TOTVS Fluig

Atalhos

Árvore de páginas

Versões comparadas

Versão antiga 6

changes.mady.by.user Camilla Damiani

Gravado em

comparado com

Nova versão 7

changes.mady.by.user Camilla Damiani

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.
Comentário: Migration of unmigrated content due to installation of a new plugin

Índice

Índice
maxLevel4
outlinetrue
stylenone
exclude.*ndice

Integração com o AD

O Fluig Identity permite 3 formas de integração com o Active Directory:

- Integração para sincronização de usuários e acesso com credenciais do AD, via SmartSync
- Integração para Single Sign On, via Desktop SSO
- Integração para provisionamento e desprovisionamento de acessos no AD, feito via Administração no Fluig Identity

Nos 2 primeiros casos, utilizamos componentes de apoio, que viabilizam essa integração, independente da forma de instalação do Fluig Identity (SaaS ou On-Premises).

O SmartSync é um componente construído em .Net, e que consiste em uma aplicação desktop, onde podemos configurar a conexão entre o Fluig Identity e os domínios do AD com o qual desejamos realizar a integração.

Podemos ter n domínios configurados. Nesta configuração, informamos os dados de conexão:
- Servidor do AD
- Base DN
- Usuário para leitura / gravação no AD
- Senha do usuário
- Token de conexão, criado pelo Fluig Identity

Por conta destas configurações, é importante que o cliente destaque um funcionário com conhecimento da infraestrutura do AD para que possa auxiliar com estas informações.

No caso do Desktop SSO, trata-se de um script, que pode e normalmente é instalado no mesmo servidor do SmartSync. Este script deve ser instalado no IIS e deve ser exposto de forma que o Fluig Identity possa acessá-lo.

Este script será responsável por viabilizar o Single Sign On para o Fluig Identity. Desde que o usuário tenha entrado com suas credenciais de rede, no login do Windows, quando ele tentar acessar o Fluig Identity, ou qualquer aplicação que esteja integrada com o Fluig Identity, nenhum usuário e senha será requisitado para o usuário.

Arquitetura

A integração entre o Fluig Identity e o Active Directory deve ser configurada, iniciando pela importação de usuários do AD.

O Fluig Identity possui um componente chamado SmartSync, cujas responsabilidades consistem em:
- Executar a importação inicial de usuários do AD
- Permitir que um usuário do Fluig Identity possa utilizar suas credenciais de rede / AD para autenticação.
- Efetuar a sincronização de dados entre o Active Directory e o Fluig Identity, incluindo informações da conta de usuários existentes e novas contas que venham a ser criadas no AD.

Como pode ser visto no diagrama abaixo, o SmartSync funciona como um agente entre o Fluig Identity e o Active Directory do cliente.

As contas do AD serão sempre sincronizada, desde que este agente esteja online. É importante que o SmartSync esteja sempre disponível para que ele possa prover os serviços de sincronização e autenticação com credenciais AD.

No caso deste componente estar off-line, usuários do Fluig Identity possuem uma contingência para continuar com acesso aos seus softwares, que consiste em utilizar uma credencial própria que é informada no momento da ativação do usuário.

 

Alguns cenários possíveis:

- Cenário 1: 1 servidor com SmartSync instalado, provendo sincronização e autenticação com credenciais AD

- Cenário 2: 2 servidores, cada um com o SmartSync instalado, contemplando alta disponibilidade para sincronização e autenticação com credenciais AD

- Cenário 3: 1 servidor com SmartSync e Desktop SSO instalados, provendo sincronização de usuários e Single Sign On para o Fluig Identity, utilizando credenciais AD informadas no login do Windows

- Cenário 4: 3 servidores, onde 2 possuem Smartsync e Desktop SSO instalados, contemplando um ambiente de alta disponibilidade e o terceiro servidor agindo como Load Balancer.

 

Cenário 1

 

Figura 2 - Cenários simples, sem single sign on e sem alta disponibilidade

 

 

Este cenário contempla a integração entre Fluig Identity e AD, contemplando sincronização de usuários e autenticação utilizando credenciais do AD. Não contempla alta disponibilidade.


 

Cenário 2

 

Figura 3 - Cenário contemplando alta disponibilidade de sincronização e autenticação com credencial AD, sem contemplar Single Sign On

 

 

Neste cenário, temos 2 servidores atendendo a sincronização de usuários e a autenticação com credenciais AD.

Se um dos 2 servidores ficar off-line, o outro servidor continua sustentando a sincronização e autenticação dos usuários.

Não há necessidade de load balancer porque o SmartSync possui um comportamento ativo, consumindo uma fila de requisições disponibilizadas pelo Fluig Identity.

Single Sign On não está disponível neste cenário.

 

Cenário 3

 

 

Figura 4 - Cenário onde temos sincronização de usuários e Single Sign On para acesso ao Fluig Identity, sem alta disponibilidade

 

 

Neste cenário temos o SmartSync fornecendo sincronização de usuários e o Desktop SSO fornecendo Single Sign On. Desde que o usuário tenha informado suas credenciais corretamente na tela de login do Windows, ele poderá acessar o Fluig Identity sem entrar com credenciais novamente.

Este cenário não contempla alta disponibilidade. Se o Desktop SSO estiver off-line, o usuário poderá autenticar no Fluig Identity com suas credenciais do AD.

Se o SmartSync estiver off-line, o usuário poderá acessar o Fluig Identity utilizando credenciais que ele informou na ativação da conta. Trata-se de uma credencial de contingência.

 

 

Cenário 4

 

Figura 5 - cenário onde temos sincronização de usuários e Single Sign On, com alta disponibilidade

 

 

Neste cenário temos o SmartSync fornecendo sincronização de usuários e o Desktop SSO fornecendo Single Sign On. Desde que o usuário tenha informado suas credenciais corretamente na tela de login do Windows, ele poderá acessar o Fluig Identity sem entrar com credenciais novamente.

Este cenário contempla alta disponibilidade. Se um Desktop SSO estiver off-line, o Load Balancer se encarrega de direcionar a requisição para o servidor que está online.

Se um SmartSync estiver off-line, a outra instalação continua provendo o serviço de sincronização de usuários.

Pré-Requisitos

Consideramos que o ideal é providenciar um ambiente de alta disponibilidade, com 2 máquinas dedicadas para o SmartSync e Destkop SSO e uma terceira máquina, utilizada para Load Balance no caso do Desktop SSO.

Opcionalmente, o cliente pode optar por utilizar apenas 1 máquina, onde ficará instalado o SmartSync e o Desktop SSO, eliminando a máquina de redundância e o Load Balancer.

Na tabela abaixo temos os requisitos de hardware e software necessários para manter o serviço de sincronização de usuários com o AD, autenticação com credenciais do AD e Single Sign On.

 

Figura 2 - Requisitos de Hardware para implantação de SmartSync e Desktop SSO

 

 

Este servidor, ou servidores caso se opte por alta disponibilidade, devem atender mais alguns requisitos:

- Deve possuir acesso à internet, para acesso ao Fluig Identity
- Deve ter acesso ao domínios ou domínios a serem configurados no SmartSync
- Deve ser providenciado um usuário com privilégios de leitura do AD, para fins de sincronização e autenticação de usuários.
- Este usuário deve ter privilégio de gravação, caso decida-se implantar um projeto com provisionamento e desprovisionamento de usuários no AD.
- Preferencialmente, a máquina onde será instalado o SmartSync / Desktop SSO não deve ser a máquina onde temos instalado o AD / controlador de domínio, evitando expor a mesma a internet.