Saltar a contenido

Instalación de OIDC para Microsoft Azure/AD

Crear y configurar el registro de una nueva aplicación en Azure

  1. Abra el Portal Azure.
  2. Seleccione Microsoft Entra ID -> App registrations.

  3. Seleccione + New Registration para empezar a crear una nueva aplicación.

    • Nombre: Introduzca un nombre para el registro de la nueva aplicación en Azure. Puede elegir cualquier nombre.
    • Tipos de cuenta admitidos: Seleccione Accounts in this organizational directory only.
    • Redirigir URI: Copie el URI del cuadro de diálogo Conexión OIDC en su servidor octoplant.

  4. Seleccione Register para crear un nuevo registro de aplicación. Aparecerá un Overview del registro de su nueva aplicación.

  5. Copie el ID de la aplicación (cliente) para añadirlo en el cuadro de diálogo Conexión OIDC.

  6. Habilite los following mobile and desktop flows.

  7. Diríjase a API permissions.

  8. Seleccione + Add a permission.
  9. Seleccione Microsoft Graph en Microsoft APIs.

  10. Seleccione Delegated permissions y seleccione email, openid y profile en OpenId permissions.

  11. Seleccione Token configuration -> Add group claims -> Security groups -> ID, luego habilite Group ID.

Usar OAuth con sincronización LDAP

  1. Seleccione Token configuration -> Add optional claims -> Token Type == ID, a continuación habilite onprem_sid.
  2. Seleccione Token configuration -> Add group claims -> Security groups -> ID, luego habilite On Premises Group Security Identifier.

Tener LDAP activado cambia el funcionamiento del inicio de sesión OAuth.

  • Para iniciar sesión con un usuario LDAP, ejecute primero la sincronización LDAP. El usuario ya debe estar sincronizado con Azure AD.
  • Para usuarios con onprem_sid, sólo se asignarán grupos que incluyan el SID de OnPrem. Todos los demás grupos se ignoran.

Info

No recomendamos habilitar LDAP después de OAuth.

octoplant puede mapear usuarios LDAP a usuarios OAuth usando SID y token claims - pero no puede mapear usuarios OAuth existentes a usuarios LDAP recién añadidos.

Si habilita LDAP después de OAuth:

  • La sincronización LDAP creará usuarios duplicados si ya existen usuarios OAuth coincidentes en la base de datos.
  • En el siguiente inicio de sesión, octoplant asociará a los usuarios con sus identidades LDAP, no con las cuentas OAuth originales, lo que provocará la pérdida de todos los permisos configurados previamente.

Si necesita habilitar LDAP después de OAuth, póngase en contacto con nuestro departamento de asistencia técnica. Le ayudaremos con la migración manual de datos.