Saltar al contenido

Configuración de Microsoft Azure Active Directory Mediante WS-Federation

Vinyl se integra con Microsoft Azure Active Directory (AD) mediante el protocolo WS-Federation, lo que permite el inicio de sesión único. Cada instancia de Vinyl debe configurarse individualmente para funcionar con Azure AD y viceversa. Hay tres tareas principales involucradas:

  1. Registre Vinyl como una aplicación de Azure AD
  2. Configure Azure AD como proveedor de seguridad de Vinyl
  3. Asigne usuarios y grupos de Vinyl a identidades de Azure

Requisitos

Para continuar, necesitará lo siguiente:

  • Acceso de administrador a una cuenta de Azure con un servicio de Azure Active Directory
  • Acceso de administrador a Vinyl
  • El Vinyl debe estar disponible a través de HTTPS con un certificado SSL válido

Propiedades

Este documento hará referencia a las siguientes propiedades.

Ejemplo Notas
URL de Vinyl https://example.com/Vinyl/ El Vinyl debe ser accesible a través de HTTPS. La URL debe incluir la barra diagonal. La ruta distingue entre mayúsculas y minúsculas.
Nombre del proveedor Azure Normalmente, el nombre del proveedor debe coincidir con el nombre de dominio de Active Directory. Dado que el nombre del proveedor aparecerá en la URL de inicio de sesión (ver más abajo), evite espacios, puntuación y caracteres especiales.
URL de inicio de sesión Directorio raíz de Vinyl/signin-[Nombre del proveedor de seguridad]

https://example.com/Vinyl/signin-Azure		 La URL de devolución de llamada se aprovisiona automáticamente al crear el proveedor de seguridad de Azure AD dentro de Vinyl.

El ejemplo proporcionado aquí supone que: ejemplo.com es el nombre de host, https://example.com/Vinyl/ es el directorio raíz de la aplicación Vinyl. y que Azure es el nombre del proveedor de seguridad de Azure.

Registre Vinyl Como una Aplicación de Azure AD

La instancia de Vinyl debe estar registrada como aplicación de Azure AD. La siguiente página documenta el proceso:

https://docs.microsoft.com/en-us/azure/active-directory/develop/active-directory-integrating-applications

En breve:

  1. Inicie sesión en el Portal de Microsoft Azure
  2. Navegue hasta el centro de administración Azure Active Directory
  3. Haga clic en Azure Active Directory en la barra de navegación.
  4. Haga clic en Registros de aplicaciones
  5. Cree un Nuevo registro y proporcione el nombre como Vinyl

  6. Escriba su URI de redireccionamiento como https://yourdomainname.com/signin-Vinyl (Cambie 'Vinyl' por el nombre que utilizará en Vinyl Security Providers).

    activedirectoryredirect.png

  7. Haga clic en Registrarse

  8. Abra la aplicación recién creada que registró y, en la barra lateral Administrar, seleccione Manifiesto:

    1. Tome nota de la cadena appId, como '"appId": "062e3d2f-c200-40bc-b402-5be728bcdd1a",'
    2. Tome nota de su dominio principal, que se muestra en la 'Información del inquilino' de AzureAD.

    3. Edite las siguientes líneas de la siguiente manera:

      Editar:

      "groupMembershipClaims": null,
    "identifierUris": [],

      Para ser:

      "groupMembershipClaims": "SecurityGroup",
    "identifierUris": [
        "https://[yourprimarydomain.com]/[appId]"
    ],

    Ejemplo: si el dominio principal del inquilino de Azure es zudy.com:

    admanifest.png

  9. Haga clic en Guardar

  10. Haga clic en Descripción general en la barra de navegación.
  11. Haga clic en la pestaña Extremos
  12. Donde dice Documento de metadatos de la Federación, haga clic en el icono copiar al portapapeles y pegue el valor en algún lugar al que pueda consultar más adelante (por ejemplo, el Bloc de notas).

Conecte y Configure un Nuevo Proveedor de Seguridad en Vinyl

En este paso definirá el nuevo proveedor de seguridad para Azure AD. Esto incluye definir el tipo como servicios de WS-Federación, definir los parámetros Audience, MetadataAddress y Wtrealm (proporcionados por Microsoft) y configurar los tipos de reclamo emitidos por Microsoft para alinearse con cualquier asignación de grupo dentro de Vinyl.

  1. Navegue hasta IDE
  2. Seleccione Proveedores de seguridad
  3. Haga clic en + Autenticación de usuario en Autenticación de usuario.
  4. Seleccione Tipo como WS-Federación
  5. Proporcione un Nombre que coincida con el que utilizó para configurar el URI de redireccionamiento. Por ejemplo: Azure

  6. Opciones para cambiar: (Dejar como está para los que no figuran en la lista)

    • Nombre: ('Azure' en el ejemplo)
    • Tipo: WS-Federación
    • Habilitado:
    • Aprovisionamiento de usuarios: ; Esto permitirá a Azure crear usuarios en Vinyl.
    • Membresía del grupo de suministros:
    • Campo Reclamaciones de tienda: opcional; Esto permite la visibilidad de los datos de meta reclamaciones provenientes de Microsoft en un usuario de Vinyl.

