Saltar al contenido principal
Para conectar su aplicación con Active Directory Federation Services (ADFS) de Microsoft, deberá proporcionar la siguiente información a su administrador de ADFS:
  • Identificador de Realm: urn:auth0:{yourTenant}
  • Punto de conexión: https://{yourDomain}/login/callback o https://<YOUR CUSTOM DOMAIN>/login/callback, si está usando un dominio personalizado.

Metadatos de federación

El archivo de metadatos de federación contiene información sobre los certificados del servidor ADFS. Si el endpoint de Federation Metadata (/FederationMetadata/2007-06/FederationMetadata.xml) está habilitado en ADFS, Auth0 puede buscar periódicamente (una vez al día) cambios en la configuración, como la incorporación de un nuevo certificado de firma para prepararse para una rotación. Por ello, es preferible habilitar el endpoint de Federation Metadata en lugar de proporcionar un archivo de metadatos independiente. Si proporciona un archivo de metadatos independiente, le notificaremos por correo electrónico cuando los certificados estén próximos a caducar.
Puede usar un script para configurar la conexión o hacerlo manualmente.

Configuración mediante script

Ejecute los dos comandos siguientes en la ventana de Windows PowerShell.
Debe ejecutar este script como administrador del sistema.
(new-object Net.WebClient -property @{Encoding = [Text.Encoding]::UTF8}).DownloadString("https://raw.github.com/auth0/adfs-auth0/master/adfs.ps1") | iex
Para la integración automatizada, este script usa el ADFS PowerShell SnapIn para crear y configurar una que emitirá, para el usuario autenticado, los siguientes claims: correo electrónico, upn, nombre y apellido.
Si usa la función de dominios personalizados, deberá reemplazar el valor de $webAppEndpoint por https://<YOUR CUSTOM DOMAIN>/login/callback.
El script crea la relación de confianza de parte de confianza en ADFS de la siguiente manera: El script también crea reglas para devolver los atributos más comunes, como correo electrónico, UPN, nombre o apellido: 
$rules = @'
@RuleName = "Store: ActiveDirectory -> Mail (ldap attribute: mail), Name (ldap attribute: displayName), Name ID (ldap attribute: userPrincipalName), GivenName (ldap attribute: givenName), Surname (ldap attribute: sn)"
c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> issue(store = "Active Directory",
    types = ("http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress",
             "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name",
             "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier",
             "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname",
             "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname"), query = ";mail,displayName,userPrincipalName,givenName,sn;{0}", param = c.Value);
'@
Set-ADFSRelyingPartyTrust –TargetName $realm -IssuanceTransformRules $rules
$rSet = New-ADFSClaimRuleSet –ClaimRule '=> issue(Type = "http://schemas.microsoft.com/authorization/claims/permit", Value = "true");'
Set-ADFSRelyingPartyTrust –TargetName $realm –IssuanceAuthorizationRules $rSet.ClaimRulesString

Configuración manual, parte 1: Agregar una relación de confianza de parte de confianza

  1. Abra la Consola de administración de ADFS.
  2. En el lado derecho de la consola, haga clic en Agregar relación de confianza de parte de confianza*
  3. Haga clic en Iniciar.
  4. Seleccione Especificar manualmente los datos sobre la parte de confianza y haga clic en Siguiente.
  5. Escriba un nombre (como {yourAppName}) y haga clic en Siguiente.
  6. Use la opción predeterminada (ADFS 2.0 profile) y haga clic en Siguiente.
  7. Use la opción predeterminada (no encryption certificate) y haga clic en Siguiente.
  8. Marque Habilitar compatibilidad con WS-Federation… y escriba este valor en el cuadro de texto: https://{yourDomain}/login/callback, o, si usa un dominio personalizado, https://<YOUR CUSTOM DOMAIN>/login/callback
  9. Haga clic en Siguiente.
  10. Agregue un identificador de relación de confianza de parte de confianza con este valor: urn:auth0:{yourTenant}
  11. Haga clic en Agregar y luego en Siguiente.
  12. Deje la opción predeterminada Permit all users... y haga clic en Siguiente.
  13. Haga clic en Siguiente y luego en Cerrar.

Configuración manual, parte 2: agregar una regla de directiva de emisión de claims

  1. Si usa Windows Server 2019, el cuadro de diálogo Edit Claim Issuance Policy se abre automáticamente al finalizar el asistente Add Relying Party Trust. Si usa Windows Server 2012 o 2016, siga estos pasos:
En Windows Server 2012En Windows Server 2016
En el panel Actions, a la derecha de la consola, busque la parte de confianza que acaba de crear. Debajo, haga clic en Edit Claim Issuance Policy.En el árbol de la consola, en ADFS, haga clic en Relying Party Trusts. A la derecha de la consola, busque la parte de confianza que acaba de crear. Haga clic con el botón derecho sobre ella y luego en Edit Claim Issuance Policy.
  1. En la ventana Edit Claim Issuance Policy, en Issuance Transform Rules, haga clic en Add Rule….
  2. Deje la opción predeterminada Send LDAP Attributes as Claims.
  3. Asigne a la regla un nombre que describa lo que hace.
  4. En Attribute Store, seleccione Active Directory.
  5. Seleccione estas asignaciones en Mapping of LDAP attributes to outgoing claim types y haga clic en Finish.
Atributo LDAPTipo de claim saliente
E-Mail-AddressesE-Mail Address
Display-NameName
User-Principal-NameName ID
Given-NameGiven Name
SurnameSurname

Agregar atributos LDAP adicionales

Las asignaciones de los pasos anteriores son las más utilizadas, pero si necesita atributos LDAP adicionales con información sobre el usuario, puede agregar más asignaciones de claims.
  1. Si cerró la ventana en el paso anterior, seleccione Edit Claim Rules en el menú contextual de la confianza de parte de confianza que creó y edite la regla.
  2. Cree una fila adicional para cada atributo LDAP que necesite; para ello, elija el nombre del atributo en la columna izquierda y el tipo de claim deseado en la columna derecha.
  3. Si el tipo de claim que busca no existe, tiene dos opciones:
    1. Escriba un nombre calificado con espacio de nombres para el nuevo claim (por ejemplo, http://schemas.xmlsoap.org/ws/2005/05/identity/claims/department).
    2. Registre un nuevo tipo de claim (en ADFS > Services > Claim Descriptions en la consola de administración de ADFS) y use el nombre del claim en la asignación. Auth0 usa la parte correspondiente al nombre del tipo de claim (por ejemplo, department en http://schemas.xmlsoap.org/ws/2005/05/identity/claims/department) como nombre del atributo para el perfil de usuario.

Próximos pasos

Ahora que ya tiene una conexión en funcionamiento, el siguiente paso es configurar su aplicación para usarla. Puede seguir nuestras guías de inicio rápido paso a paso o usar nuestras bibliotecas y la API.