Saltar al contenido principal
Además de los flujos de WS-Federation y Connect, también es posible usar el flujo Resource Owner con Azure AD. Este flujo le permite capturar y validar las credenciales de un usuario (correo electrónico y contraseña) en lugar de mostrar la página de inicio de sesión de Azure AD. Por motivos de seguridad y de (SSO), este no es el enfoque recomendado; aun así, el flujo de puede ser útil en escenarios de aplicaciones móviles nativas o para procesar por lotes la autenticación con Azure AD. Esta configuración requiere dos aplicaciones: una aplicación web y/o una API web, y una aplicación nativa. Desde el punto de vista de Azure AD, los usuarios se autenticarán mediante la aplicación nativa para obtener acceso a la aplicación web y/o la API web.
Diagrama general de las aplicaciones de Azure AD que usan el flujo de Resource Owner

Requisitos previos

Registre su aplicación en Auth0:
  1. Seleccione Native como Tipo de aplicación.
  2. Agregue una URL de callback permitida. El formato de la URL de callback variará según la plataforma. Para obtener más información sobre el formato correspondiente a su plataforma, consulte nuestro inicio rápido nativo.
  3. Asegúrese de que los tipos de grant de su aplicación incluyan los flujos adecuados.

Pasos

Para conectar su aplicación mediante el flujo de Resource Owner, debe:
  1. Configurar sus aplicaciones en el portal de Microsoft Azure.
  2. Crear una conexión empresarial en Auth0.
  3. Habilitar la conexión empresarial para su aplicación de Auth0.
  4. Probar la conexión.

Cuenta de Microsoft Azure

Antes de continuar, necesitará una cuenta válida de Microsoft Azure y debe tener su propio directorio de Microsoft Azure AD, del que sea administrador global.Si no tiene una cuenta de Microsoft Azure, puede registrarse gratis; después, si es necesario, configure un directorio de Azure AD siguiendo el inicio rápido de Microsoft Inicio rápido: Crear un nuevo inquilino en Azure Active Directory: crear un nuevo inquilino para su organización.Como alternativa, si tiene una cuenta de Office 365, puede usar la instancia de Azure AD de esa cuenta en lugar de crear una nueva. Para acceder a la instancia de Azure AD de su cuenta de Office 365:
  1. Inicie sesión en Office 365 y vaya al Centro de administración de Office 365.
  2. Abra el panel del menú Centros de administración situado en el menú de la izquierda y haga clic en Azure AD.

Configure sus aplicaciones en el portal de Microsoft Azure

Antes de continuar, debe haber configurado previamente su propio directorio de Microsoft Azure AD, del que debe ser administrador global. Para saber cómo hacerlo, siga la guía de Microsoft Inicio rápido: Crear un nuevo inquilino en Azure Active Directory - Crear un nuevo inquilino para su organización.

Registrar una nueva aplicación web

Para obtener información sobre cómo registrar su aplicación en Azure AD, consulte Inicio rápido: Registrar una aplicación con la plataforma de identidad de Microsoft en Microsoft Docs.
Si tiene más de un directorio de Azure AD, asegúrese de estar en el directorio correcto al registrar su aplicación.
Mientras configura su aplicación, asegúrese de usar la siguiente configuración:
  • Si desea permitir usuarios de organizaciones externas (como otros directorios de Azure AD), seleccione Accounts in any organizational directory (Any Azure AD directory - Multitenant) al configurar Supported account types.
  • Cuando se le solicite configurar una URI de redirección, seleccione Web e introduzca su URL de callback: https://{yourDomain}/login/callback.

