Configurar o logon único baseado em SAML para aplicativos que não são da GaleriaConfigure SAML-based single sign-on to non-gallery applications

Quando você adiciona um aplicativo de galeria ou um aplicativo Web que não é da Galeria a seus aplicativos empresariais do Azure AD, uma das opções de logon único disponíveis é o logon único baseado em SAML.When you add a gallery app or a non-gallery web app to your Azure AD Enterprise Applications, one of the single sign-on options available to you is SAML-based single sign-on. Escolha SAML sempre que possível para aplicativos que se autenticam usando um dos protocolos SAML.Choose SAML whenever possible for applications that authenticate using one of the SAML protocols. Com o logon único SAML, o Azure AD realiza a autenticação do aplicativo usando a conta do Azure AD do usuário.With SAML single sign-on, Azure AD authenticates to the application by using the user's Azure AD account. O Azure AD comunica as informações do logon para o aplicativo por meio de um protocolo de conexão.Azure AD communicates the sign-on information to the application through a connection protocol. Você pode mapear usuários para funções de aplicativo específicas com base nas regras que você define em suas declarações SAML.You can map users to specific application roles based on rules you define in your SAML claims. Este artigo descreve como configurar o logon único baseado em SAML para um aplicativo inexistente na galeria.This article describes how to configure SAML-based single sign-on for a non-gallery app.

Observação

Adicionando um aplicativo da galeria?Adding a gallery app? Encontre instruções de instalação passo a passo na lista de tutoriais de aplicativo SaaSFind step-by-step setup instructions in the list of SaaS app tutorials

Para configurar o logon único do SAML para um aplicativo que não seja da Galeria sem escrever código, você precisa ter uma assinatura ou Azure AD Premium e o aplicativo deve dar suporte a SAML 2,0.To configure SAML single sign-on for a non-gallery application without writing code, you need to have a subscription or Azure AD Premium and the application must support SAML 2.0. Para obter mais informações sobre as versões do Azure AD, visite Preços do Azure AD.For more information about Azure AD versions, visit Azure AD pricing.

Antes de começarBefore you begin

Se o aplicativo não tiver sido adicionado ao seu locatário do Azure AD, consulte Adicionar um aplicativo inexistente na Galeria.If the application hasn't been added to your Azure AD tenant, see Add a non-gallery app.

Etapa 1.Step 1. Editar a Configuração Básica do SAMLEdit the Basic SAML Configuration

  1. Entre no portal do Azure como administrador do aplicativo em nuvem ou um administrador de aplicativo para seu locatário do Azure AD.Sign in to the Azure portal as a cloud application admin, or an application admin for your Azure AD tenant.

  2. Navegue até Azure Active Directory > Aplicativos empresariais e selecione o aplicativo na lista.Navigate to Azure Active Directory > Enterprise applications and select the application from the list.

    • Para pesquisar o aplicativo, no menu Tipo de Aplicativo, selecione Todos os aplicativos e, em seguida, Aplicar.To search for the application, in the Application Type menu, select All applications, and then select Apply. Insira o nome do aplicativo na caixa de pesquisa e, em seguida, selecione o aplicativo nos resultados.Enter the name of the application in the search box, and then select the application from the results.
  3. Na seção Gerenciar, selecione Logon único.Under the Manage section, select Single sign-on.

  4. Selecione SAML.Select SAML. A página Configurar logon único com SAML – Visualização será exibida.The Set up Single Sign-On with SAML - Preview page appears.

    Etapa 1 editar a configuração básica do SAML

  5. Para editar as opções de configuração básica do SAML, selecione o ícone Editar (um lápis) no canto superior direito da seção Configuração Básica do SAML.To edit the basic SAML configuration options, select the Edit icon (a pencil) in the upper-right corner of the Basic SAML Configuration section.

  6. Insira as configurações a seguir.Enter the following settings. Você deve obter os valores do fornecedor do aplicativo.You should get the values from the application vendor. Pode inserir os valores manualmente ou carregar um arquivo de metadados para extrair o valor dos campos.You can manually enter the values or upload a metadata file to extract the value of the fields.

