura de tokens.) |
Localize a URL de metadados de federação do AD FS no Gerenciamento do AD FS em Tipo de Metadados > de Pontos de Extremidade > de Serviço>: Metadados de Federação. Por exemplo: https://fs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml |
O valor correspondente para Microsoft Entra ID segue o padrão https://login.microsoftonline.com/{TenantDomainName}/FederationMetadata/2007-06/FederationMetadata.xml. Substitua {TenantDomainName} pelo nome do locatário no formato contoso.onmicrosoft.com. Para obter mais informações, veja Federation metadata (Metadados da federação). |
Próximos passos
- Represente as políticas de segurança do AD FS na ID do Microsoft Entra.