Encuentre el nombre de dominio de Auth0 para las redirecciones

Si el nombre de dominio de Auth0 no aparece arriba y no está usando nuestra función de dominios personalizados, su nombre de dominio se compone del nombre de su inquilino, su subdominio regional y auth0.com, separados por el símbolo de punto (.).Por ejemplo, si el nombre de su inquilino es exampleco-enterprises y su inquilino está en la región de EE. UU., el nombre de dominio de Auth0 sería exampleco-enterprises.us.auth0.com y su URI de redirección sería https://exampleco-enterprises.us.auth0.com/login/callback.Sin embargo, si su inquilino está en la región de EE. UU. y se creó antes de junio de 2020, el nombre de dominio de Auth0 sería exampleco-enterprises.auth0.com y su URI de redirección sería https://exampleco-enterprises.auth0.com/login/callback.Si está usando dominios personalizados, su URI de redirección sería https://<YOUR CUSTOM DOMAIN>/login/callback.
Durante este proceso, anote el ID de la aplicación (cliente) que Microsoft genera para su aplicación (puede encontrarlo en la pantalla Overview de la aplicación), ya que lo necesitará más adelante en el tutorial.

Configure su aplicación web para exponer una API

Para obtener información sobre cómo configurar su aplicación web para exponer una API con Azure AD, consulte Inicio rápido: Configurar una aplicación para exponer API web en Microsoft Docs. Mientras configura la aplicación, asegúrese de usar la siguiente configuración:
  • Cuando se le pida establecer un nombre del scope, introduzca API.Access.
Durante este proceso, anote el URI de id. de la aplicación que Microsoft genera para su aplicación, ya que lo necesitará más adelante en el tutorial.

Registrar una nueva aplicación nativa

Para aprender a registrar una aplicación nativa en Azure, consulta Inicio rápido: Registrar una aplicación con la plataforma de identidad de Microsoft en Microsoft Docs.
Si tienes más de un directorio de Azure AD, asegúrate de estar en el directorio correcto cuando registres la aplicación.
Mientras configuras la aplicación, asegúrate de usar la siguiente configuración:
  • Si quieres permitir usuarios de organizaciones externas (como otros directorios de Azure AD), selecciona Accounts in any organizational directory (Any Azure AD directory - Multitenant) al configurar Supported account types.
  • Cuando se te pida configurar una URI de redirección, selecciona Public client/native (mobile & desktop) e introduce tu URL de callback. El formato de la URL de callback variará según tu plataforma. Para obtener más información sobre el formato correspondiente a tu plataforma, consulta Inicios rápidos nativos.
Durante este proceso, anota el ID de la aplicación (cliente) que Microsoft genera para la aplicación (puedes encontrarlo en la pantalla Overview de la aplicación), ya que lo necesitarás más adelante en el tutorial.

Crear un Secreto del cliente para su aplicación nativa

Para obtener más información sobre cómo crear un , consulte Inicio rápido: Configurar una aplicación cliente para acceder a API web - Add Credentials to your web application en Microsoft Docs. Genere un Secreto del cliente y anote su valor. Lo necesitará más adelante en el tutorial.
Si configura un secreto que caduca, asegúrese de anotar la fecha de vencimiento; deberá renovar el secreto antes de ese día para evitar una interrupción del servicio.

Agrega permisos a tu aplicación nativa

Para obtener información sobre cómo agregar permisos a tu aplicación nativa, consulta Inicio rápido: configurar una aplicación cliente para acceder a las API web - Agregar permisos para acceder a las API web en Microsoft Docs. Auth0 requiere que habilites los permisos mínimos necesarios (tanto para Microsoft Graph API como para la aplicación web que configuraste para exponer una API) para que esta configuración funcione correctamente. Para obtener más información sobre los permisos de Microsoft Graph API, consulta Referencia de permisos de Microsoft Graph en Microsoft Docs. Mientras configuras los permisos, asegúrate de usar la siguiente configuración para Microsoft Graph API:
  • Cuando se te pida un tipo de permiso, elige permiso delegado.
    • En User, selecciona User.Read para que tu aplicación permita que los usuarios inicien sesión y lea el perfil del usuario que ha iniciado sesión.
    • En Directory, selecciona Directory.Read.All para que tu aplicación pueda leer datos del directorio en nombre del usuario que ha iniciado sesión.
Para la aplicación web que configuraste para exponer una API, asegúrate de usar la siguiente configuración:
  • Cuando se te pida un tipo de permiso, elige permiso delegado.
    • En API, selecciona API.Access para que tu aplicación pueda acceder a tu API en nombre del usuario.

