Linha RM

Atalhos

Páginas filhas
  • Integração do RM com Azure AD via SAML

Versões comparadas

Versão antiga 1

changes.mady.by.user Guilherme Caram Meireles

Gravado em

comparado com

Nova versão 2

changes.mady.by.user Samuel Rener Santos Silva_

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

Índice

      

Índice
exclude.*ndice:

Objetivo

       Este documento demonstra como integrar o sistema RM com o Azure AD como provedor de Identidade.

Introdução

       O Azure AD (Azure Active Diretory) permite o compartilhamento da informação de identidade em um ampla variedade de aplicativos utilizando o padrão SAML que é suportado na linha RM.

Configurando

as Regras de Declaração (RM Portal)

o Azure AD

Informações
iconfalse

Nessa etapa, iremos realizar as configurações iniciais para a integração entre RM e Azure AD

Informações

Este passo-a-passo será todo instruído utilizando o Azure AD no idioma Inglês, porém os passos são os mesmos, independente do idioma

Deck of Cards
idConfigurando o Aplicativo Confiável no Azure AD
Card
label1º Passo - Enterprise Applications:

Antes de mais nada, precisaremos de um "Enterprise Application", pois esta é a aplicação que receberá todas as configurações referentes à integração.

Ao acessar o portal do Azure, selecione selecionamos o serviço "Enterprise Application" para acesso ao assistente de configuração.

Card
label2º Passo :- Criando uma nova aplicação:
  • Clicamos em New Application para criar uma nova aplicação. É possível que você seja contemplado com a nova tela da galeria de apps disponíveis do Azure AD, parecida com a demonstrada abaixo. Caso isso ocorra, apenas clique na mensagem tal qual evidenciada abaixo. Isso te levará para a galeria antiga (legado):


Image Added


  • Agora selecionamos
Crie um novo aplicativo e selecione
  • a opção “Non-gallery application”

Card
label3º Passo:


Defina
  • Definimos um nome para a
regra e selecione o mapeamento conforme a imagem abaixo.
  • aplicação e a criamos. Após a criação, você deve ser direcionado para uma página como a demonstrada abaixo: (O mapeamento para o SSO no RM é feito pelo e-mail do usuário.)

Image RemovedImage Added

Card
label4º Passo:3º Passo - Permitindo o acesso à aplicação:

Agora iremos selecionar os usuários e grupos que terão permissão para acessar nossa aplicação e consequentemente o RM via integração SAML (Azure AD). Para fazer isso, selecionamos a opção "Selecione a opção: "1. Assign users and groups" e selecione os usuários e/ou grupos que devem ter acesso ao aplicativo.

Image Removed

. Nessa aba, clique em "New user/group" e adicione todos os usuários que poderão entrar utilizando o Azure AD no RM.

Image Added




Após realizar as configurações comuns tanto ao RM Portal (Corpore.Net) quanto à MDI (RM.exe), iremos agora realizar as configurações definidas para cada caso


Configurando as Regras de Declaração (MDI - RM.exe)

Informações
iconfalse
Deck of Cards
idConfigurando o Aplicativo Confiável no Azure AD
Card
label4º Passo: Definindo o Single Sign On (SSO)

Agora iremos configurar o SSO (Single Sign On), permitindo a comunicação entre Azure AD e RM pelo lado do Azure AD (Mais abaixo está descrita a forma de realizar essa configuração pelo RM).

  • Selecionamos então a opção "Set up single sign on"

Image Added



  • Selecionamos a integração por meio de SAML:

Image Added


  • E somos direcionados a aba de configuração do Single Sign On via SAML. Nesta tela, iremos configurar os campos conforme descrito abaixo:
    • Identifier (Entity ID): O Identifier é basicamente a URL para qual o SAML será apontado e tentará fazer a conexão e login. Esta URL é construída da seguinte forma: https://<host>:<port>/RMCloudPass/SSOSaml2
    • Reply URL (ACS): A Reply URL leva exatamente a mesma configuração do Identifier, sendo construída da seguinte forma: https://<host>:<port>/RMCloudPass/SSOSaml2

Image Added


  • Na etapa "User Attributes & Claims" iremos adicionar dois novos parâmetros, ExecutablePath e RelayState
    • ExecutablePath: Este campo deve receber o caminho completo de onde seu RM.exe está contido, como por exemplo: C:\totvs\CorporeRM\RM.Net\RM.exe
    • RelayState: O RelayState deve receber o texto: samlexecutable

Image Added


Aviso
titleRelayState

Caso o RelayState esteja preenchido com quaisquer caracteres que não o exato texto samlexecutable, ao tentar acessar o RM via SAML, a seguinte mensagem será disparada pela rotina de Login:

Image Added


  • Ao final da configuração, você deve possuir configurações parecidas com as demonstradas abaixo:

