Início de sessão único baseado em SAML: Configuração e Limitações
Neste artigo, irá aprender a configurar uma aplicação para o início de sessão único (SSO) baseado em SAML com Microsoft Entra ID. Este artigo aborda o mapeamento de utilizadores para funções de aplicação específicas com base em regras e limitações a ter em conta ao mapear atributos. Também abrange certificados de assinatura SAML, encriptação de token SAML, verificação de assinatura de pedido SAML e fornecedores de afirmações personalizadas.
As aplicações que utilizam o SAML 2.0 para autenticação podem ser configuradas para o início de sessão único (SSO) baseado em SAML . Com o SSO baseado em SAML, pode mapear os utilizadores para funções de aplicação específicas com base nas regras que definir nas suas afirmações SAML.
Para configurar uma aplicação SaaS para o SSO baseado em SAML, veja Início Rápido: Configurar o início de sessão único baseado em SAML.
Muitas aplicações SaaS têm um tutorial específico da aplicação que o orienta através da configuração do SSO baseado em SAML.
Algumas aplicações podem ser migradas facilmente. As aplicações com requisitos mais complexos, como afirmações personalizadas, podem necessitar de configuração adicional no ID Microsoft Entra e/ou Microsoft Entra Connect Health. Para obter informações sobre mapeamentos de afirmações suportados, veja Como: Personalizar afirmações emitidas em tokens para uma aplicação específica num inquilino (Pré-visualização).
Tenha em atenção as seguintes limitações ao mapear atributos:
- Nem todos os atributos que podem ser emitidos no AD FS aparecem no Microsoft Entra ID como atributos a emitir para tokens SAML, mesmo que esses atributos sejam sincronizados. Quando edita o atributo, a lista pendente Valor mostra-lhe os diferentes atributos que estão disponíveis no Microsoft Entra ID. Verifique Microsoft Entra configuração de artigos do Connect Sync para garantir que um atributo necessário ( por exemplo, samAccountName) está sincronizado com Microsoft Entra ID. Pode utilizar os atributos de extensão para emitir qualquer afirmação que não faça parte do esquema de utilizador padrão no Microsoft Entra ID.
- Nos cenários mais comuns, apenas a afirmação NameID e outras afirmações de identificador de utilizador comuns são necessárias para as aplicações. Para determinar se são necessárias afirmações adicionais, examine as afirmações que está a emitir do AD FS.
- Nem todas as afirmações podem ser emitidas, uma vez que algumas afirmações estão protegidas no Microsoft Entra ID.
- A capacidade de utilizar tokens SAML encriptados está agora em pré-visualização. Veja Como: personalizar afirmações emitidas no token SAML para aplicações empresariais.
Aplicações de software como serviço (SaaS)
Se os seus utilizadores iniciarem sessão em aplicações SaaS, como Salesforce, ServiceNow ou Workday, e estiverem integrados no AD FS, está a utilizar o início de sessão federado para aplicações SaaS.
A maioria das aplicações SaaS pode ser configurada no Microsoft Entra ID. A Microsoft tem muitas ligações pré-configuradas a aplicações SaaS na galeria de aplicações Microsoft Entra, o que facilita a sua transição. As aplicações SAML 2.0 podem ser integradas com Microsoft Entra ID através da galeria de aplicações Microsoft Entra ou como aplicações que não sejam da galeria.
As aplicações que utilizam o OAuth 2.0 ou o OpenID Connect podem ser igualmente integradas com Microsoft Entra ID como registos de aplicações. As aplicações que utilizam protocolos legados podem utilizar Microsoft Entra proxy de aplicações para autenticar com Microsoft Entra ID.
Para quaisquer problemas com a inclusão das suas aplicações SaaS, pode contactar o alias de suporte da Integração de Aplicações SaaS.
Certificados de assinatura SAML para SSO
Os certificados de assinatura são uma parte importante de qualquer implementação de SSO. Microsoft Entra ID cria os certificados de assinatura para estabelecer o SSO federado baseado em SAML nas suas aplicações SaaS. Depois de adicionar aplicações de galeria ou não galeria, irá configurar a aplicação adicionada com a opção SSO federada. Veja Gerir certificados para o início de sessão único federado no Microsoft Entra ID.