    Configuração Básica do SAMLBasic SAML Configuration setting Iniciado por SPSP-Initiated iniciado por idPidP-Initiated DESCRIÇÃODescription
    Identificador (ID da entidade)Identifier (Entity ID) Obrigatório para alguns aplicativosRequired for some apps Obrigatório para alguns aplicativosRequired for some apps Identifica exclusivamente o aplicativo.Uniquely identifies the application. O Azure AD envia o identificador para o aplicativo como o parâmetro Audience do token SAML.Azure AD sends the identifier to the application as the Audience parameter of the SAML token. O aplicativo deve validá-lo.The application is expected to validate it. Esse valor também aparece como a ID da entidade em todos os metadados SAML fornecidos pelo aplicativo.This value also appears as the Entity ID in any SAML metadata provided by the application. Insira uma URL que usa o seguinte padrão: ' https://. contoso.com ' você pode encontrar esse valor como o elemento emissor no AuthnRequest (solicitação SAML) enviado pelo aplicativo.Enter a URL that uses the following pattern: 'https://.contoso.com' You can find this value as the Issuer element in the AuthnRequest (SAML request) sent by the application.
    URL de RespostaReply URL obrigatóriosRequired obrigatóriosRequired Especifica onde o aplicativo espera receber o token SAML.Specifies where the application expects to receive the SAML token. A URL de resposta também é chamada de URL do ACS (Serviço do Consumidor de Declaração).The reply URL is also referred to as the Assertion Consumer Service (ACS) URL. Você pode usar os campos de URL de resposta adicionais para especificar várias URLs de resposta.You can use the additional reply URL fields to specify multiple reply URLs. Por exemplo, você pode precisar de URLs de resposta adicionais para vários subdomínios.For example, you might need additional reply URLs for multiple subdomains. Ou, para fins de teste, você pode especificar várias URLs de resposta (host local e URLs públicas) ao mesmo tempo.Or, for testing purposes you can specify multiple reply URLs (local host and public URLs) at one time.
    URL de logonSign-on URL obrigatóriosRequired Não especifiqueDon't specify Quando um usuário abre essa URL, o provedor de serviço redireciona para o Azure AD a fim de autenticar e conectar o usuário.When a user opens this URL, the service provider redirects to Azure AD to authenticate and sign on the user. O Azure AD usa a URL para iniciar o aplicativo no Office 365 ou no painel de acesso do Azure AD.Azure AD uses the URL to start the application from Office 365 or the Azure AD Access Panel. Quando em branco, o Azure AD executa o logon iniciado pelo IdP quando um usuário inicia o aplicativo do Office 365, do painel de acesso do Azure AD ou da URL de SSO do Azure AD.When blank, Azure AD performs IdP-initiated sign-on when a user launches the application from Office 365, the Azure AD Access Panel, or the Azure AD SSO URL.
    Estado de retransmissãoRelay State OpcionalOptional OpcionalOptional Especifica para onde o aplicativo deve redirecionar o usuário depois que a autenticação é concluída.Specifies to the application where to redirect the user after authentication is completed. Normalmente, o valor é uma URL válida para o aplicativo.Typically the value is a valid URL for the application. No entanto, alguns aplicativos usam esse campo de forma diferente.However, some applications use this field differently. Para obter mais informações, pergunte ao fornecedor do aplicativo.For more information, ask the application vendor.
    URL de logoffLogout URL OpcionalOptional OpcionalOptional Usada para enviar as respostas de Logoff do SAML novamente ao aplicativo.Used to send the SAML Logout responses back to the application.

Para obter mais informações, consulte protocolo SAML de logon único.For more information, see Single sign-on SAML protocol.

