Saltar a contenido

Autenticación (SSO) en App Service

Para añadir una capa de autenticación (middleware) mediante Single Sign-On de Microsoft a una Azure App Service, se debe hacer lo siguiente:

  1. Acceder al App Service.
  2. En el menú del recurso, ir a Authentication.
  3. Agregar la autenticación y seleccionar Microsoft como proveedor.
  4. Crear una nueva App Registration (Service Principal), que actuará como cliente OAuth, o seleccionar una ya existente.
  5. Se recomienda reutilitzar siempre que sea posible la misma App Registration para cada aplicación o conjunto de aplicaciones bajo una misma solución, ya que de esta forma se reduce el número de App Registrations y se facilita su mantenimiento y gestión.
  6. Continuar el proceso dejando el resto de opciones seleccionadas por defecto.
  7. Nota: Para la redirección, dejar seleccionada la redirección HTTP 302 hacia Microsoft. Esto será lo que cause la redirección al SSO de Microsoft (login.microsoft.com).

Con esto, ya tenemos nuestra autenticación configurada para nuestro tenant. Es decir, sólo los usuarios registrados (miembros o invitados) a nuestro tenant podrán acceder a nuestra aplicación mediante SSO con su cuenta Microsoft corporativa.

Restringir acceso a usuarios específicos

La configuración anterior pese a que restringe el acceso a todo aquel usuario fuera de nuestro tenant, no lo hace para TODOS los usuarios dentro del tenant.

Es decir, si se requiere restringir el acceso a ciertos usuarios concretos por razones de seguridad o clientes distintos, se deberá proceder de la siguiente manera:

  1. Acceder a la App Registration asociada a la capa de autenticación del App Service.
  2. Se puede buscar directamente en App Registrations en Azure o a través del menú Authentication del App Service.
  3. Acceder a la Enterprise Application que respalda la App Registration desde la pestaña Overview y "Managed application in local directory" en la sección de información general o "Essentials".
  4. La Enterprise Application permite configurar aspectos relacionados con el Active Directory y sus accesos/permisos respecto a esta aplicación.
  5. Allí, dirigirse a Properties y habilitar la opción Assignment Required? a "Yes".
  6. Finalmente, ir a Users and groups en el menú lateral de la Enterprise Application y añadir los usuarios seleccionados que podrán acceder a nuestra aplicación después de realizar el SSO.
  7. Pese a que se pueden añadir múltiples usuarios en la misma operación, la adición de grupos de usuarios en bloque sólo se puede hacer actualmente con un tier superior de Azure Active Directory.