Encriptação de tokens SAML
Tanto o AD FS como Microsoft Entra ID fornecem encriptação de tokens, a capacidade de encriptar as afirmações de segurança SAML que vão para aplicações. As afirmações são encriptadas com uma chave pública e desencriptadas pela aplicação recetiva com a chave privada correspondente. Quando configura a encriptação de tokens, carrega ficheiros de certificado X.509 para fornecer as chaves públicas.
Para obter informações sobre Microsoft Entra encriptação de tokens SAML e como configurá-la, consulte Como: Configurar Microsoft Entra encriptação de tokens SAML.
Nota
A encriptação de tokens é uma funcionalidade Microsoft Entra ID P1 ou P2. Para saber mais sobre Microsoft Entra edições, funcionalidades e preços, consulte Microsoft Entra preços.
Verificação de assinatura de pedido SAML
Esta funcionalidade valida a assinatura de pedidos de autenticação assinados. Uma aplicação Administração ativa e desativa a imposição de pedidos assinados e carrega as chaves públicas que devem ser utilizadas para efetuar a validação. Para obter mais informações, veja Como impor pedidos de autenticação SAML assinados.
Fornecedores de afirmações personalizados (pré-visualização)
Para migrar dados de sistemas legados, como o ADFS ou arquivos de dados como LDAP, as suas aplicações dependem de determinados dados nos tokens. Pode utilizar fornecedores de afirmações personalizadas para adicionar afirmações ao token. Para obter mais informações, veja Descrição geral do fornecedor de afirmações personalizadas.
Aplicações e configurações que podem ser movidas hoje
As aplicações que pode mover facilmente hoje incluem aplicações SAML 2.0 que utilizam o conjunto padrão de elementos de configuração e afirmações. Estes itens padrão são:
- Nome Principal de Utilizador
- Endereço de e-mail
- Nome próprio
- Apelido
- Atributo alternativo como SAML NameID, incluindo o atributo de correio Microsoft Entra ID, prefixo de correio, ID do funcionário, atributos de extensão 1-15 ou atributo SamAccountName no local. Para obter mais informações, veja Editing the NameIdentifier claim (Editar a afirmação NameIdentifier).
- Afirmações personalizadas.
Os passos seguintes requerem mais passos de configuração para migrar para Microsoft Entra ID:
- Regras de autorização personalizada ou de autenticação multifator (MFA) no AD FS. Pode configurá-los com a funcionalidade Microsoft Entra Acesso Condicional.
- Aplicações com vários pontos finais de URL de Resposta. Pode configurá-los no Microsoft Entra ID com o PowerShell ou a interface do centro de administração do Microsoft Entra.
- Aplicações WS-Federation, como as aplicações do SharePoint, que precisam de tokens SAML da versão 1.1. Pode configurá-los manualmente com o PowerShell. Também pode adicionar um modelo genérico pré-selecionado para aplicações sharePoint e SAML 1.1 a partir da galeria. Suportamos o protocolo SAML 2.0.
- A emissão de afirmações complexas transforma regras. Para obter informações sobre mapeamentos de afirmações suportados, consulte:
Aplicações e configurações não suportadas no Microsoft Entra de hoje
As aplicações que necessitam de determinadas capacidades não podem ser migradas hoje.
Capacidades do protocolo
As aplicações que necessitam das seguintes capacidades de protocolo não podem ser migradas hoje:
- Suporte para o padrão WS-Trust ActAs
- Resolução de artefactos SAML
Mapear definições da aplicação do AD FS para Microsoft Entra ID
A migração requer avaliar a forma como a aplicação é configurada no local e, em seguida, mapear essa configuração para Microsoft Entra ID. O AD FS e Microsoft Entra ID funcionam da mesma forma, pelo que os conceitos de configuração de URLs de confiança, início de sessão e fim de sessão e identificadores aplicam-se em ambos os casos. Documente as definições de configuração do AD FS das suas aplicações para que possa configurá-las facilmente no Microsoft Entra ID.
Mapear definições de configuração de aplicações
A tabela seguinte descreve alguns dos mapeamentos mais comuns das definições entre uma Confiança da Entidade Confiadora do AD FS para Microsoft Entra Aplicação Empresarial:
- AD FS — localize a definição na Confiança da Entidade Confiadora do AD FS para a aplicação. Clique com o botão direito do rato na entidade confiadora e selecione Propriedades.
