Saltar al contenido principal

Descripción general

Conceptos clave
  • Siga los pasos para registrar su aplicación en Azure AD y conectarla a su instancia de Auth0.
  • Pruebe la conexión antes de pasar la configuración a producción.
  • Revise los consejos para la solución de problemas.
Importante: Atributos extendidos en las conexiones de Azure Active Directory (v1) Como Microsoft está retirando la API Azure AD Graph, las conexiones que usan la API de identidad de Azure Active Directory (v1) ya no pueden habilitar por primera vez Get extended profile, Get user groups ni Get nested groups (options.ext_profile, options.ext_groups, options.ext_nested_groups). En las conexiones v1 existentes, estas opciones solo se mantienen si ya estaban habilitadas, pero dejarán de funcionar por completo una vez que finalice el retiro de la API Graph de Microsoft en 2025. Los atributos extendidos siguen siendo compatibles con las conexiones que usan la API de identidad de Microsoft Identity Platform (v2), que depende de Microsoft Graph y requiere los permisos delegados User.Read y Directory.Read.All.
Puede integrar Microsoft Azure Active Directory (AD) si desea permitir que los usuarios:
  • De su empresa usen su aplicación desde un Azure AD controlado por usted o por su organización.
  • De otras empresas usen su aplicación desde sus Azure AD. (Le recomendamos configurar los directorios externos como conexiones diferentes).
Los claims devueltos por la conexión empresarial de Azure AD son estáticos; los claims personalizados u opcionales no aparecerán en los perfiles de usuario. Si necesita incluir claims personalizados u opcionales en los perfiles de usuario, use una conexión SAML u OIDC en su lugar.

Pasos

Para conectar su aplicación con Azure AD, debe hacer lo siguiente:
  1. Registrar su aplicación en Azure AD
  2. Crear una conexión empresarial en Auth0
  3. Habilitar la conexión empresarial para su aplicación de Auth0
  4. Probar la conexión

Registre su aplicación en Azure AD

Para registrar su aplicación en Azure AD, lea la Guía de inicio rápido: Registrar una aplicación con la plataforma de identidad de Microsoft.
Si tiene más de un directorio de Azure AD, asegúrese de estar en el directorio correcto al registrar la aplicación que desea usar con Auth0.
Durante el registro, configure los siguientes ajustes:
OpciónConfiguración
Tipos de cuenta admitidosPara habilitar el aprovisionamiento de usuarios basado en SCIM desde este directorio, seleccione Cuentas solo en este directorio de la organización (un solo inquilino). Para permitir usuarios de organizaciones externas (como otros directorios de Azure AD), elija la opción multiinquilino adecuada. Las opciones multiinquilino incluyen lo siguiente: Cuentas en cualquier directorio de la organización (cualquier directorio de Azure AD: multiinquilino).
URI de redirecciónSeleccione Web como tipo de URI de redirección e introduzca su URL de devolución de llamada: https://{yourDomain}/login/callback.

Busque el nombre de dominio de Auth0 para las redirecciones

Si su nombre de dominio de Auth0 no se muestra arriba y no está usando nuestra funcionalidad de dominios personalizados, su nombre de dominio se compone del nombre de su inquilino, su subdominio regional y auth0.com, separados por el símbolo de punto (.).Por ejemplo, si el nombre de su inquilino es exampleco-enterprises y su inquilino está en la región de EE. UU., su nombre de dominio de Auth0 sería exampleco-enterprises.us.auth0.com y su URI de redirección sería https://exampleco-enterprises.us.auth0.com/login/callback.Sin embargo, si su inquilino está en la región de EE. UU. y se creó antes de junio de 2020, entonces su nombre de dominio de Auth0 sería exampleco-enterprises.auth0.com y su URI de redirección sería https://exampleco-enterprises.auth0.com/login/callback.Si está usando dominios personalizados, su URI de redirección sería https://<YOUR CUSTOM DOMAIN>/login/callback.
Durante este proceso, Microsoft genera un ID de aplicación (cliente) para su aplicación; puede encontrarlo en la pantalla Información general de la aplicación. Anote este valor.

Cree un secreto del cliente

Para crear un , consulte Add and manage application credentials in Microsoft Entra ID - Add a Client Secret de Microsoft. Una vez generado, guarde este valor.
Si configura un secreto con vencimiento, asegúrese de anotar la fecha de vencimiento; deberá renovar la clave antes de esa fecha para evitar una interrupción del servicio.

