Een SAML-app configureren voor het ontvangen van tokens met claims uit een externe store

In dit artikel wordt beschreven hoe u een SAML-toepassing configureert voor het ontvangen van tokens met externe claims van uw aangepaste claimprovider.

Vereisten

Voordat u een SAML-toepassing configureert voor het ontvangen van tokens met externe claims, volgt u eerst deze secties:

• Een aangepaste claimprovidertokenuitgifte-start-gebeurtenis configureren
• Een aangepaste claimextensie registreren

Een SAML-toepassing configureren die verrijkte tokens ontvangt

Afzonderlijke app-beheerders of eigenaren kunnen een aangepaste claimprovider gebruiken om tokens te verrijken voor bestaande toepassingen of nieuwe toepassingen. Deze apps kunnen tokens gebruiken in JWT-indelingen (voor OpenID Connect) of SAML-indelingen.

De volgende stappen zijn voor het registreren van een demo XRayClaims-toepassing , zodat u kunt testen of het een token met verrijkte claims kan ontvangen.

Een nieuwe SAML-toepassing toevoegen

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Voeg een nieuwe, niet-galerie SAML-toepassing toe in uw tenant:

1. Meld u als cloudtoepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>.

3. Selecteer Nieuwe toepassing en maak vervolgens uw eigen toepassing.

4. Voeg een naam toe voor de app. Bijvoorbeeld AzureADClaimsXRay. Selecteer de optie Andere toepassingen integreren die u niet vindt in de galerie (niet-galerie) en selecteer Maken.

Eenmalige aanmelding configureren met SAML

Eenmalige aanmelding instellen voor de app:

1. Selecteer Op de pagina Overzicht eenmalige aanmelding instellen en vervolgens SAML. Selecteer Bewerken in standaard SAML-configuratie.

2. Selecteer Id toevoegen en voeg 'urn:microsoft:adfs:claimsxray' toe als de id. Als deze id al wordt gebruikt door een andere toepassing in uw organisatie, kunt u een alternatief gebruiken, zoals urn:microsoft:adfs:claimsxray12

3. Selecteer antwoord-URL en voeg deze toe https://adfshelp.microsoft.com/ClaimsXray/TokenResponse als antwoord-URL.

4. Selecteer Opslaan.

Claims configureren

Kenmerken die worden geretourneerd door de API van uw aangepaste claimprovider, worden niet automatisch opgenomen in tokens die worden geretourneerd door Microsoft Entra-id. U moet uw toepassing configureren om te verwijzen naar kenmerken die worden geretourneerd door de aangepaste claimprovider en deze als claims in tokens retourneren.

1. Ga op de configuratiepagina van bedrijfstoepassingen voor die nieuwe app naar het deelvenster Eenmalige aanmelding .

2. Selecteer bewerken voor de sectie Kenmerken en claims

3. Vouw de sectie Geavanceerde instellingen uit.

4. Selecteer Configureren voor aangepaste claimprovider.

5. Selecteer de aangepaste verificatie-extensie die u eerder hebt geregistreerd in de vervolgkeuzelijst Aangepaste claimprovider . Selecteer Opslaan.

6. Selecteer Nieuwe claim toevoegen om een nieuwe claim toe te voegen.

7. Geef een naam op voor de claim die u wilt uitgeven, bijvoorbeeld DoB. U kunt desgewenst een naamruimte-URI instellen.

8. Voor Bron selecteert u Kenmerk en kiest u het kenmerk dat wordt geleverd door de aangepaste claimprovider in de vervolgkeuzelijst Bronkenmerk. Kenmerken die worden weergegeven, zijn de kenmerken die zijn gedefinieerd als 'beschikbaar te maken' door de aangepaste claimprovider in de configuratie van uw aangepaste claimprovider. Kenmerken die worden geleverd door de aangepaste claimprovider, worden voorafgegaan door customclaimsprovider. Bijvoorbeeld customclaimsprovider. DateOfBirth en customclaimsprovider. CustomRoles. Deze claims kunnen één of meerdere waarden hebben, afhankelijk van uw API-antwoord.

9. Selecteer Opslaan om de claim toe te voegen aan de configuratie van het SAML-token.

10. Sluit de vensters Claim beheren en Kenmerken & Claims .

Een gebruiker of groep toewijzen aan de app

Voordat u de aanmelding van de gebruiker test, moet u een gebruiker of groep gebruikers toewijzen aan de app. Als u dat niet doet, wordt de AADSTS50105 - The signed in user is not assigned to a role for the application fout geretourneerd bij het aanmelden.

1. Selecteer op de pagina Overzicht van de toepassing gebruikers en groepen toewijzen onder Aan de slag.

2. Selecteer Gebruiker/groep toevoegen op de pagina Gebruikers en groepen.

3. Zoek en selecteer de gebruiker om u aan te melden bij de app. Selecteer de knop Toewijzen .

De toepassing testen

Test of het token wordt verrijkt voor gebruikers die zich aanmelden bij de toepassing:

1. Selecteer op de overzichtspagina van de app eenmalige aanmelding in de linkernavigatiebalk.

2. Schuif omlaag en selecteer Testen onder Test-eenmalige aanmelding met {app-naam}.

3. Selecteer Aanmelden testen en aanmelden. Aan het einde van uw aanmelding ziet u het hulpprogramma Token response Claims X-ray. De claims die u hebt geconfigureerd om in het token te worden weergegeven, moeten allemaal worden weergegeven als ze niet-null-waarden hebben, inclusief claims die de aangepaste claimprovider als bron gebruiken.

Volgende stappen

Problemen met de API van uw aangepaste claimprovider oplossen.

Bekijk de trigger verificatiegebeurtenissen voor de Voorbeeld-app van Azure Functions.