- Microsoft Entra ID — a definição está configurada no centro de administração Microsoft Entra nas propriedades de SSO de cada aplicação.
| Definição de configuração | AD FS | Como configurar no ID do Microsoft Entra | SAML Token |
|---|---|---|---|
| URL de início de sessão da aplicação O URL para o utilizador iniciar sessão na aplicação num fluxo SAML iniciado por um Fornecedor de Serviços (SP). |
N/D | Abrir a Configuração SAML Básica a partir do início de sessão baseado em SAML | N/D |
| URL de resposta da aplicação O URL da aplicação na perspetiva do fornecedor de identidade (IdP). O IdP envia o utilizador e o token para cá depois de o utilizador ter iniciado sessão no IdP. Isto também é conhecido como ponto final de consumidor de asserção SAML. |
Selecione o separador Pontos finais | Abrir a Configuração SAML Básica a partir do início de sessão baseado em SAML | Elemento de destino no token SAML. Valor de exemplo: https://contoso.my.salesforce.com |
| URL de fim de sessão da aplicação Este é o URL para o qual os pedidos de limpeza de fim de sessão são enviados quando um utilizador termina sessão a partir de uma aplicação. O IdP envia o pedido para terminar sessão do utilizador também a partir de todas as outras aplicações. |
Selecione o separador Pontos finais | Abrir a Configuração SAML Básica a partir do início de sessão baseado em SAML | N/D |
| Identificador de aplicação Este é o identificador da aplicação na perspetiva do IdP. O valor do URL de início de sessão é, muitas vezes, utilizado como o identificador (mas não sempre). Por vezes, a aplicação chama-lhe "ID da entidade". |
Selecione o separador Identificadores | Abrir a Configuração SAML Básica a partir do início de sessão baseado em SAML | Mapeia para o elemento Audiência no token SAML. |
| Metadados de federação da aplicação Esta é a localização dos metadados de federação da aplicação. O IdP utiliza-os para atualizar automaticamente definições de configuração específicas, como pontos finais ou certificados de encriptação. |
Selecione o separador Monitorização | N/D. Microsoft Entra ID não suporta o consumo direto de metadados de federação de aplicações. Pode importar manualmente os metadados de federação. | N/D |
| Identificador de Utilizador/ID de Nome Atributo utilizado para indicar exclusivamente a identidade de utilizador do Microsoft Entra ID ou do AD FS para a sua aplicação. Normalmente, este atributo é o UPN ou o endereço de e-mail do utilizador. |
Regras de afirmação. Na maioria dos casos, a regra de afirmação emite uma afirmação com um tipo que termina com o NameIdentifier. | Pode encontrar o identificador no cabeçalho Atributos e Afirmações do Utilizador. Por predefinição, o UPN é utilizado | Mapeia para o elemento NameID no token SAML. |
| Outras afirmações Exemplos de outras informações de afirmação que são normalmente enviadas do IdP para a aplicação incluem o nome próprio, o apelido, o endereço de e-mail e a associação ao grupo. |
No AD FS, está disponível como outras regras de afirmação na entidade confiadora. | Pode encontrar o identificador no cabeçalho Afirmações de Atributos & de Utilizador. Selecione Vista e edite todos os outros atributos de utilizador | N/D |
Definições do Fornecedor de Identidade de Mapa (IdP)
Configure as aplicações para apontar para Microsoft Entra ID versus AD FS para SSO. Aqui, estamos focados nas aplicações SaaS que utilizam o protocolo SAML. No entanto, este conceito também se estende a aplicações de linha de negócio personalizadas.
Nota
Os valores de configuração para Microsoft Entra ID seguem o padrão em que o ID de Inquilino do Azure substitui {tenant-id} e o ID da Aplicação substitui {application-id}. Encontrará estas informações no centro de administração do Microsoft Entra em Propriedades do ID > do Microsoft Entra:
- Selecione ID do Diretório para ver o ID do Inquilino.
- Selecione ID da Aplicação para ver o ID da Aplicação.
