Tutorial: Desarrollo de un punto de conexión SCIM de ejemplo en Microsoft Entra ID

En este tutorial se describe cómo implementar el código de referencia de SCIM con Azure App Service. A continuación, pruebe el código mediante Postman o mediante la integración con el servicio de aprovisionamiento de Microsoft Entra. Este tutorial va dirigido a desarrolladores que buscan empezar a trabajar con SCIM o a usuarios interesados en probar un punto de conexión de SICM.

En este tutorial, aprenderá a:

• Implementar el punto de conexión de SCIM en Azure
• Probar el punto de conexión de SCIM

Implementación de un punto de conexión de SCIM en Azure

Los pasos que se proporcionan aquí permiten implementar el punto de conexión de SCIM en un servicio mediante Visual Studio 2019 y Visual Studio Code con Azure App Service. El código de referencia de SCIM se puede ejecutar localmente, hospedar en un servidor local o implementar en otro servicio externo. Para obtener información sobre el aprovisionamiento de un punto de conexión SCIM, consulte Tutorial: Desarrollo y planeación del aprovisionamiento de un punto de conexión de SCIM.

Obtención e implementación de la aplicación de ejemplo

Vaya al código de referencia de GitHub y seleccione Clonar o descargar. Elija Open in Desktop (Abrir en el escritorio), o bien, copie el vínculo, abra Visual Studio y seleccione Clonar o extraer código del repositorio para escribir el vínculo copiado y crear una copia local. Guarde los archivos en una carpeta en la que la longitud total de caracteres de la ruta de acceso sea igual o inferior a 260.

Visual Studio

1. En Visual Studio, asegúrese de iniciar sesión en la cuenta que tiene acceso a los recursos de hospedaje.

2. En el Explorador de soluciones, abra Microsoft.SCIM.sln y haga clic con el botón derecho en el archivo Microsoft.SCIM.WebHostSample. Seleccione Publish.

   

   Nota:

   Para ejecutar esta solución de forma local, haga doble clic en el proyecto y seleccione IIS Express para iniciar el proyecto como una página web con una dirección URL de host local. Para obtener más información, vea Introducción a IIS Express.

3. Seleccione Crear perfil y asegúrese de que App Service y Crear nuevo estén seleccionados.

   

4. Recorra las opciones del cuadro de diálogo y cambie el nombre de la aplicación por un nombre de su elección. Este nombre se usa tanto en la dirección URL de la aplicación como en el punto de conexión de SCIM.

   

5. Seleccione el grupo de recursos que quiera usar y elija Publicar.

   

Visual Studio Code

1. En Visual Studio Code, asegúrese de iniciar sesión en la cuenta que tiene acceso a los recursos de hospedaje.

2. En Visual Studio Code, abra la carpeta que contiene el archivo Microsoft.SCIM.sln.

3. Abra el terminal integrado en Visual Studio Code y ejecute el comando dotnet restore. Este comando restaura los paquetes enumerados en los archivos del proyecto.

4. En el terminal, cambie el directorio mediante el comando cd Microsoft.SCIM.WebHostSample.

5. Para ejecutar la aplicación localmente, ejecute el comando de la CLI de .NET en el terminal. dotnet run ejecuta el proyecto Microsoft.SCIM.WebHostSample mediante el entorno de desarrollo.

   dotnet run --environment Development
   

6. Si no está instalado, agregue la extensión de Azure App Service para Visual Studio Code.

7. Para implementar la aplicación Microsoft.SCIM.WebHostSample en App de Azure Services, cree una instancia de App Services.

8. En el terminal de Visual Studio Code, ejecute el comando de la CLI de .NET. Este comando crea una carpeta de publicación implementable para la aplicación en el directorio bin/debug/publish.

   dotnet publish -c Debug
   

9. En el explorador de Visual Studio Code, haga clic con el botón derecho en la carpeta publish generada y seleccione Implementar en aplicación web.

10. Se abre un nuevo flujo de trabajo en la paleta de comandos de la parte superior de la pantalla. Seleccione la suscripción en la que quiere publicar la aplicación.

11. Seleccione la aplicación web de App Service que creó anteriormente.

12. Si Visual Studio Code le pide que confirme, seleccione Implementar. El proceso de implementación puede tardar unos minutos. Cuando se complete el proceso, debería aparecer una notificación en la esquina inferior derecha que le pide que vaya a la aplicación implementada.

Configuración de App Service

Vaya a la aplicación en Azure App Service>Configuración y seleccione Nueva configuración de la aplicación para agregar la opción Token__TokenIssuer con el valor https://sts.windows.net/<tenant_id>/. Reemplace <tenant_id> por su id. de inquilino de Microsoft Entra. Si quiere probar el punto de conexión de SCIM mediante Postman, agregue una opción ASPNETCORE_ENVIRONMENT con el valor Development.

Al probar el punto de conexión con una aplicación empresarial en el centro de administración de Microsoft Entra, tiene dos opciones. Puede mantener el entorno en Development y proporcionar el token de prueba desde el punto de conexión /scim/token o puede cambiar el entorno a Production y dejar el campo de token vacío.

Eso es todo. El punto de conexión de SCIM ahora está publicado y le permite usar la dirección URL de Azure App Service para probarlo.

Prueba de un punto de conexión de SCIM

Las solicitudes a un punto de conexión de SCIM requieren autorización. El estándar SCIM tiene varias opciones disponibles. Las solicitudes pueden utilizar cookies, autenticación básica, autenticación de cliente TLS o cualquiera de los métodos enumerados en RFC 7644.

Evite métodos poco seguros, como nombre de usuario y contraseña, y use mejor los seguros, como OAuth. Microsoft Entra ID admite tokens de portador de larga duración (para aplicaciones de la galería y ajenas a la galería) y la concesión de autorización OAuth (para aplicaciones publicadas de la galería).

Nota:

Los métodos de autorización proporcionados en el repositorio son solo con fines de prueba. Al realizar la integración con Microsoft Entra ID, puede revisar la guía de autorización. Consulte Planeamiento del aprovisionamiento de un punto de conexión de SCIM.

El entorno de desarrollo habilita características poco seguras para producción, como el código de referencia para controlar el comportamiento de la validación del token de seguridad. El código de validación del token emplea un token de seguridad autofirmado, y la clave de firma se almacena en el archivo de configuración. Consulte el parámetro Token:IssuerSigningKey del archivo appsettings.Development.jsen.

"Token": {
    "TokenAudience": "Microsoft.Security.Bearer",
    "TokenIssuer": "Microsoft.Security.Bearer",
    "IssuerSigningKey": "A1B2C3D4E5F6A1B2C3D4E5F6",
    "TokenLifetimeInMins": "120"
}

Nota:

Cuando se envía una solicitud GET al punto de conexión /scim/token, se emite un token con la clave configurada. Ese token se puede usar posteriormente como token de portador para la autorización.

El código de validación de tokens predeterminado está configurado para usar un token de Microsoft Entra y requiere que el inquilino emisor se configure mediante el parámetro Token:TokenIssuer del archivo appsettings.json.

"Token": {
    "TokenAudience": "8adf8e6e-67b2-4cf2-a259-e3dc5476c621",
    "TokenIssuer": "https://sts.windows.net/<tenant_id>/"
}

Pasos siguientes

• Tutorial: Validar un punto de conexión de SCIM
• Tutorial: Desarrollo y planeación del aprovisionamiento de un punto de conexión de SCIM
• Tutorial: Configurar el aprovisionamiento en una aplicación de la galería