Megosztás a következőn keresztül:

SAML-alkalmazás konfigurálása külső tárolóból származó jogcímekkel rendelkező jogkivonatok fogadásához (előzetes verzió)

  • Cikk

Ez a cikk azt ismerteti, hogyan konfigurálhat SAML-alkalmazást úgy, hogy külső jogcímekkel rendelkező jogkivonatokat fogadjon az egyéni jogcímszolgáltatótól.

Előfeltételek

Mielőtt konfigurál egy SAML-alkalmazást, hogy külső jogcímekkel rendelkező jogkivonatokat fogadjon, először kövesse az alábbi szakaszokat:

Bővített jogkivonatokat fogadó SAML-alkalmazás konfigurálása

Az egyes alkalmazásgazdák vagy -tulajdonosok egyéni jogcímszolgáltatóval bővíthetik a meglévő alkalmazások vagy új alkalmazások jogkivonatait. Ezek az alkalmazások JWT(OpenID connect) vagy SAML formátumú jogkivonatokat használhatnak.

A következő lépések egy demó XRayClaims-alkalmazás regisztrálására vonatkoznak , így tesztelheti, hogy képes-e jogkivonatot kapni bővített jogcímekkel.

Új SAML-alkalmazás hozzáadása

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

Adjon hozzá egy új, nem katalógusbeli SAML-alkalmazást a bérlőjéhez:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább egy felhőalapú alkalmazásként Rendszergazda istratorként.

  2. Keresse meg az Identity>Applications>Enterprise-alkalmazásokat.

  3. Válassza az Új alkalmazás lehetőséget, majd hozza létre a saját alkalmazását.

  4. Adjon nevet az alkalmazásnak. Például: AzureADClaimsXRay. Válassza az Integrálás a katalógusban nem található egyéb alkalmazás integrálása (Nem katalógus) lehetőséget, majd válassza a Létrehozás lehetőséget.

Egyszeri bejelentkezés konfigurálása SAML-lel

Egyszeri bejelentkezés beállítása az alkalmazáshoz:

  1. Az Áttekintés lapon válassza az Egyszeri bejelentkezés beállítása, majd az SAML lehetőséget. Válassza a Szerkesztés lehetőséget az egyszerű SAML-konfigurációban.

  2. Válassza az Azonosító hozzáadása lehetőséget, és adja hozzá az "urn:microsoft:adfs:claimsxray" azonosítót. Ha ezt az azonosítót már használja egy másik alkalmazás a szervezetben, használhat egy másikat, például urn:microsoft:adfs:claimsxray12

  3. Válassza ki a válasz URL-címét , és adja hozzá https://adfshelp.microsoft.com/ClaimsXray/TokenResponse válasz URL-címként.

  4. Válassza a Mentés lehetőséget.

Jogcímek konfigurálása

Az egyéni jogcímszolgáltatói API által visszaadott attribútumok nem szerepelnek automatikusan a Microsoft Entra ID által visszaadott jogkivonatokban. Konfigurálnia kell az alkalmazást, hogy hivatkozzon az egyéni jogcímszolgáltató által visszaadott attribútumokra, és jogkivonatokban lévő jogcímként adja vissza őket.

  1. Az új alkalmazás Vállalati alkalmazások konfigurációs lapján lépjen az Egyszeri bejelentkezés panelre.

  2. Válassza az Attribútumok és jogcímek szakasz Szerkesztéselemét

  3. Bontsa ki a Speciális beállítások szakaszt .

  4. Válassza a Konfigurálás egyéni jogcímszolgáltatóhoz lehetőséget.

  5. Válassza ki a korábban regisztrált egyéni hitelesítési bővítményt az Egyéni jogcímszolgáltató legördülő listában. Válassza a Mentés lehetőséget.

  6. Új jogcím hozzáadásához válassza az Új jogcím hozzáadása lehetőséget.

  7. Adjon nevet a kibocsátani kívánt jogcímnek, például "DoB". Ha szeretné, adjon meg egy névtér URI-t.

  8. A Forrás mezőben válassza az Attribútum lehetőséget, és válassza ki az egyéni jogcímszolgáltató által biztosított attribútumot a Forrás attribútum legördülő listából. A megjelenített attribútumok az egyéni jogcímszolgáltató által az egyéni jogcímszolgáltató konfigurációjában elérhetőként definiált attribútumok. Az egyéni jogcímszolgáltató által biztosított attribútumok előtagja az customclaimsprovider. Például: customclaimsprovider. DateOfBirth és customclaimsprovider. CustomRoles. Ezek a jogcímek lehetnek egy- vagy többértékűek az API-választól függően.

  9. Válassza a Mentés lehetőséget, ha hozzá szeretné adni az jogcímet az SAML-jogkivonat konfigurációjához.

  10. Zárja be a Jogcím és attribútumok kezelése > Jogcímek ablakot.

Felhasználó vagy csoport hozzárendelése az alkalmazáshoz

A felhasználói bejelentkezés tesztelése előtt hozzá kell rendelnie egy felhasználót vagy felhasználói csoportot az alkalmazáshoz. Ha nem, a hiba a AADSTS50105 - The signed in user is not assigned to a role for the application bejelentkezéskor jelenik meg.

  1. Az Alkalmazás áttekintése lapon válassza a Felhasználók és csoportok hozzárendelése lehetőséget az Első lépések csoportban.

  2. A Felhasználók és csoportok lapon válassza a Felhasználó/csoport hozzáadása lehetőséget.

  3. Keresse meg és jelölje ki az alkalmazásba bejelentkezni kívánt felhasználót. Válassza a Hozzárendelés gombot.

Az alkalmazás tesztelése

Ellenőrizze, hogy a jogkivonat ki van-e bővítve az alkalmazásba bejelentkező felhasználók számára:

  1. Az alkalmazás áttekintési lapján válassza az Egyszeri bejelentkezés lehetőséget a bal oldali navigációs sávon.

  2. Görgessen le, és válassza a Tesztelés lehetőséget az egyszeri bejelentkezés tesztelése { app name} használatával.

  3. Válassza a Bejelentkezés tesztelése és bejelentkezés lehetőséget. A bejelentkezés végén megjelenik a Jogkivonat-válasz jogcímek röntgeneszköze. A jogkivonatban való megjelenésre konfigurált jogcímeket mind fel kell sorolni, ha nem null értékűek, beleértve az egyéni jogcímszolgáltatót forrásként használókat is.

Külső forrásból származó jogcímeket bemutató képernyőkép.

Következő lépések

Az egyéni jogcímszolgáltatói API hibaelhárítása.

Tekintse meg az Azure Functions-mintaalkalmazás hitelesítési eseményindítóját.