  7. Haga clic en Guardar

  8. Tenga en cuenta que Save Vinyl emitirá un valor de identificador único para este proveedor.

Configurar los Parámetros de Propiedades

En este paso, configurará tres parámetros que representan valores proporcionados por Microsoft Azure.

  1. Desde el panel Propiedades, cree las siguientes reclamaciones:

    • Audiencia: https://**YourAzureprimarydomain.com**/**App-id-from-azure-app-reg**

      Ejemplo: https://zudy.com/062e3d2f-c200-40bc-b402-5be728bcdd1r

    • Dirección de metadatos: https://login.microsoftonline.com/***Your-Tenant-ID***/federationmetadata/2007-06/federationmetadata.xml

    • Wtrealm: https://**YourAzureprimarydomain.com**/**App-id-from-azure-app-reg**

  2. En Reclamaciones cree lo siguiente:

    • Busque la palabra "grupos" y seleccione la primera entrada que aparece, que es http://schemas.microsoft.com/ws/2008/06/identity/claims/groups

  3. Para Uso, seleccione Grupo

  4. Haga clic en el icono de marca de verificación para guardar.

Asignar Usuarios y Grupos de Vinyl a Identidades de Azure

Desde el área Identidades de Secure, ahora verá una entrada para el Proveedor de seguridad creado. Cuando los usuarios se autentican en Vinyl utilizando este proveedor de seguridad, todas las identidades asociadas fluirán y verá que aparecen registros en los paneles Grupos de proveedores e Identidades por proveedor en consecuencia.

Desde el panel Grupos de proveedores, puede proporcionar asignaciones entre cualquier grupo de Vinyl y grupo de Azure que desee, utilizando el campo Grupos. El campo Grupos aquí es un menú desplegable que enumera todos los grupos configurados en Vinyl. Esto permitirá el aprovisionamiento justo a tiempo.

Con Aprovisionamiento de Usuarios

Si ha habilitado el aprovisionamiento de usuarios como se describe anteriormente e intenta iniciar sesión, es posible que se le redirija nuevamente al inicio de sesión de Vinyl. El formulario de inicio de sesión mostrará un mensaje similar al siguiente:

The user account (arthur.dent@example.onmicrosoft.com) has not been granted access to an application.

Aunque Vinyl pudo aprovisionar al usuario con éxito, el usuario no tiene acceso a ninguna aplicación de Vinyl de forma predeterminada. Suponiendo que el usuario de Azure AD se haya agregado a uno o más grupos y que la membresía del grupo de suministros esté habilitada (como se describe anteriormente), deberá asignar los grupos de seguridad de Azure AD a los grupos de seguridad de Vinyl. Para hacerlo:

  1. Inicie sesión en Vinyl como administrador
  2. Navegue hasta IDE
  3. Haga clic en el botón Administración de usuarios
  4. Haga clic en la pestaña Identidades
  5. En el panel Proveedores, resalte su nuevo proveedor de seguridad de Azure AD.
  6. En el panel Grupos de proveedores, haga clic en + Grupo

  7. Ingrese el nombre de un grupo que tenga dentro de AzureAD, junto con su identificador (esto se puede encontrar abriendo un tipo de grupo de seguridad dentro de Grupos de AAD y tomando nota de su ID de objeto).

    Luego, elija el grupo de Vinyl al que se agregarán automáticamente como miembro al iniciar sesión.

  8. Haga clic en el botón Guardar

Sin Aprovisionamiento de Usuarios

Si no ha habilitado el aprovisionamiento de usuarios, la autenticación habrá fallado con un mensaje similar al siguiente:

Although you've successfully authenticated with Azure, the account arthur.dent@example.onmicrosoft.com (arthur.dent@example.onmicrosoft.com) is not associated with a local account.

En el mensaje anterior, "arthur.dent@example.onmicrosoft.com" es el nombre de usuario (llamado "nombre" en la autenticación de reclamos). La parte entre paréntesis es el identificador único (llamado "identificador de nombre" en la autenticación de reclamaciones). Necesitará estos dos datos para el siguiente paso.

  1. Inicie sesión en Vinyl como administrador
  2. Navegue hasta IDE
  3. Haga clic en el botón Administración de usuarios
  4. Haga clic en la pestaña Usuarios
  5. En el panel Usuarios, seleccione el usuario que desea mapear
  6. En el panel Identidades, haga clic en el botón + Identidad

  7. Proporcione lo siguiente:

    • Proveedor: Nombre del proveedor (ver arriba)
    • Nombre: el nombre de usuario de Azure (ver arriba)
    • Identificador: el identificador del nombre de usuario de Azure (ver arriba)

  8. Haga clic en el botón Guardar.

Cerrar sesión de Vinyl

Confirme que ahora en la página de inicio de sesión hay un botón "Iniciar sesión con..." que aparece y leerá el nombre que proporcionó al configurar el proveedor de seguridad.

Iniciar sesión 0365

Ejemplo de botón de inicio de sesión para un nuevo proveedor de seguridad en la página de inicio de sesión

Pruebe el inicio de sesión; debería ser redirigido para autenticarse con una cuenta de Azure