Konfigurowanie aplikacji SAML do odbierania tokenów z oświadczeniami ze sklepu zewnętrznego
W tym artykule opisano sposób konfigurowania aplikacji SAML w celu odbierania tokenów z oświadczeniami zewnętrznymi od niestandardowego dostawcy oświadczeń.
Wymagania wstępne
Przed skonfigurowaniem aplikacji SAML do odbierania tokenów z oświadczeniami zewnętrznymi najpierw wykonaj następujące sekcje:
- Konfigurowanie zdarzenia rozpoczęcia wystawiania tokenu niestandardowego dostawcy oświadczeń
- Rejestrowanie niestandardowego rozszerzenia oświadczeń
Konfigurowanie aplikacji SAML, która odbiera wzbogacone tokeny
Administratorzy lub właściciele poszczególnych aplikacji mogą używać niestandardowego dostawcy oświadczeń do wzbogacania tokenów dla istniejących aplikacji lub nowych aplikacji. Te aplikacje mogą używać tokenów w formatach JWT (na potrzeby połączenia OpenID) lub SAML.
Poniższe kroki dotyczą rejestrowania demonstracyjnej aplikacji XRayClaims , aby sprawdzić, czy może odbierać token z wzbogaconymi oświadczeniami.
Dodawanie nowej aplikacji SAML
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Dodaj nową aplikację SAML spoza galerii w dzierżawie:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
Wybierz pozycję Nowa aplikacja , a następnie utwórz własną aplikację.
Dodaj nazwę aplikacji. Na przykład AzureADClaimsXRay. Wybierz opcję Integruj dowolną inną aplikację, której nie można znaleźć w galerii (bez galerii), a następnie wybierz pozycję Utwórz.
Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML
Skonfiguruj logowanie jednokrotne dla aplikacji:
Na stronie Przegląd wybierz pozycję Skonfiguruj logowanie jednokrotne, a następnie pozycję SAML. Wybierz pozycję Edytuj w podstawowej konfiguracji protokołu SAML.
Wybierz pozycję Dodaj identyfikator i dodaj identyfikator "urn:microsoft:adfs:claimsxray" jako identyfikator. Jeśli ten identyfikator jest już używany przez inną aplikację w organizacji, możesz użyć alternatywnej metody, takiej jak urn:microsoft:adfs:claimsxray12
Wybierz pozycję Adres URL odpowiedzi i dodaj
https://adfshelp.microsoft.com/ClaimsXray/TokenResponse
jako adres URL odpowiedzi.Wybierz pozycję Zapisz.
Konfigurowanie oświadczeń
Atrybuty zwracane przez interfejs API dostawcy oświadczeń niestandardowych nie są automatycznie uwzględniane w tokenach zwracanych przez identyfikator Entra firmy Microsoft. Należy skonfigurować aplikację tak, aby odwoływano się do atrybutów zwracanych przez niestandardowego dostawcę oświadczeń i zwracać je jako oświadczenia w tokenach.
Na stronie Konfiguracja aplikacji dla przedsiębiorstw dla tej nowej aplikacji przejdź do okienka Logowanie jednokrotne.
Wybierz pozycję Edytuj w sekcji Atrybuty i oświadczenia
Rozwiń sekcję Ustawienia zaawansowane.
Wybierz pozycję Konfiguruj dla niestandardowego dostawcy oświadczeń.
Wybierz niestandardowe rozszerzenie uwierzytelniania zarejestrowane wcześniej na liście rozwijanej Dostawca oświadczeń niestandardowych. Wybierz pozycję Zapisz.
Wybierz pozycję Dodaj nowe oświadczenie , aby dodać nowe oświadczenie.
Podaj nazwę oświadczenia, które chcesz wydać, na przykład "DoB". Opcjonalnie ustaw identyfikator URI przestrzeni nazw.
W polu Źródło wybierz pozycję Atrybut i wybierz atrybut dostarczony przez niestandardowego dostawcę oświadczeń z listy rozwijanej Atrybut źródłowy. Wyświetlane atrybuty to atrybuty zdefiniowane jako "do udostępnienia" przez niestandardowego dostawcę oświadczeń w konfiguracji dostawcy oświadczeń niestandardowych. Atrybuty udostępniane przez niestandardowego dostawcę oświadczeń są poprzedzone prefiksem customclaimsprovider. Na przykład customclaimsprovider. DateOfBirth i customclaimsprovider. CustomRoles. Te oświadczenia mogą być pojedyncze lub wielowartościowe zależą od odpowiedzi interfejsu API.
Wybierz pozycję Zapisz , aby dodać oświadczenie do konfiguracji tokenu SAML.
Zamknij okna Zarządzanie oświadczeniami i atrybutami i oświadczeniami.
Przypisywanie użytkownika lub grupy do aplikacji
Przed przetestowaniem logowania użytkownika musisz przypisać użytkownika lub grupę użytkowników do aplikacji. Jeśli tego nie zrobisz, błąd zostanie zwrócony AADSTS50105 - The signed in user is not assigned to a role for the application
podczas logowania.
Na stronie Przegląd aplikacji wybierz pozycję Przypisz użytkowników i grupy w obszarze Wprowadzenie.
Na stronie Użytkownicy i grupy wybierz pozycję Dodaj użytkownika/grupę.
Wyszukaj i wybierz użytkownika, aby zalogować się do aplikacji. Wybierz przycisk Przypisz.
Testowanie aplikacji
Przetestuj, czy token jest wzbogacany dla użytkowników logujących się do aplikacji:
Na stronie przeglądu aplikacji wybierz pozycję Logowanie jednokrotne na pasku nawigacyjnym po lewej stronie.
Przewiń w dół i wybierz pozycję Testuj logowanie jednokrotne z aplikacją {app name}.
Wybierz pozycję Testuj logowanie i zaloguj się. Na końcu logowania powinno zostać wyświetlone narzędzie X-ray oświadczeń odpowiedzi tokenu. Oświadczenia skonfigurowane do wyświetlania w tokenie powinny być wyświetlane, jeśli mają wartości inne niż null, w tym te, które używają niestandardowego dostawcy oświadczeń jako źródła.
Następne kroki
Rozwiązywanie problemów z interfejsem API dostawcy oświadczeń niestandardowych.
Wyświetl wyzwalacz zdarzeń uwierzytelniania dla przykładowej aplikacji usługi Azure Functions.