Como configurar o logon único baseado em SAMLHow to configure SAML-based single sign-on

Depois de adicionar um aplicativo a seus aplicativos empresariais do Azure AD, você definirá as configurações de logon único.After you've added an app to your Azure AD Enterprise Applications, you configure single sign-on settings. Este artigo descreve como configurar o logon único baseado em SAML para um aplicativo inexistente na galeria.This article describes how to configure SAML-based single sign-on for a non-gallery app.

Observação

Adicionando um aplicativo da galeria?Adding a gallery app? Encontre instruções de instalação passo a passo na lista de tutoriais de aplicativo SaaSFind step-by-step setup instructions in the list of SaaS app tutorials

Para configurar o logon único para um aplicativo que não seja de galeria sem escrever código, você precisa ter uma assinatura ou o Azure AD Premium e o aplicativo devem ter suporte para SAML 2.0.To configure single sign-on for a non-gallery application without writing code, you need to have a subscription or Azure AD Premium and the application must support SAML 2.0. Para obter mais informações sobre as versões do Azure AD, visite Preços do Azure AD.For more information about Azure AD versions, visit Azure AD pricing.

Antes de começarBefore you begin

  • Se o aplicativo não tiver sido adicionado ao seu locatário do Azure AD, confira Adicionar um aplicativo da galeria ou Adicionar um aplicativo inexistente na galeria.If the application hasn't been added to your Azure AD tenant, see Add a gallery app or Add a non-gallery app.

  • Entre em contato com o fornecedor do aplicativo para obter as informações corretas para as seguintes configurações:Contact your application vendor to get the correct information for the following settings:

    Configuração Básica do SAMLBasic SAML Configuration setting Iniciado por SPSP-Initiated iniciado por idPidP-Initiated DESCRIÇÃODescription
    Identificador (ID da Entidade)Identifier (Entity ID) Obrigatório para alguns aplicativosRequired for some apps Obrigatório para alguns aplicativosRequired for some apps Identifica exclusivamente o aplicativo para o qual o logon único está sendo configurado.Uniquely identifies the application for which single sign-on is being configured. O Azure AD envia o identificador para o aplicativo como o parâmetro Audience do token SAML.Azure AD sends the identifier to the application as the Audience parameter of the SAML token. O aplicativo deve validá-lo.The application is expected to validate it. Esse valor também aparece como a ID da entidade em todos os metadados SAML fornecidos pelo aplicativo.This value also appears as the Entity ID in any SAML metadata provided by the application. Encontre esse valor como o elemento Emissor na AuthnRequest (solicitação SAML) enviada pelo aplicativo.You can find this value as the Issuer element in the AuthnRequest (SAML request) sent by the application.
    URL de respostaReply URL OpcionalOptional ObrigatórioRequired Especifica onde o aplicativo espera receber o token SAML.Specifies where the application expects to receive the SAML token. A URL de resposta também é chamada de URL do ACS (Serviço do Consumidor de Declaração).The reply URL is also referred to as the Assertion Consumer Service (ACS) URL.
    URL de logonSign-on URL ObrigatórioRequired Não especifiqueDon't specify Quando um usuário abre essa URL, o provedor de serviço redireciona para o Azure AD a fim de autenticar e conectar o usuário.When a user opens this URL, the service provider redirects to Azure AD to authenticate and sign on the user. O Azure AD usa a URL para iniciar o aplicativo no Office 365 ou no painel de acesso do Azure AD.Azure AD uses the URL to start the application from Office 365 or the Azure AD Access Panel. Quando ela estiver em branco, o Azure AD dependerá do provedor de identidade para iniciar o logon único quando um usuário iniciar o aplicativo.When blank, Azure AD relies on the identity provider to start single sign-on when a user launches the application.
    Estado de RetransmissãoRelay State OpcionalOptional OpcionalOptional Especifica para onde o aplicativo deve redirecionar o usuário depois que a autenticação é concluída.Specifies to the application where to redirect the user after authentication is completed. Normalmente, o valor é uma URL válida para o aplicativo.Typically the value is a valid URL for the application. No entanto, alguns aplicativos usam esse campo de forma diferente.However, some applications use this field differently. Para obter mais informações, pergunte ao fornecedor do aplicativo.For more information, ask the application vendor.
    URL de logoffLogout URL OpcionalOptional OpcionalOptional Usada para enviar as respostas de Logoff do SAML novamente ao aplicativo.Used to send the SAML Logout responses back to the application.