Configure la conexión en Auth0

Después de crear ambas aplicaciones en Azure AD, puede configurar la conexión en Auth0:
  1. Vaya a Auth0 Dashboard > Authentication > Enterprise, busque Microsoft Azure AD y seleccione el botón Agregar (+).
    Dashboard - Conexiones - Enterprise
  2. Introduzca los datos de la conexión y seleccione Create:
CampoDescripción
Connection nameIdentificador lógico de la conexión; debe ser único para su inquilino. Una vez establecido, este nombre no se puede cambiar.
Microsoft Azure AD DomainEl nombre de dominio de Azure AD. Puede encontrarlo en la página de información general de su directorio de Azure AD en el portal de Microsoft Azure.
Client IDIdentificador único de la aplicación de Azure AD registrada. Introduzca el valor guardado de ID de la aplicación (cliente) de la aplicación nativa que registró en Azure AD.
Client SecretCadena que se utiliza para obtener acceso a la aplicación de Azure AD registrada. Introduzca el valor guardado de Secreto del cliente de la aplicación nativa que registró en Azure AD.
Use common endpoint (optional)Cuando está habilitado, la aplicación aceptará dinámicamente usuarios de nuevos directorios. Normalmente se habilita si seleccionó una opción de múltiples inquilinos para Supported account types en la aplicación que registró en Azure AD. Cuando está habilitado, Auth0 redirigirá a los usuarios al endpoint de inicio de sesión común de Azure, y Azure realizará Home Realm Discovery en función del dominio del correo electrónico del usuario.
API de identidadAPI que Auth0 utiliza para interactuar con los endpoints de Azure AD. Consulte las diferencias de comportamiento en la documentación de Microsoft Why update to Microsoft identity platform (v2.0). Seleccione Azure Active Directory (v1) y, en App ID URI, introduzca el valor guardado de URI de id. de la aplicación que se creó cuando configuró su aplicación web para exponer una API.
AttributesAtributos básicos del usuario autenticado a los que su aplicación puede acceder. Indica cuánta información desea almacenar en el perfil de usuario de Auth0.
Extended Attributes (optional)Atributos extendidos del usuario autenticado a los que su aplicación puede acceder.
Auth0 APIs (optional)Cuando se selecciona, indica que necesita poder realizar llamadas a la API de usuarios de Azure AD.
Sync user profile attributes at each loginCuando está habilitado, Auth0 sincroniza automáticamente los datos del perfil del usuario en cada inicio de sesión, lo que garantiza que los cambios realizados en el origen de la conexión se actualicen automáticamente en Auth0.
Email VerificationElija cómo Auth0 establece el campo email_verified en el perfil del usuario. Para obtener más información, consulte Email Verification for Azure AD and ADFS.
Crear nueva conexión de Azure AD

Habilite la conexión empresarial para su aplicación de Auth0

Para usar la nueva conexión empresarial de Azure AD, debe habilitar la conexión para sus aplicaciones de Auth0.

Pruebe la conexión

Ahora ya puede probar la conexión.

Pertenencia a grupos e información avanzada del perfil

En este flujo nativo, Auth0 recibirá un de Azure AD emitido para su aplicación web de Azure AD. Como resultado, funciones como cargar la pertenencia a grupos y la información avanzada del perfil dejarán de funcionar, ya que el Token de acceso recibido de Azure AD ya no puede usarse para consultar la API de Azure AD Graph y obtener esta información adicional. Sin embargo, si depende de la pertenencia a grupos y de la información avanzada del perfil, puede cambiar la configuración para adaptarla a sus necesidades:
  1. En Azure, configure su aplicación nativa con permisos adicionales para la API de Microsoft Graph:
    • Cuando se le solicite un tipo de permiso, elija Permisos delegados.
      • En Directorio, seleccione Directory.AccessAsUser.All para que su aplicación pueda acceder al directorio como el usuario que ha iniciado sesión.
  2. En Auth0, modifique su conexión empresarial de Azure AD:
    • En API de identidad, seleccione Azure Active Directory (v1) y, en URI de ID. de aplicación, introduzca el URI de la API de Azure AD Graph: 
      https://graph.windows.net

Próximos pasos