Konfigurace aplikace SAML pro příjem tokenů s deklaracemi identity z externího úložiště

Tento článek popisuje, jak nakonfigurovat aplikaci SAML tak, aby přijímala tokeny s externími deklaracemi identity od vašeho vlastního zprostředkovatele deklarací.

Požadavky

Před konfigurací aplikace SAML pro příjem tokenů s externími deklaracemi identity nejprve postupujte podle těchto částí:

• Konfigurace události spuštění vlastního zprostředkovatele deklarací identity
• Registrace vlastního rozšíření deklarací identity

Konfigurace aplikace SAML, která přijímá rozšířené tokeny

Jednotliví správci nebo vlastníci aplikací můžou pomocí vlastního zprostředkovatele deklarací identity rozšířit tokeny pro stávající aplikace nebo nové aplikace. Tyto aplikace můžou používat tokeny v JWT (pro openID connect) nebo ve formátech SAML.

Následující kroky slouží k registraci ukázkové aplikace XRayClaims , abyste mohli otestovat, jestli může přijímat token s obohacenými deklaracemi identity.

Přidání nové aplikace SAML

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Přidejte novou aplikaci SAML mimo galerii ve vašem tenantovi:

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudových aplikací.

2. Přejděte k podnikovým aplikacím> identit.>

3. Vyberte Možnost Nová aplikace a pak Vytvořte vlastní aplikaci.

4. Přidejte název aplikace. Například AzureADClaimsXRay. Vyberte možnost Integrovat jakoukoli jinou aplikaci, kterou nenajdete v galerii (mimo galerii) a vyberte Vytvořit.

Konfigurace jednotného přihlašování pomocí SAML

Nastavení jednotného přihlašování pro aplikaci:

1. Na stránce Přehled vyberte Nastavit jednotné přihlašování a pak SAML. Vyberte Upravit v základní konfiguraci SAML.

2. Vyberte Přidat identifikátor a jako identifikátor přidejte "urn:microsoft:adfs:claimsxray". Pokud už tento identifikátor používá jiná aplikace ve vaší organizaci, můžete použít alternativu, jako je urn:microsoft:adfs:claimsxray12.

3. Vyberte adresu URL odpovědi a přidejte https://adfshelp.microsoft.com/ClaimsXray/TokenResponse ji jako adresu URL odpovědi.

4. Zvolte Uložit.

Konfigurace deklarací identity

Atributy, které vrací vaše vlastní rozhraní API zprostředkovatele deklarací identity, se automaticky nezahrnou do tokenů vrácených ID Microsoft Entra. Aplikaci musíte nakonfigurovat tak, aby odkazovala na atributy vrácené vlastním zprostředkovatelem deklarací identity a vracela je jako deklarace identity v tokenech.

1. Na stránce konfigurace podnikových aplikací pro danou novou aplikaci přejděte do podokna jednotného přihlašování.

2. Výběr možnosti Upravit pro oddíl Atributy a deklarace identity

3. Rozbalte část Upřesnit nastavení.

4. Vyberte možnost Konfigurovat pro vlastního zprostředkovatele deklarací identity.

5. V rozevíracím seznamu Vlastní zprostředkovatel deklarací identity vyberte vlastní rozšíření ověřování, které jste zaregistrovali dříve. Zvolte Uložit.

6. Vyberte Přidat novou deklaraci identity a přidejte novou deklaraci identity.

7. Zadejte název deklarace identity, kterou chcete vystavit, například DoB. Volitelně můžete nastavit identifikátor URI oboru názvů.

8. V části Zdroj vyberte Atribut a v rozevíracím seznamu Zdroj vyberte atribut od vlastního zprostředkovatele deklarací identity. Zobrazené atributy jsou atributy definované jako "zpřístupnit", které vlastní zprostředkovatel deklarací identity v konfiguraci vlastního zprostředkovatele deklarací identity. Atributy poskytované zprostředkovatelem vlastních deklarací identity mají předponu customclaimsprovider. Například customclaimsprovider. DateOfBirth a customclaimsprovider. Vlastnírole. Tyto deklarace identity můžou být jednohodnotové nebo vícehodnotové, závisí na vaší odpovědi rozhraní API.

9. Výběrem možnosti Uložit přidejte deklaraci identity do konfigurace tokenu SAML.

10. Zavřete okna Správa deklarací identity a atributů a deklarací identity.

Přiřazení uživatele nebo skupiny k aplikaci

Před testováním přihlášení uživatele musíte k aplikaci přiřadit uživatele nebo skupinu uživatelů. Pokud ne, AADSTS50105 - The signed in user is not assigned to a role for the application chyba se vrátí při přihlášení.

1. Na stránce Přehled aplikace vyberte v části Začínáme přiřadit uživatele a skupiny.

2. Na stránce Uživatelé a skupiny vyberte Přidat uživatele nebo skupinu.

3. Vyhledejte a vyberte uživatele, který se má přihlásit k aplikaci. Vyberte tlačítko Přiřadit.

Testování aplikace

Otestujte, že se token rozšiřuje pro uživatele, kteří se přihlašují k aplikaci:

1. Na stránce přehledu aplikace vyberte na levém navigačním panelu jednotné přihlašování.

2. Posuňte se dolů a vyberte Testovat pod testovacím jednotným přihlašováním pomocí aplikace {app name}.

3. Vyberte Testovací přihlášení a přihlaste se. Na konci přihlášení by se měl zobrazit nástroj X-ray deklarací deklarací odpovědí tokenu. Deklarace identity, které jste nakonfigurovali tak, aby se zobrazily v tokenu, by měly být uvedené, pokud mají hodnoty, které nemají hodnotu null, včetně všech, které jako zdroj používají vlastního zprostředkovatele deklarací identity.

Další kroky

Řešení potíží s vlastním rozhraním API zprostředkovatele deklarací identity

Zobrazení triggeru událostí ověřování pro ukázkovou aplikaci Azure Functions