Como usar o locatário do Azure AD como provedor de identidade para farm local
-
10-12-2019 - |
Pergunta
Configurei com êxito o Serviço de Controle de Acesso do Azure para usar o Facebook, o Google e o Live como provedores de identidade para um aplicativo Web SharePoint com reconhecimento de declarações local.
Em seguida, gostaria de tentar usar o locatário do Active Directory do Windows Azure também como um provedor de identidade e criei um AD de teste como [myad].onmicrosoft.com, adicionando alguns usuários.
Seguindo as instruções aqui
Configurei um provedor de identidade WS-Federation, incluído junto com os demais (Facebook et al)
No entanto, recebo um erro "ACS50000:Ocorreu um erro ao emitir um token." ao tentar fazer logon usando a conta do AD.
Existem bons guias sobre como conseguir isso?A maior parte do que encontrei tem como alvo os desenvolvedores de aplicativos que trabalham com o Azure.Eu só quero usar o AD como provedor de identidade e vinculá-lo ao meu conjunto de sites/aplicativo da web do Sharepoint.
Atualizar:
Fiz funcionar adicionando um aplicativo ao Azure AD, usando a URL ACS
https://[meunamespace].accesscontrol.windows.net/v2/wsfederation.
Isso me deu um URL para o XML de metadados do WS-Federation (que era diferente do link que tentei construir com base no artigo referenciado acima)
Usei essa URL para criar o provedor de identidade WS-Federation no Azure ACS.
Por último, tive que usar o PowerShell e o New-MsolServicePrincipal para recriar/modificar o aplicativo que foi configurado anteriormente no Azure AD.Não tenho certeza se isso é necessário, mas parecia não funcionar antes de executar algumas etapas manuais.
Excluí o ServicePrincipal configurado ao adicionar o aplicativo Azure AD e criei um novo com
$replyUrl = New-MsolServicePrincipalAddresses -Address "https://[mynamespace].accesscontrol.windows.net/v2/wsfederation"
New-MsolServicePrincipal -ServicePrincipalNames @("https://[mynamespace].accesscontrol.windows.net/") -DisplayName "MYLOGIN" -Addresses $replyUrl
$replyUrl é o terminal ACS
Por enquanto, estou mapeando a declaração de nome para a declaração de identidade configurada no Sharepoint.Acho que pode haver maneiras melhores de configurar isso, mas parece funcionar.
Solução
Pode valer a pena tentar adicionar o ACS como um aplicativo no Azure AD, configurá-lo para logon único e, em seguida, usar o ponto final da WS-Federation para o aplicativo adicionar o provedor de identidade.A primeira parte deste post traz um passo a passo mais detalhado: http://blog.helloitsliam.com/Lists/Posts/Post.aspx?List=e10cb685-6b5c-4b6c-aaf4-e1d122d57174&ID=120