Num nível elevado, mapeie os seguintes elementos de configuração de aplicações SaaS principais para Microsoft Entra ID.
| Elemento | Valor de Configuração |
|---|---|
| Emissor do fornecedor de identidade | https://sts.windows.net/{tenant-id}/ |
| URL de início de sessão do fornecedor de identidade | https://login.microsoftonline.com/{tenant-id}/saml2 |
| URL de início de sessão do fornecedor de identidade | https://login.microsoftonline.com/{tenant-id}/saml2 |
| Localização dos metadados de federação | https://login.windows.net/{tenant-id}/federationmetadata/2007-06/federationmetadata.xml?appid={application-id} |
Mapear definições de SSO para aplicações SaaS
As aplicações SaaS precisam de saber para onde enviar pedidos de autenticação e como validar os tokens recebidos. A tabela seguinte descreve os elementos para configurar as definições de SSO na aplicação e os respetivos valores ou localizações no AD FS e Microsoft Entra ID
| Definição de configuração | AD FS | Como configurar no ID do Microsoft Entra |
|---|---|---|
| URL de Início de Sessão do IdP URL de início de sessão do IdP na perspetiva da aplicação (onde o utilizador é redirecionado para o início de sessão). |
O URL de início de sessão do AD FS é o nome do serviço de federação do AD FS seguido de "/adfs/ls/". Por exemplo: |
Substitua {tenant-id} pelo seu ID de inquilino. Para aplicações que utilizam o protocolo SAML-P: https://login.microsoftonline.com/{tenant-id}/saml2 Para aplicações que utilizam o protocolo WS-Federation: https://login.microsoftonline.com/{tenant-id}/wsfed |
| URL de início de sessão do IdP URL de fim de sessão do IdP na perspetiva da aplicação (onde o utilizador é redirecionado quando opta por terminar sessão na aplicação). |
O URL de início de sessão é igual ao URL de início de sessão ou o mesmo URL com "wa=wsignout1.0" acrescentado. Por exemplo: https://fs.contoso.com/adfs/ls/?wa=wsignout1.0 |
Substitua {tenant-id} pelo seu ID de inquilino. Para aplicações que utilizam o protocolo SAML-P: https://login.microsoftonline.com/{tenant-id}/saml2 Para aplicações que utilizam o protocolo WS-Federation: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0 |
| Certificado de assinatura de tokens O IdP utiliza a chave privada do certificado para assinar tokens emitidos. Verifica se o token provém do mesmo IdP para o qual a aplicação está configurada para confiar. |
O certificado de assinatura de tokens do AD FS está disponível na Gestão do AD FS, em Certificados. | Localize-o no centro de administração do Microsoft Entra nas propriedades de Início de Sessão Único da aplicação no cabeçalho Certificado de Assinatura SAML. Aí, pode transferir o certificado para carregamento para a aplicação. Se a aplicação tiver mais do que um certificado, pode encontrar todos os certificados no ficheiro XML de metadados de federação. |
| Identificador/ "emissor" Identificador do IdP na perspetiva da aplicação (por vezes denominado "ID do emissor"). No token SAML, o valor aparece como o elemento Emissor. |
Normalmente, o identificador do AD FS é o identificador do serviço de federação na Gestão do AD FS em Propriedades do Serviço de Edição de Serviços de Edição de Serviço>. Por exemplo: http://fs.contoso.com/adfs/services/trust |
Substitua {tenant-id} pelo seu ID de inquilino. https://sts.windows.net/{tenant-id}/ |
| Metadados de federação do IdP Localização dos metadados de federação publicamente disponíveis do IdP. (Algumas aplicações utilizam os metadados de federação como alternativa à configuração individual, por parte do administrador, de URLs, do identificador e do certificado de assinatura de tokens.) |
Localize o URL de metadados de federação do AD FS na Gestão do AD FS em Tipo de Metadados > de Pontos Finais > de Serviço>: Metadados de Federação. Por exemplo: https://fs.contoso.com/FederationMetadata/2007-06/FederationMetadata.xml |
O valor correspondente para Microsoft Entra ID segue o padrão https://login.microsoftonline.com/{TenantDomainName}/FederationMetadata/2007-06/FederationMetadata.xml. Substitua {TenantDomainName} pelo nome do inquilino no formato "contoso.onmicrosoft.com". Para obter mais informações, veja Federation metadata (Metadados da federação). |