Etapa 2.Step 2. Configurar Atributos e declarações de usuárioConfigure User attributes and claims

Quando um usuário é autenticado no aplicativo, o Azure AD emite ao aplicativo um token SAML com informações (ou declarações) sobre o usuário que os identifica exclusivamente.When a user authenticates to the application, Azure AD issues the application a SAML token with information (or claims) about the user that uniquely identifies them. Por padrão, essas informações incluem o nome do usuário, o endereço de email, o nome e o sobrenome.By default, this information includes the user's username, email address, first name, and last name. Talvez seja necessário personalizar essas declarações se, por exemplo, o aplicativo exigir valores de declaração específicos ou um formato de nome diferente de nome de usuário.You might need to customize these claims if, for example, the application requires specific claim values or a Name format other than username. Os requisitos para aplicativos da galeria são descritos nos tutoriais específicos do aplicativo ou você pode solicitá-los ao fornecedor do aplicativo.Requirements for gallery apps are described in the application-specific tutorials, or you can ask the application vendor. As etapas gerais para configurar atributos e declarações de usuário são descritas abaixo.The general steps for configuring user attributes and claims are described below.

  1. Na seção Atributos e declarações de usuário, selecione o ícone Editar (um lápis) no canto superior direito.In the User Attributes and Claims section, select the Edit icon (a pencil) in the upper-right corner.

    Etapa 2 Configurar atributos e declarações de usuário

  2. Verifique o Valor do Identificador de Nome.Verify the Name Identifier Value. O valor padrão é user.principalname.The default value is user.principalname. O identificador de usuário identifica exclusivamente cada usuário dentro do aplicativo.The user identifier uniquely identifies each user within the application. Por exemplo, se o endereço de email é tanto o nome de usuário quanto o identificador exclusivo, defina o valor como user.mail.For example, if the email address is both the username and the unique identifier, set the value to user.mail.

  3. Para modificar o Valor do Identificador de Nome, selecione o ícone Editar (um lápis) para o campo Valor do Identificador de Nome.To modify the Name Identifier Value, select the Edit icon (a pencil) for the Name Identifier Value field. Faça as alterações apropriadas na origem e no formato do identificador, conforme necessário.Make the appropriate changes to the identifier format and source, as needed. Para obter detalhes, confira Como editar a NameId.For details, see Editing NameId. Salve as alterações quando terminar.Save the changes when you're done.

  4. Para configurar as declarações de grupo, selecione o ícone Editar para o campo Grupos retornados na declaração.To configure group claims, select the Edit icon for the Groups returned in claim field. Para obter detalhes, confira Configurar declarações de grupo.For details, see Configure group claims.

  5. Para adicionar uma declaração, selecione Adicionar nova declaração na parte superior da página.To add a claim, select Add new claim at the top of the page. Insira o Nome e selecione a fonte apropriada.Enter the Name and select the appropriate source. Se você selecionar a origem Atributo, precisará escolher o Atributo de origem que deseja usar.If you select the Attribute source, you'll need to choose the Source attribute you want to use. Se você selecionar a origem Tradução, precisará escolher a Transformação e o Parâmetro 1 que deseja usar.If you select the Translation source, you'll need to choose the Transformation and Parameter 1 you want to use. Para obter detalhes, confira Como adicionar declarações específicas do aplicativo.For details, see Adding application-specific claims. Salve as alterações quando terminar.Save the changes when you're done.

  6. Selecione Salvar.Select Save. A nova declaração será exibida na tabela.The new claim appears in the table.

    Observação

    Para obter outras maneiras de personalizar o token SAML do Azure AD para seu aplicativo, confira os recursos a seguir.For additional ways to customize the SAML token from Azure AD to your application, see the following resources.

Etapa 3.Step 3. Gerenciar o certificado de autenticação SAMLManage the SAML signing certificate

O Azure AD usa um certificado para assinar os tokens SAML que ele envia para o aplicativo.Azure AD uses a certificate to sign the SAML tokens it sends to the application. Você precisa deste certificado para configurar a confiança entre o Azure AD e o aplicativo.You need this certificate to set up the trust between Azure AD and the application. Para obter detalhes sobre o formato de certificado, consulte a documentação do aplicativo SAML.For details on the certificate format, see the application’s SAML documentation. Para obter mais informações, consulte gerenciar certificados para logon único federado e Opções avançadas de assinatura de certificado no token SAML.For more information, see Manage certificates for federated single sign-on and Advanced certificate signing options in the SAML token.