Agregar permisos

Para agregar permisos, lea la Guía de inicio rápido de Microsoft: Configurar una aplicación cliente para acceder a las API web - Agregar permisos para acceder a las API web. Mientras configura los permisos, tenga en cuenta lo siguiente: Si desea habilitar atributos extendidos (como Perfil extendido o Grupos de seguridad), deberá configurar los siguientes permisos para la API de Microsoft Graph.
Permisos delegadosDescripción
Users > User.ReadPara que su aplicación pueda permitir que los usuarios inicien sesión y leer los perfiles de los usuarios que hayan iniciado sesión.
Directory > Directory.Read.AllPara que su aplicación pueda leer datos del directorio en nombre del usuario que haya iniciado sesión.

Crear una conexión empresarial en Auth0

Cree y configure una conexión empresarial de Azure AD en Auth0. Asegúrese de tener el ID de aplicación (cliente) y el Secreto del cliente generados al configurar su aplicación en el portal de Microsoft Azure.
  1. Vaya a Auth0 Dashboard > Authentication > Enterprise, busque Microsoft Azure AD y seleccione el + correspondiente.
    Dashboard - Conexiones - Empresarial
  2. Introduzca los datos de su conexión y seleccione Create:
CampoDescripción
Nombre de la conexiónIdentificador lógico de su conexión; debe ser único para su inquilino. Una vez establecido, este nombre no se puede cambiar.
Dominio de Microsoft Azure ADEl nombre de dominio de su Azure AD. Puede encontrarlo en la página de información general del directorio de Azure AD en el portal de Microsoft Azure.
ID de clienteIdentificador único de su aplicación registrada de Azure AD. Introduzca el valor guardado del ID de aplicación (cliente) de la aplicación que acaba de registrar en Azure AD.
Secreto del clienteCadena que se utiliza para obtener acceso a su aplicación registrada de Azure AD. Introduzca el valor guardado del Secreto del cliente de la aplicación que acaba de registrar en Azure AD.
Tipo de atributo de ID de usuarioAtributo del token de ID que se asignará a la propiedad user_id en Auth0. Las opciones corresponden a los dos tipos de ID admitidos descritos en la documentación de Microsoft: ID token claims reference - Microsoft identity platform.
Usar endpoint común(Opcional) Cuando está habilitado, su aplicación aceptará dinámicamente usuarios de directorios nuevos. Normalmente se habilita si seleccionó una opción de múltiples inquilinos para los tipos de cuenta admitidos de la aplicación que acaba de registrar en Azure AD. Auth0 redirige a los usuarios al endpoint de inicio de sesión común de Azure, y Azure realiza Home Realm Discovery en función del dominio de la dirección de correo electrónico del usuario.
API de identidadAPI que Auth0 utiliza para interactuar con los endpoints de Azure AD. Consulte las diferencias de comportamiento en el documento de Microsoft Why update to Microsoft identity platform (v2.0).
AtributosAtributos básicos del usuario que inició sesión a los que su aplicación puede acceder. Indica cuánta información quiere almacenar en el perfil de usuario de Auth0.
Atributos extendidos (opcional)Atributos extendidos del usuario que inició sesión a los que su aplicación puede acceder.
APIs de Auth0 (opcional)Cuando se selecciona, indica que se requiere la capacidad de realizar llamadas a la API de Azure AD, lo que nos permite buscar usuarios en Azure AD Graph aunque nunca hayan iniciado sesión en Auth0.
Verificación de correo electrónicoElija cómo Auth0 establece el campo email_verified en el perfil del usuario. Para obtener más información, lea Email Verification for Azure AD and ADFS.
PropósitoHabilite la conexión para Authentication, Connected Accounts for Token Vault, o ambas. Para obtener más información, lea User authentication vs Connected Accounts.
  1. En la vista Provisioning, puede configurar cómo se crean y actualizan los perfiles de usuario en Auth0.
CampoDescripción
Sincronizar atributos del perfil de usuario en cada inicio de sesiónCuando está habilitado, Auth0 sincroniza automáticamente los datos del perfil de usuario en cada inicio de sesión, lo que garantiza que los cambios realizados en el origen de la conexión se actualicen automáticamente en Auth0.
Sincronizar perfiles de usuario mediante SCIMCuando está habilitado, Auth0 permite sincronizar los datos del perfil de usuario mediante SCIM. Para obtener más información, lea Configure Inbound SCIM.
  1. En la vista Login Experience, puede configurar cómo los usuarios inician sesión con esta conexión.
CampoDescripción
Home Realm DiscoveryCompara el dominio de correo electrónico de un usuario con los dominios proporcionados del proveedor de identidad. Para obtener más información, consulta Configure Identifier First Authentication
Mostrar botón de conexiónEsta opción muestra las siguientes opciones para personalizar el botón de conexión de tu aplicación.
Nombre para mostrar del botón (Opcional)Texto que se utiliza para personalizar el botón de inicio de sesión de Universal Login. Al configurarlo, el botón muestra: “Continuar con {Nombre para mostrar del botón}”.
URL del logotipo del botón (Opcional)URL de la imagen que se utiliza para personalizar el botón de inicio de sesión de Universal Login. Al configurarlo, el botón de inicio de sesión de Universal Login muestra la imagen como un cuadrado de 20 px por 20 px.
Los campos opcionales solo están disponibles con Universal Login. Los clientes que usan Classic Login no verán el botón Add, el nombre para mostrar del botón ni la URL del logotipo del botón.
  1. Si tienes los permisos administrativos adecuados en Azure AD para otorgar consentimiento a la aplicación y permitir que los usuarios inicien sesión, haz clic en Continuar. Se te pedirá que inicies sesión en tu cuenta de Azure AD y otorgues el consentimiento. De lo contrario, proporciona la URL indicada a tu administrador para que pueda otorgarlo.

