Federando tu cuenta BTP trial con Azure

En esta entrada vamos a federar nuestra cuenta BTP con Azure Active directory. Esto en nuestra cuenta trial puede no tener mucha utilidad, pero a efectos educativos puede ser muy interesante.

Esta entrada sera una primera configuración a las próximas entradas donde veremos algunos temas relacionados con workflows

Para poder federar nuestra cuenta necesitaremos estar registrados en Azure. Microsoft nos regala 1 año de de subscripció y os hago un spoiler… una vez ha pasado este tiempo, puedes segur usando gratis tu SSO.

Creando la cuenta de azure

Lo primero será hacernos con una cuenta de Azure, para ello accedemos a la siguiente URL:

https://azure.microsoft.com/es-es/services/active-directory/

En la página veremos como crear la cuenta con la opción “Empiece gratis”:

Los siguientes pasos no los voy a detallar ya que solo son el registro.

La única cosa a destacar es que os pueden solicitar la targeta de crédito, en ese caso os cobrarán un importe simbólico que en unos los días os devolverán para certificar que la targeta es valida.

Preparando el XML de nuestra subaccount

Lo primero que haremos es descargar el fichero de configuración XML de nuestra subaccount. Para ello vamos a nuestras subcuenta y seleccionamos “Security” > “Trust configuration”. Allí veremos el botón de descarga del fichero SAML:

Una vez descargado seguiremos la configuración en Azure. Ten el fichero a mano.

Configurando Azure

Ahora vamos a la dirección de Azure (concretamente podemos acceder a Active directory) y accedemos al servicio con el botón “Iniciar sesion”

https://azure.microsoft.com/es-es/services/active-directory/

En caso de que os redirija a la pagina principal de azure vamos a active directory:

Una vez en la sección de active directory, accedemos a “Enterprise application”

Pulsamos en “+ New application” para poder añadir la nueva “federación”

Aquí seleccionaremos SAP Cloud Platform (hasta que lo actualicen por BTP). Un apunté. He marcado en azul la opción Identity Authentication ya que seria lo que seguramente tendríamos montado en un sistema productivo real, pero en nuestro caso para la cuenta trial no podemos tener este servicio.

Así que sin más, vamos a seleccionar “SAP Cloud Platform”

En la pantalla siguiente pulsamos “crear”.

Lo siguiente sera cargar el fichero con el certificado de nuestra cuenta BTP. Para ello, vamos a la aplicación que hemos creado des de la opción “Enterprise application” y seleccionamos la aplicación que hemos cread (si no aparece esperar unos minutos).

Una vez hemos accedido vamos a la opción Single Sing-on:

En el asistente seleccionamos la opción SAML:

Y ya podremos cargar el certificado que hemos descargado en el primer punto (el certificado que hemos descargado de nuestra subcuenta BTP).

A mano izquierda nos aparecerá el resumen de la configuración. En esa pantalla nos pedirá un campo adicional llamado “Sign on URL” podemos copiar lo que nos aparece en el campo “Identifier (Entity ID) y pulsamos el botón “Save”:

Ya nos queda muy poco. Solo unos retoques y podremos cruzar los certificados con nuestra cuenta BTP.

Vamos a modificar la sección User Attributes & Claims para trabajar con nuestra cuenta outlook y añadiremos los atributos de grupos que veremos en la siguiente entrada.

Lo primero que haremos sera modificar nuestro ID de usuario único para que coincida con el mail. En un caso productivo este parámetro nos podria interesar mas que sea otro campo. En este caso cambiaremos el valor actual (user.userprincipalname) por este otro (user.mail):

Tambien añadiremos un nuevo atributo “+ Add group claim” y seleccionaremos “Security groups” y pulsaremos la opción para añadir un nombre custom donde añadiremos como nombre “Groups”:

Ya solo nos queda adaptar nuestro identity provider para que envié los grupos a nuestra subaccount de BTP. Esto lo haremos para poder mapear nuestros role collections con nuestros grupos de Azure.

Iremos a “App registration” y en el caso de no ver ninguna aplicación pulsamos “View all applications in the directory”

Una vez aparezca nuestra aplicación, pulsamos sobre ella y accederemos al detalle, donde buscaremos la opción “Manifest”:

Allí validamos que aparece el siguiente valor:

Descargando el fichero de configuración de Azure

Para descargar el fichero volvemos a la opción “enterprise applications” y seleccionamos nuestra aplicación. Allí seleccionamos la opción Single sign-on y nos descargamos el fichero “Federation metadata XML” con el botón Download.

Esto nos descargará el fichero que necesitaremos en la siguiente sección.

Ahora sí… Federando

Volvemos a nuestra subcuenta BTP, vamos a la sección “Security” > “Trust Configuration” y pulsamos “New Trust Configuration”.

Añadimos el fichero que hemos descargado en la sección anterior. Le damos un nombre y una descripción y ya tenemos nuestra cuenta apunto y federada.


Con esta primera configuració ya podremos crear grupos en Azure para que le lleguen las tareas de los distintos workflows a los usuarios que accederán mediante SSO a nuestra cuenta.

Con esto ya podemos presumir de tener una cuenta federada como tendría cualquier empresa

Como siempre suscribete, dale a la campanita de notificaciones y comparte en redes para estar a la última

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.