Etapa 1.Step 1. Editar a Configuração Básica do SAMLEdit the Basic SAML Configuration

  1. Entre no portal do Azure como administrador do aplicativo em nuvem ou um administrador de aplicativo para seu locatário do Azure AD.Sign in to the Azure portal as a cloud application admin, or an application admin for your Azure AD tenant.

  2. Navegue até Azure Active Directory > Aplicativos empresariais e selecione o aplicativo na lista.Navigate to Azure Active Directory > Enterprise applications and select the application from the list.

    • Para pesquisar o aplicativo, no menu Tipo de Aplicativo, selecione Todos os aplicativos e, em seguida, Aplicar.To search for the application, in the Application Type menu, select All applications, and then select Apply. Insira o nome do aplicativo na caixa de pesquisa e, em seguida, selecione o aplicativo nos resultados.Enter the name of the application in the search box, and then select the application from the results.
  3. Na seção Gerenciar, selecione Logon único.Under the Manage section, select Single sign-on.

  4. Selecione SAML.Select SAML. A página Configurar logon único com SAML – Visualização será exibida.The Set up Single Sign-On with SAML - Preview page appears.

  5. Para editar as opções de configuração básica do SAML, selecione o ícone Editar (um lápis) no canto superior direito da seção Configuração Básica do SAML.To edit the basic SAML configuration options, select the Edit icon (a pencil) in the upper-right corner of the Basic SAML Configuration section.

    Configurar certificados

  6. Nos campos apropriados, insira as informações descritas na seção Antes de começar.In the appropriate fields, enter the information described in the Before you begin section.

  7. Na parte superior da página, selecione Salvar.At the top of the page, select Save.

Etapa 2.Step 2. Configurar Atributos e declarações de usuárioConfigure User attributes and claims

Um aplicativo pode exigir declarações ou atributos de usuário específicos no token SAML recebido do Azure AD quando um usuário se conecta.An application might require specific user attributes or claims in the SAML token it receives from Azure AD when a user signs in. Por exemplo, URIs de declaração ou valores de declaração específicos podem ser necessários ou o Nome pode precisar ser algo diferente do nome de usuário armazenado na plataforma de identidade da Microsoft.For example, specific claim URIs or claim values could be required, or Name might need to be something other than the username stored in Microsoft identity platform. Os requisitos para aplicativos da galeria são descritos nos tutoriais específicos do aplicativo ou você pode solicitá-los ao fornecedor do aplicativo.Requirements for gallery apps are described in the application-specific tutorials, or you can ask the application vendor. As etapas gerais para configurar atributos e declarações de usuário são descritas abaixo.The general steps for configuring user attributes and claims are described below.

  1. Na seção Atributos e declarações de usuário, selecione o ícone Editar (um lápis) no canto superior direito.In the User Attributes and Claims section, select the Edit icon (a pencil) in the upper-right corner.

  2. Verifique o Valor do Identificador de Nome.Verify the Name Identifier Value. O valor padrão é user.principalname.The default value is user.principalname. O identificador de usuário identifica exclusivamente cada usuário dentro do aplicativo.The user identifier uniquely identifies each user within the application. Por exemplo, se o endereço de email é tanto o nome de usuário quanto o identificador exclusivo, defina o valor como user.mail.For example, if the email address is both the username and the unique identifier, set the value to user.mail.

  3. Para modificar o Valor do Identificador de Nome, selecione o ícone Editar (um lápis) para o campo Valor do Identificador de Nome.To modify the Name Identifier Value, select the Edit icon (a pencil) for the Name Identifier Value field. Faça as alterações apropriadas na origem e no formato do identificador, conforme necessário.Make the appropriate changes to the identifier format and source, as needed. Para obter detalhes, confira Como editar a NameId.For details, see Editing NameId. Salve as alterações quando terminar.Save the changes when you're done.