No Azure AD, você pode baixar o certificado ativo no formato base64 ou RAW diretamente do principal Configurar logon único com a página SAML .From Azure AD, you can download the active certificate in Base64 or Raw format directly from the main Set up Single Sign-On with SAML page. Como alternativa, você pode obter o certificado ativo baixando o arquivo XML de metadados do aplicativo ou usando a URL de metadados de Federação do aplicativo.Alternatively, you can get the active certificate by downloading the application metadata XML file or by using the App federation metadata URL. Para exibir, criar ou baixar seus certificados (ativos ou inativos), siga estas etapas.To view, create, or download your certificates (active or inactive), follow these steps.

  1. Acesse a seção Certificado de Autenticação SAML.Go to the SAML Signing Certificate section.

    Etapa 3 gerenciar o certificado de autenticação SAML

  2. Verifique se que o certificado tem:Verify the certificate has:

    • A data de expiração desejada.The desired expiration date. Você pode configurar a data de validade por até três anos no futuro.You can configure the expiration date for up to three years into the future.
    • Um status ativo para o certificado desejado.A status of active for the desired certificate. Se o status for inativo, altere o status para ativo.If the status is Inactive, change the status to Active. Para alterar o status, clique com o botão direito do mouse na linha do certificado desejado e selecione tornar certificado ativo.To change the status, right-click the desired certificate's row and select Make certificate active.
    • A opção de assinatura e o algoritmo corretos.The correct signing option and algorithm.
    • Os endereços de email de notificação corretos.The correct notification email address(es). Quando o certificado ativo está próximo da data de validade, o Azure AD envia uma notificação para o endereço de email configurado neste campo.When the active certificate is near the expiration date, Azure AD sends a notification to the email address configured in this field.
  3. Para baixar o certificado, selecione uma das opções de formato base64, formato bruto ou XML de metadados de Federação.To download the certificate, select one of the options for Base64 format, Raw format, or Federation Metadata XML. O Azure AD também fornece a URL de Metadados de Federação do Aplicativo, na qual você pode acessar os metadados específicos do aplicativo no formato https://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID>.Azure AD also provides the App Federation Metadata Url where you can access the metadata specific to the application in the format https://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID>.

  4. Para gerenciar, criar ou importar um certificado, selecione o ícone de edição (um lápis) no canto superior direito da seção certificado de autenticação SAML .To manage, create, or import a certificate, select the Edit icon (a pencil) in the upper-right corner of the SAML Signing Certificate section.

    Certificado de autenticação SAML

    Execute qualquer uma das seguintes ações:Take any of the following actions:

    • Para criar um certificado, selecione Novo Certificado, selecione a Data de Validade e, em seguida, Salvar.To create a new certificate, select New Certificate, select the Expiration Date, and then select Save. Para ativar o certificado, selecione o menu de contexto ( ... ) e selecione Tornar o certificado ativo.To activate the certificate, select the context menu (...) and select Make certificate active.
    • Para carregar um certificado com as credenciais de chave privada e do PFX, selecione Importar Certificado e procure o certificado.To upload a certificate with private key and pfx credentials, select Import Certificate and browse to the certificate. Insira a Senha do PFX e, em seguida, selecione Adicionar.Enter the PFX Password, and then select Add.
    • Para configurar as opções avançadas de assinatura de certificado, use as opções a seguir.To configure advanced certificate signing options, use the following options. Para obter descrições dessas opções, confira o artigo Opções avançadas de assinatura de certificado.For descriptions of these options, see the Advanced certificate signing options article.
      • Na lista suspensa Opção de Assinatura, escolha Assinar resposta SAML, Assinar declaração SAML ou Assinar resposta e declaração SAML.In the Signing Option drop-down list, choose Sign SAML response, Sign SAML assertion, or Sign SAML response and assertion.
      • Na lista suspensa Algoritmo de Assinatura, escolha SHA-1 ou SHA-256.In the Signing Algorithm drop-down list, choose SHA-1 or SHA-256.
    • Para notificar outras pessoas quando o certificado ativo estiver próximo da data de validade, insira os endereços nos campos Endereços de email de notificação.To notify additional people when the active certificate is near its expiration date, enter the email addresses in the Notification email addresses fields.
  5. Se você tiver feito alterações, selecione salvar na parte superior da seção certificado de autenticação SAML .If you made changes, select Save at the top of the SAML Signing Certificate section.

