Saltar al contenido principal
Puede conectar su instancia de Auth0 a Microsoft Azure Active Directory de tres formas. Revise las opciones para determinar cuál es el mejor enfoque para su caso. Auth0 recomienda empezar con la conexión nativa de Microsoft Azure AD. Si necesita una mayor personalización, revise la configuración de la conexión . Además, si su organización tiene restricciones adicionales sobre los flujos de code de , revise la configuración de OIDC empresarial. La siguiente tabla muestra las principales diferencias entre estos tipos de conexión. Revise estas capacidades para determinar cuál es el mejor tipo de conexión para su organización.
Tipo de conexiónAzure AD “nativo”OIDC empresarialSAML
ProtocoloFlujo de código de autorización de OAuthFlujo implícito de OAuth o flujo de código de autorización de OAuthSAML
¿Puede recibir claims opcionales de Azure AD?No
Compatibilidad con cierre de sesión federado (“Single Logout” o SLO)No
Recibir grupos de ADSí, nombres descriptivosSí, id. de objetoSí, id. de objeto
Recibir perfil ampliadoNoNo

Microsoft Azure AD

El primer tipo de conexión es la Conexión de Microsoft Azure AD en Auth0 Dashboard > Authentication > Enterprise. Este tipo de conexión usa el flujo de código de autorización de OAuth. La Conexión de Microsoft Azure AD acepta claims de un id_token y consulta directamente la API de Microsoft Graph. Si está configurada, la consulta busca grupos e información adicional del perfil. Microsoft Azure AD ignora cualquier claim personalizado incluido en el id_token.

Características y consideraciones de la conexión

Dado que este tipo de conexión es el flujo de trabajo nativo, es compatible explícitamente con las funciones ampliadas de AD. La conexión de Azure AD asigna atributos de perfil directamente a los perfiles de usuario de Auth0 desde la API de Microsoft Graph. La siguiente tabla compara los atributos de Azure AD Graph entre los distintos tipos de conexión:
Graph AttributeAuth0 Profile AttributeData typeEquivalent optional claim for OIDC or SAML
businessPhonesphonearrayN/A
givenNamegiven_namestringgiven_name
jobTitlejob_titlestringN/A
mobilePhonemobilestringN/A
preferredLanguagepreferred_languagestringxms_pl
surnamefamily_namestringfamily_name
userPrincipalNameupnstringupn
Debe habilitar el permiso para consultar la API de Microsoft Graph para recibir los siguientes atributos de perfil ampliados:
  • businessPhones
  • jobTitle
  • mobilePhone

Configuración de grupos

Si habilita el permiso para consultar la API de Microsoft Graph, Auth0 recupera automáticamente los grupos del usuario y los asigna al atributo groups del perfil de Auth0. Auth0 asigna estos «nombres descriptivos» de los grupos y no necesita configurar una claim personalizada, porque estos grupos se asignan directamente desde la API de Microsoft Graph.

SAML

El tipo de conexión SAML utiliza el protocolo SAML y admite el mapeo de atributos y todas las funciones estándar de SAML.

Características y consideraciones de la conexión

El tipo de conexión SAML es el más flexible de los tipos de conexión disponibles porque admite claims opcionales y cierres de sesión federados. Si necesita ambas funciones, SAML es el único tipo de conexión que las admite simultáneamente.

Configuración de grupos

Para que Auth0 acepte información de grupos con el tipo de conexión SAML, debe configurar Azure AD con atributos opcionales en la respuesta SAML. A continuación, Auth0 asigna los grupos al atributo group_ids del perfil de Auth0 del usuario.
Los tipos de conexión SAML y OIDC usan identificadores de objeto en lugar de nombres legibles para los grupos. Es posible que pueda incluir nombres legibles en una respuesta SAML si ha importado grupos desde AD local. Para obtener más información sobre los claims de grupo, consulte la documentación de Microsoft.

OIDC empresarial

El tipo Enterprise OpenID Connect puede usar los flujos OAuth Implicit o Authorization Code. Esta conexión asigna claims personalizados del id_token al perfil de usuario de Auth0. Para obtener más información sobre los flujos de autenticación, visita la documentación sobre flujos de autenticación y autorización.

Características y consideraciones de la conexión

Si no puede proporcionar en su flujo de inicio de sesión debido a normativas o protocolos de privacidad, el flujo implícito que ofrece la conexión OIDC podría ser una opción preferible. Si necesita claims personalizados pero no quiere configurar las funciones adicionales de SAML, la conexión OIDC puede reducir la complejidad.

Configuración de grupos

Para que Auth0 acepte información de grupos con el tipo de conexión OIDC, debe configurar Azure AD con un claim opcional para añadir groups al id_token de su solicitud. Auth0 asigna después estos grupos al atributo group_ids del perfil de Auth0 del usuario.
Los tipos de conexión SAML y OIDC usan identificadores de objeto en lugar de nombres descriptivos para los grupos. Es posible que pueda obtener nombres descriptivos en una respuesta SAML si ha importado grupos desde AD local. Para obtener más información sobre los claims de grupo, consulte la documentación de Microsoft.

Más información