  4. Para configurar as declarações de grupo, selecione o ícone Editar para o campo Grupos retornados na declaração.To configure group claims, select the Edit icon for the Groups returned in claim field. Para obter detalhes, confira Configurar declarações de grupo.For details, see Configure group claims.

  5. Para adicionar uma declaração, selecione Adicionar nova declaração na parte superior da página.To add a claim, select Add new claim at the top of the page. Insira o Nome e selecione a fonte apropriada.Enter the Name and select the appropriate source. Se você selecionar a origem Atributo, precisará escolher o Atributo de origem que deseja usar.If you select the Attribute source, you'll need to choose the Source attribute you want to use. Se você selecionar a origem Tradução, precisará escolher a Transformação e o Parâmetro 1 que deseja usar.If you select the Translation source, you'll need to choose the Transformation and Parameter 1 you want to use. Para obter detalhes, confira Como adicionar declarações específicas do aplicativo.For details, see Adding application-specific claims. Salve as alterações quando terminar.Save the changes when you're done.

  6. Clique em Salvar.Select Save. A nova declaração será exibida na tabela.The new claim appears in the table.

    Observação

    Para obter outras maneiras de personalizar o token SAML do Azure AD para seu aplicativo, confira os recursos a seguir.For additional ways to customize the SAML token from Azure AD to your application, see the following resources.

Etapa 3.Step 3. Gerenciar o certificado de autenticação SAMLManage the SAML signing certificate

O Azure AD usa um certificado para assinar os tokens SAML que ele envia para o aplicativo.Azure AD uses a certificate to sign the SAML tokens it sends to the application. Na página Configurar o Logon Único com o SAML, você pode exibir ou baixar o certificado ativo.On the Set up Single Sign-On with SAML page, you can view or download the active certificate. Você também pode atualizar, criar ou importar um certificado.You can also update, create, or import a certificate. Para aplicativos da galeria, os detalhes sobre o formato do certificado estão disponíveis na documentação do SAML do aplicativo (confira os tutoriais específicos do aplicativo).For gallery applications, details about the certificate format are available in the application’s SAML documentation (see the application-specific tutorials).

  1. Acesse a seção Certificado de Autenticação SAML.Go to the SAML Signing Certificate section. Dependendo do tipo de aplicativo, você verá opções para baixar o certificado no formato Base64, em formato bruto ou no XML de Metadados de Federação.Depending on the type of application, you'll see options to download the certificate in Base64 format, Raw format, or Federation Metadata XML. O Azure AD também fornece a URL de Metadados de Federação do Aplicativo, na qual você pode acessar os metadados específicos do aplicativo no formato https://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID>.Azure AD also provides the App Federation Metadata Url where you can access the metadata specific to the application in the format https://login.microsoftonline.com/<Directory ID>/federationmetadata/2007-06/federationmetadata.xml?appid=<Application ID>.

  2. Para gerenciar, criar ou importar um certificado, selecione o ícone Editar (um lápis) no canto superior direito da seção Certificado de Autenticação SAML e, em seguida, siga um destes procedimentos:To manage, create, or import a certificate, select the Edit icon (a pencil) in the upper-right corner of the SAML Signing Certificate section, and then do any of the following:

    • Para criar um certificado, selecione Novo Certificado, selecione a Data de Validade e, em seguida, Salvar.To create a new certificate, select New Certificate, select the Expiration Date, and then select Save. Para ativar o certificado, selecione o menu de contexto ( ... ) e selecione Tornar o certificado ativo.To activate the certificate, select the context menu (...) and select Make certificate active.
    • Para carregar um certificado com as credenciais de chave privada e do PFX, selecione Importar Certificado e procure o certificado.To upload a certificate with private key and pfx credentials, select Import Certificate and browse to the certificate. Insira a Senha do PFX e, em seguida, selecione Adicionar.Enter the PFX Password, and then select Add.
    • Para configurar as opções avançadas de assinatura de certificado, use as opções a seguir.To configure advanced certificate signing options, use the following options. Para obter descrições dessas opções, confira o artigo Opções avançadas de assinatura de certificado.For descriptions of these options, see the Advanced certificate signing options article.
      • Na lista suspensa Opção de Assinatura, escolha Assinar resposta SAML, Assinar declaração SAML ou Assinar resposta e declaração SAML.In the Signing Option drop-down list, choose Sign SAML response, Sign SAML assertion, or Sign SAML response and assertion.
      • Na lista suspensa Algoritmo de Assinatura, escolha SHA-1 ou SHA-256.In the Signing Algorithm drop-down list, choose SHA-1 or SHA-256.
    • Para notificar outras pessoas quando o certificado ativo estiver próximo da data de validade, insira os endereços nos campos Endereços de email de notificação.To notify additional people when the active certificate is near its expiration date, enter the email addresses in the Notification email addresses fields.
  3. Selecione Salvar na parte superior da seção Certificado de Autenticação SAML.Select Save at the top of the SAML Signing Certificate section.

