Konfigurera en SAML-app för att ta emot token med anspråk från ett externt arkiv

Den här artikeln beskriver hur du konfigurerar ett SAML-program för att ta emot token med externa anspråk från din anpassade anspråksprovider.

Förutsättningar

Innan du konfigurerar ett SAML-program för att ta emot token med externa anspråk följer du först följande avsnitt:

Konfigurera ett SAML-program som tar emot berikade token

Enskilda appadministratörer eller ägare kan använda en anpassad anspråksprovider för att utöka token för befintliga program eller nya program. Dessa appar kan använda token i antingen JWT-format (för OpenID Connect) eller SAML-format.

Följande steg gäller för att registrera ett XRayClaims-demoprogram så att du kan testa om det kan ta emot en token med berikade anspråk.

Lägga till ett nytt SAML-program

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Lägg till ett nytt SAML-program som inte är ett galleriprogram i klientorganisationen:

  1. Logga in på administrationscentret för Microsoft Entra som minst molnprogramadministratör.

  2. Bläddra till Identity>Applications Enterprise-program.>

  3. Välj Nytt program och sedan Skapa ett eget program.

  4. Lägg till ett namn för appen. Till exempel AzureADClaimsXRay. Välj alternativet Integrera andra program som du inte hittar i galleriet (icke-galleri) och välj Skapa.

Konfigurera enkel inloggning med SAML

Konfigurera enkel inloggning för appen:

  1. På sidan Översikt väljer du Konfigurera enkel inloggning och sedan SAML. Välj Redigera i Grundläggande SAML-konfiguration.

  2. Välj Lägg till identifierare och lägg till "urn:microsoft:adfs:claimsxray" som identifierare. Om identifieraren redan används av ett annat program i din organisation kan du använda ett alternativ som urn:microsoft:adfs:claimsxray12

  3. Välj svars-URL och lägg till https://adfshelp.microsoft.com/ClaimsXray/TokenResponse som svars-URL.

  4. Välj Spara.

Konfigurera anspråk

Attribut som returneras av api:et för din anpassade anspråksprovider ingår inte automatiskt i token som returneras av Microsoft Entra-ID. Du måste konfigurera ditt program för att referera till attribut som returneras av den anpassade anspråksprovidern och returnera dem som anspråk i token.

  1. På sidan Konfiguration av företagsprogram för den nya appen går du till fönstret Enkel inloggning.

  2. Välj i Redigera för avsnittet Attribut och anspråk

  3. Expandera avsnittet Avancerade inställningar .

  4. Välj på Konfigurera för anpassad anspråksprovider.

  5. Välj det anpassade autentiseringstillägget som du registrerade tidigare i listrutan Anpassad anspråksprovider . Välj Spara.

  6. Välj Lägg till nytt anspråk för att lägga till ett nytt anspråk.

  7. Ange ett namn på det anspråk som du vill utfärda, till exempel "DoB". Du kan också ange en namnområdes-URI.

  8. För Källa väljer du Attribut och väljer det attribut som tillhandahålls av den anpassade anspråksprovidern i listrutan Källattribut . Attribut som visas är attributen som definieras som "som ska göras tillgängliga" av den anpassade anspråksprovidern i konfigurationen av din anpassade anspråksprovider. Attribut som tillhandahålls av providern för anpassade anspråk prefix med customclaimsprovider. Till exempel customclaimsprovider. DateOfBirth och customclaimsprovider. CustomRoles. Dessa anspråk kan vara enkla eller flervärdesbaserade beroende av ditt API-svar.

  9. Välj Spara för att lägga till anspråket i SAML-tokenkonfigurationen.

  10. Stäng fönstren Hantera anspråk och attribut och anspråk.

Tilldela en användare eller grupp till appen

Innan du testar användarens inloggning måste du tilldela en användare eller grupp av användare till appen. Om du inte AADSTS50105 - The signed in user is not assigned to a role for the application gör det returneras felet när du loggar in.

  1. På sidan Programöversikt väljer du Tilldela användare och grupper under Komma igång.

  2. På sidan Användare och grupper väljer du Lägg till användare/grupp.

  3. Sök efter och välj den användare som ska logga in på appen. Välj knappen Tilldela.

Testa programmet

Testa att token utökas för användare som loggar in i programmet:

  1. På appöversiktssidan väljer du Enkel inloggning i det vänstra navigeringsfältet.

  2. Rulla nedåt och välj Testa under Testa enkel inloggning med {appnamn}.

  3. Välj Testa inloggning och logga in. I slutet av inloggningen bör du se röntgenverktyget tokensvarsanspråk. De anspråk som du har konfigurerat för att visas i token bör alla visas om de har icke-null-värden, inklusive alla som använder den anpassade anspråksprovidern som källa.

Skärmbild som visar anspråken från en extern källa.

Nästa steg

Felsöka api:et för din anpassade anspråksprovider.

Visa exempelappen Autentiseringshändelser för Azure Functions.