login.microsoftonline.com no se puede incrustar en MS Teams.
Tenemos una aplicación web a la que agregamos MS Teams como una pestaña. Utiliza AAD para iniciar sesión y el protocolo SAML2.0. Al configurarlo dentro de nuestra propia empresa, funcionó sin problemas, pero cuando intentamos agregarlo al ecosistema de uno de nuestros clientes, falla durante la redirección de inicio de sesión con el mensaje: “login.microsoftonline.com no está permitido para ser incrustado”. Creemos que el problema proviene de X-FRAME-Options: DENY.
Pero funciona dentro de nuestro propio ecosistema. Pregunté a nuestro cliente si tienen algún tipo de medidas de seguridad personalizadas que puedan estar causando este comportamiento, pero la respuesta fue negativa. ¿Alguien sabe dónde se puede agregar/eliminar esta opción? En la navegación por internet se menciona que eso no es algo que se pueda quitar, pero definitivamente no está presente en nuestra propia configuración.
Gracias de antemano.
davy.ai
Solución
El problema es causado por el encabezado X-FRAME-Options: DENY, que impide que la aplicación web se inserte dentro de Microsoft Teams. Este encabezado suele incluirse en la respuesta del servidor para prevenir ataques de clickjacking.
Para resolver este problema, es necesario cambiar el encabezado para permitir la inserción de la aplicación. Esto se puede hacer cambiando el valor del encabezado a SAMEORIGIN o ALLOW-FROM uri.
Si el servidor es Apache, se puede agregar lo siguiente al archivo .htaccess:
Si el servidor es IIS, se puede agregar lo siguiente al archivo web.config:
Después de hacer estos cambios, es posible que deba reiniciar el servidor y borrar la caché para ver los efectos.
También cabe destacar que este cambio puede afectar la seguridad de la aplicación web, por lo que es importante evaluar los riesgos y beneficios antes de realizar cualquier modificación.