Etapa 4.Step 4. Configurar o aplicativo para usar o Azure ADSet up the application to use Azure AD

A seção Configurar o <nome_do_aplicativo> lista os valores que precisam ser configurados no aplicativo, de modo que ele use o Azure AD como um provedor de identidade SAML.The Set up <applicationName> section lists the values that need to be configured in the application so it will use Azure AD as a SAML identity provider. Os valores necessários variam de acordo com o aplicativo.The required values vary according to the application. Para obter detalhes, consulte a documentação do aplicativo SAML.For details, see the application's SAML documentation. Para encontrar a documentação, vá para o cabeçalho configurar <nome do aplicativo > e selecione exibir instruções passo a passo.To find the documentation, go to the Set up <application name> heading and select View step-by-step instructions. A documentação é exibida na página Configurar logon .The documentation appears in the Configure sign-on page. Essa página o orienta a preencher a URL de logon, o identificador do Azure ade os valores de URL de logout no título Configurar <aplicativo nome > .That page guides you in filling out the Login URL, Azure AD Identifier, and Logout URL values in the Set up <application name> heading.

  1. Role para baixo até a seção Configurar <applicationName > .Scroll down to the Set up <applicationName> section.

    Etapa 4 configurar o aplicativo

  2. Copie o valor de cada linha dessa seção, conforme necessário, e siga as instruções específicas do aplicativo para adicionar o valor ao aplicativo.Copy the value from each row in this section as needed and follow the application-specific instructions for adding the value to the application. Para aplicativos da galeria, veja a documentação selecionando Exibir instruções passo a passo.For gallery apps, you can view the documentation by selecting View step-by-step instructions.

    • Os valores da URL de Logon e da URL de Logoff são resolvidos para o mesmo ponto de extremidade, que é o ponto de extremidade de tratamento de solicitações SAML para sua instância do Azure AD.The Login URL and Logout URL values both resolve to the same endpoint, which is the SAML request-handling endpoint for your instance of Azure AD.
    • O Identificador do Azure AD é o valor do Emissor no token SAML emitido para o aplicativo.The Azure AD Identifier is the value of the Issuer in the SAML token issued to the application.
  3. Depois de colar todos os valores nos campos apropriados, selecione Salvar.When you've pasted all the values into the appropriate fields, select Save.

Etapa 5.Step 5. Validar logon únicoValidate single sign-on

Depois de configurar seu aplicativo para usar o Azure AD como um provedor de identidade baseado em SAML, você pode testar as configurações para ver se o logon único funciona para sua conta.Once you've configured your application to use Azure AD as a SAML-based identity provider, you can test the settings to see if single sign-on works for your account.

  1. Role a página até a seção Validar o logon único com o .Scroll to the Validate single sign-on with section.

    Etapa 5: validar o logon único

  2. Selecione Validar.Select Validate. As opções de teste são exibidas.The testing options appear.

  3. Selecione Entrar como o usuário atual.Select Sign in as current user.

Se o logon for bem-sucedido, você estará pronto para atribuir usuários e grupos ao aplicativo SAML.If sign-on is successful, you're ready to assign users and groups to your SAML application. Se uma mensagem de erro for exibida, conclua as seguintes etapas:If an error message appears, complete the following steps:

  1. Copie e cole as informações específicas na caixa Como é o erro? .Copy and paste the specifics into the What does the error look like? box.

    Obter diretrizes de resolução

  2. Selecione Obter diretrizes de resolução.Select Get resolution guidance. A causa raiz e as orientações para resolução aparecem.The root cause and resolution guidance appear. Neste exemplo, o usuário não estava atribuído ao aplicativo.In this example, the user wasn't assigned to the application.

  3. Leia as diretrizes de resolução e, em seguida, se possível, corrija o problema.Read the resolution guidance and then, if possible, fix the issue.

  4. Execute o teste novamente até que ele seja concluído com êxito.Run the test again until it completes successfully.

Para obter mais informações, consulte depurar o logon único baseado em SAML para aplicativos no Azure Active Directory.For more information, see Debug SAML-based single sign-on to applications in Azure Active Directory.

Próximas etapasNext steps