Habilite la conexión empresarial para su aplicación de Auth0

Para usar su nueva conexión empresarial de Azure AD, primero debe habilitar la conexión para sus aplicaciones de Auth0.

Pruebe la conexión

Ahora ya está listo para probar la conexión.

Solución de problemas

Aquí tienes algunos consejos para solucionar problemas: Registré mi aplicación en Azure AD, pero cuando vuelvo a Registros de aplicaciones de Azure Active Directory, no puedo ver mi aplicación. Es posible que hayas registrado accidentalmente tu aplicación en el directorio de Azure AD incorrecto (o que ni siquiera hayas creado un directorio de Azure AD antes de registrar tu aplicación). Lo más probable es que lo más sencillo sea volver a registrar tu aplicación en Azure AD. Asegúrate de estar en el directorio correcto al registrar la aplicación. Si necesitas crear un directorio de Azure AD, sigue la guía de Microsoft Inicio rápido: Crear un nuevo inquilino en Azure Active Directory - Crear un nuevo inquilino para su organización. Recibo el siguiente mensaje de error: “Access cannot be granted to this service because the service listing is not properly configured by the publisher”. Para resolverlo, intenta cambiar los Tipos de cuenta admitidos de tu aplicación registrada en Azure AD. Asegúrate de haber elegido una opción multiinquilino adecuada en la configuración de autenticación de la aplicación de Azure AD. Las opciones multiinquilino incluyen la siguiente: Cuentas en cualquier directorio organizativo (cualquier directorio de Azure AD - multiinquilino). Cuando los usuarios intentan iniciar sesión, recibimos el siguiente mensaje de error: “invalid_request; failed to obtain ”. La causa más probable de este error es que el Secreto del cliente de Azure AD no es válido o ha caducado. Para resolverlo, genera un nuevo Secreto del cliente para tu aplicación en Azure AD y, después, actualiza el Secreto del cliente en la conexión empresarial configurada con Auth0.

Rotación de la clave de firma en Azure AD

El utiliza las claves de firma para firmar el token de autenticación que emite, y la aplicación que lo consume (Auth0, en este caso) para validar la autenticidad del token generado. Por motivos de seguridad, la clave de firma de Azure AD rota periódicamente. Si esto sucede, no necesita realizar ninguna acción. Auth0 usará la nueva clave automáticamente.

Quitar la etiqueta «no verificado»

Si usa un , la pantalla de consentimiento de la aplicación para el inicio de sesión con Azure AD puede mostrar su dominio como «no verificado». Para quitar la etiqueta «no verificado»:
  1. Verifique el dominio de la aplicación de Auth0: Agregue su nombre de dominio personalizado mediante el portal de Azure Active Directory.
  2. Asigne el dominio verificado a la aplicación de Auth0: Cómo: Configurar el dominio del publicador de una aplicación.

Siguientes pasos