Etapa 4.Step 4. Configurar o aplicativo para usar o Azure ADSet up the application to use Azure AD

A seção Configurar o <nome_do_aplicativo> lista os valores que precisam ser configurados no aplicativo, de modo que ele use o Azure AD como um provedor de identidade SAML.The Set up <applicationName> section lists the values that need to be configured in the application so it will use Azure AD as a SAML identity provider. Os valores necessários variam de acordo com o aplicativo.The required values vary according to the application. Para obter detalhes, consulte a documentação do aplicativo SAML.For details, see the application's SAML documentation.

  1. Role para baixo até a seção Configurar <applicationName > .Scroll down to the Set up <applicationName> section.
  2. Copie o valor de cada linha dessa seção, conforme necessário, e siga as instruções específicas do aplicativo para adicionar o valor ao aplicativo.Copy the value from each row in this section as needed and follow the application-specific instructions for adding the value to the application. Para aplicativos da galeria, veja a documentação selecionando Exibir instruções passo a passo.For gallery apps, you can view the documentation by selecting View step-by-step instructions.
    • Os valores da URL de Logon e da URL de Logoff são resolvidos para o mesmo ponto de extremidade, que é o ponto de extremidade de tratamento de solicitações SAML para sua instância do Azure AD.The Login URL and Logout URL values both resolve to the same endpoint, which is the SAML request-handling endpoint for your instance of Azure AD.
    • O Identificador do Azure AD é o valor do Emissor no token SAML emitido para o aplicativo.The Azure AD Identifier is the value of the Issuer in the SAML token issued to the application.
  3. Depois de colar todos os valores nos campos apropriados, selecione Salvar.When you've pasted all the values into the appropriate fields, select Save.

Etapa 5.Step 5. Validar logon únicoValidate single sign-on

Você está pronto para testar as configurações para ver se o logon único funciona para você, o administrador.You're ready to test the settings to see if single sign-on works for you, the admin.

  1. Abra as configurações de logon único do aplicativo.Open the single sign-on settings for your application.
  2. Role a página até a seção Validar o logon único com o .Scroll to the Validate single sign-on with section. Para este tutorial, esta seção é chamada Configurar GitHub-test.For this tutorial, this section is called Set up GitHub-test.
  3. Selecione Testar.Select Test. As opções de teste são exibidas.The testing options appear.
  4. Selecione Entrar como o usuário atual.Select Sign in as current user.

Se o logon for bem-sucedido, você estará pronto para atribuir usuários e grupos ao aplicativo SAML.If sign-on is successful, you're ready to assign users and groups to your SAML application. Se uma mensagem de erro for exibida, conclua as seguintes etapas:If an error message appears, complete the following steps:

  1. Copie e cole as informações específicas na caixa Como é o erro? .Copy and paste the specifics into the What does the error look like? box.

    Use a caixa de "Qual é a aparência do erro" para obter diretrizes de resolução

  2. Selecione Obter diretrizes de resolução.Select Get resolution guidance. A causa raiz e as orientações para resolução aparecem.The root cause and resolution guidance appear. Neste exemplo, o usuário não estava atribuído ao aplicativo.In this example, the user wasn't assigned to the application.

  3. Leia as diretrizes de resolução e, em seguida, se possível, corrija o problema.Read the resolution guidance and then, if possible, fix the issue.

  4. Execute o teste novamente até que ele seja concluído com êxito.Run the test again until it completes successfully.

Próximas etapasNext steps