Para configurar una aplicación basada en OpenID Connect (OIDC) en Microsoft Azure Active Directory (AzureAD) para Single Sign On (SSO), realice los siguientes pasos.
Requisitos previos
Asegúrese de tener una cuenta de AzureAD para iniciar sesión.
Procedimiento
- Inicie sesión en la cuenta de Microsoft Azure como usuario administrador.
Se mostrará la pantalla de inicio de Microsoft Azure.
- Para crear una nueva aplicación:
- Busque y seleccione el servicio Azure Active Directory.
- Vaya a Registro de aplicaciones (App registration) > Nuevo registro (New registration).
Se mostrará la pantalla Registrar una aplicación (Register an application).
- En el campo Nombre (Name), introduzca el nombre de la aplicación SASE Orchestrator.
- En el campo URL de redireccionamiento (Redirect URL), introduzca la URL de redireccionamiento que utiliza la aplicación SASE Orchestrator como endpoint de devolución de llamada.
En la aplicación SASE Orchestrator, en la parte inferior de la pantalla Configurar autenticación (Configure Authentication), encontrará el vínculo de la URL de redireccionamiento. Lo ideal es que la URL de redireccionamiento de SASE Orchestrator tenga el siguiente formato: https://<URL de Orchestrator>/login/ssologin/openidCallback.
- Haga clic en Registrar (Register).
La aplicación SASE Orchestrator se registrará y se mostrará en las pestañas Todas las aplicaciones (All applications) y Aplicaciones de propiedad (Owned applications). Asegúrese de anotar el identificador de cliente o de aplicación que se utilizará durante la configuración de SSO en SASE Orchestrator.
- Haga clic en Endpoints y copie la URL de configuración de OIDC conocida que se utilizará durante la configuración de SSO en SASE Orchestrator.
- Para crear un secreto de cliente para la aplicación SASE Orchestrator, en la pestaña Aplicaciones de propiedad (Owned applications), haga clic en la aplicación SASE Orchestrator.
- Vaya a Certificados y secretos (Certificates & secrets) > Nuevo secreto de cliente (New client secret).
Se mostrará la pantalla Agregar un secreto de cliente (Add a client secret).
- Proporcione detalles, como la descripción y el valor de caducidad del secreto, y haga clic en Agregar (Add).
Se crea el secreto de cliente de la aplicación. Anote el nuevo valor del secreto de cliente que se utilizará durante la configuración de SSO en SASE Orchestrator.
- Para configurar los permisos de la aplicación SASE Orchestrator, haga clic en la aplicación SASE Orchestrator y vaya a Permisos de API (API permissions) > Agregar un permiso (Add a permission).
Se mostrará la pantalla Solicitar permisos de API (Request API permissions).
- Haga clic en Microsoft Graph y seleccione Permisos de aplicación (Application permissions) como el tipo de permiso de su aplicación.
- En Seleccionar permisos (Select permissions), en el menú desplegable Directorio (Directory), seleccione Directory.Read.All y, en el menú desplegable Usuario (User), seleccione User.Read.All.
- Haga clic en Agregar permisos (Add permissions).
- Para agregar y guardar funciones en el manifiesto, haga clic en la aplicación SASE Orchestrator y, en la pantalla Descripción general (Overview) de la aplicación, haga clic en Manifiesto (Manifest).
Se abrirá un editor de manifiestos basado en web para editar el manifiesto dentro del portal. De forma opcional, puede seleccionar Descargar (Download) para editar el manifiesto de forma local y, a continuación, puede utilizar Cargar (Upload) para volver a aplicarlo a la aplicación.
- En el manifiesto, busque la matriz
appRoles
, agregue uno o varios objetos de función como se muestra en el siguiente ejemplo y haga clic en Guardar (Save).Nota: La propiedad de valor deappRoles
debe agregarse a la columna Nombre de función del proveedor de identidad (Identity Provider Role Name) de la tabla Asignación de funciones (Role Map), ubicada en la pestaña Autenticación (Authentication), para poder asignar las funciones correctamente.Objetos de función de muestra{ "allowedMemberTypes": [ "User" ], "description": "Standard Administrator who will have sufficient privilege to manage resource", "displayName": "Standard Admin", "id": "18fcaa1a-853f-426d-9a25-ddd7ca7145c1", "isEnabled": true, "lang": null, "origin": "Application", "value": "standard" }, { "allowedMemberTypes": [ "User" ], "description": "Super Admin who will have the full privilege on SASE Orchestrator", "displayName": "Super Admin", "id": "cd1d0438-56c8-4c22-adc5-2dcfbf6dee75", "isEnabled": true, "lang": null, "origin": "Application", "value": "superuser" }
Nota: Asegúrese de establecerid
en un valor de identificador único global (GUID) generado recientemente. Los valores GUID se pueden generar en línea mediante herramientas basadas en web (por ejemplo, https://www.guidgen.com/) o mediante los siguientes comandos:- Linux/OSX:
uuidgen
- Windows:
powershell [guid]::NewGuid()
Las funciones se configuran manualmente en SASE Orchestrator, y deben coincidir con las configuradas en el portal de Microsoft Azure. - Linux/OSX:
- Busque y seleccione el servicio Azure Active Directory.
- Para asignar grupos y usuarios a la aplicación SASE Orchestrator:
- Vaya a Azure Active Directory > Aplicaciones empresariales (Enterprise applications).
- Busque y seleccione la aplicación SASE Orchestrator.
- Haga clic en Usuarios y grupos (Users and groups), y asigne usuarios y grupos a la aplicación.
- Haga clic en Enviar (Submit).
Resultados
Ha completado la configuración de una aplicación basada en OIDC en AzureAD para SSO.
Qué hacer a continuación
Configure Single Sign On en SASE Orchestrator.