Image Added

Card
label5º Passo - Adicionando a URL da aplicação ao XML:
  • Agora precisamos do XML que servirá como arquivo de configuração do RM em um momento posterior. Na terceira aba, de nome SAML Signing Certificate, baixamos o arquivo Federation Metadata XML:

Image Added


Image Added


  • Clicamos nos 3 pontinhos/dots e selecionamos Copy Link

Image Added

  • Agora no XML que baixamos, vamos ao final dele e nas tags SingleSignOnService, definimos a propriedade Location como o link que copiamos no item anterior:

Image Added



Bloco de código
languagexml
themeRDark
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="URL_DEFAULT" />
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="URL_DO_MY_APPS" />
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="URL_DO_MY_APPS" />


Salvamos o arquivo e podemos passar para a integração com a MDI.

Configurando as Regras de Declaração (RM Portal)

Informações
iconfalse
Deck of Cards
idConfigurando o Aplicativo Confiável no Azure AD
Card
label
Card
labelPasso:

Selecione a opção: "2. Set up single sign on". e depois SAML

Card
labelPasso:

Defina os parâmetros de “Basic SAML Configuration” conforme abaixo.

Identifier (Entity ID): https://stswindows.net/<Tenant ID>
Reply URL (ACS): https://<host>:<port>/RMCloudPass/SSOSaml2
Sign on URL: https://<host>/<CorporeApp>/login.aspx

Card
labelPasso:

Para o Portal CorporeRM não é necessário configurar o RelaySate.

Mas, para usar o portal FrameHTML, é necessário configurá-lo, de acordo com a regra abaixo, no seguinte formato:

state|loginPage|returnUrl
Ex: webapi|http://localhost:8090/RM/Login/Login.aspx|/web/app/RH/PortalMeuRH/

obs1: state para FrameHTML deve ser exclusivamente webapi.
obs2: até a versão 12.1.29 continua necessário mandar o ExecutablePath na requisição Saml.

Configurando as Regras de Declaração (MDI - RM.exe)

Informações
iconfalse
Deck of Cards
idConfigurando o Aplicativo Confiável no Azure AD
Card
label1º Passo:

Siga até o passo 5 da da configuração do RM-Portal (acima), alterando somente o nome da Aplicação.

Defina os parâmetros de “Basic SAML Configuration” conforme abaixo.

Identifier (Entity ID): https://<host>:<port>/RMCloudPass/SSOSaml2
Reply URL (ACS): https://<host>:<port>/RMCloudPass/SSOSaml2

Defina os parâmetros de “User Attributes & Claims” conforme abaixo.

ExecutablePath: "C:\totvs\CorporeRM\RM.Net\RM.exe"
RelayState: "samlexecutable"

Image Removed

No XML de metadados de federação, defina o SSOService Redirect para o link do my apps.

Image Removed

Ex.: <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://myapps.microsoft.com/signin/RM-EXE/681f2781-2ge6-4te5-9771-c53042a19358?tenantId=623c6144-a1ab-4f98-907a-437ad2926239" />

Card
label2º Passo:
Card
label3º Passo:

Integração SAML no RM

Metadado do ADFS
7º Passo:
  • Metadado do Azure AD

          Baixar do Azure o Federation Metadata XML:

Image Modified

 Repare que as URI's devem estar configuradas de acordo com seu ambiente.

Integração SAML no RM

         

Aviso
titleAtenção
  • Nas Quando a configuração for referente à MDI (RM.exe) o XML baixado deve ser alterado e as URI's de SingleSignOnService do aplicativo RM.exe o parâmetros Redirect deve receber o link do MyApps conforme configurado no Passo 3 do Item "Configurando o aplicativo confiável no Azure AD" deve ser alterada contemplando o MyApps tal qual demonstrado no 5º Passo da integração com a MDI.
  • Importando o metadado do Azure AD
FS
  • no RM
         

Após obter o metadados personalizado, ele deve ser importado no RM em: Ambiente → Parâmetros → Parâmetros Globais → Integração SAML

         

Caso queira integrar o

ADFS

Azure AD com a MDI, via SAML, adicionar o metadado no campo "Metadata Identity Provider - RM.exe"

Image Modified

         




















Caso queira integrar o ADFS com o Portal, via SAML, adicionar o metadado no campo "Metadata Identity Provider - Portal".


Image Modified




















Informações
titleObservação

Existe a possibilidade de integrar o ADFS Azure AD com a MDI e o Portal de forma simultânea, basta adicionar o metadado nos campos "Metadata Identity Provider - RM.exe" e "Metadata Identity Provider - Portal".

Informações
iconfalse
Informações
iconfalse

Produto: Framework

Informações
iconfalse

Versão: 12.1.27 e superiores

Informações
iconfalse

Processo: Integração SAML

Informações
iconfalse
Informações
iconfalse

Status: Finalizado

Informações
iconfalse

Data:31082020