SAML (Security Assertion Markup Language) é um mecanismo de autenticação segura de padrão aberto, baseado em XML para a troca de dados de autenticação e autorização de acesso entre um provedor de identidade (Identity Provider ou IDP), que atesta e certifica a identidade dos usuários, e um provedor de serviços (Service Provider ou SP).
...
Informações
title
Dica
Saiba mais sobre o conceito de SAML, cenários de autenticação e veja exemplos de requisição e resposta SAML na página Single Sign On no Identity via SAML.
Obter dados para a criação do aplicativo
O primeiro passo para realizar a criação de um aplicativo do tipo SAML no Identity é verificar junto ao fornecedor da aplicação que deseja configurar se ela suporta este protocolo na versão 2.0. Alguns exemplos de serviços que suportam a autenticação SAML são o fluig, Zendesk, Box e GoodData.
...
Mais informações sobre os campos de configuração de aplicativos SAML podem ser obtidas abaixo.
Criação de um novo aplicativo SAML
De posse dos dados do serviço, acesse a empresa no Identity para dar continuidade à criação do aplicativo.
Deck of Cards
history
false
id
saml
Card
label
Passo 1
Acesse a empresa no Identity com um usuárioadministrador. Acione o menuAplicativos.
Card
label
Passo 2
Acione o botão Novo aplicativo e selecione a opção Padrão.
Na aba Visão Geral, informe o nome e uma descrição para o aplicativo, e acione Salvar. As demais propriedades do aplicativo, como Categoria e Logo poderão ser definidas futuramente.
Acesse a aba Entrar e acione o botão Editar.
Card
label
Passo 3
Na aba Entrar o administrador deve incluir os dados fornecidos pelo serviço que está sendo cadastrado, neste caso, o Zendesk. Mais informações sobre os campos de configuração de aplicativos SAML podem ser obtidas abaixo.
Por padrão, o ID da Entidade (Entity ID) enviado na requisição SAML será "Totvs Labs". Para enviar o URI do contexto como ID da Entidade, marcar a opção ID da Entidade Específica do Domínio (HTTP) ou URL Completa (HTTPS).
Assinalar os campos de acordo com cada necessidade:
Sincronizar login SAML com e-mail do AD: Ao assinalar este campo a sincronização do login SAML será realizado com o e-mail do Active Directory. Enviar grupos pelo SAMLResponse: Ao assinalar este campo, será enviada as tags "GroupId" e "Groupname" na requisição SAML, essas tags conterão os IDs e os nomes dos grupos que o usuário está associado no TOTVS Identity.
Ao final, clique em Salvar.
Image RemovedClique para ampliar
Image Added
Card
label
Passo 4
Uma vez configurado e salvo, o aplicativo pode ser disponibilizado no Launchpad dos usuários.
Ao invés de atribuir o novo aplicativo diretamente a usuários/grupos, o administrador pode apenas disponibilizá-lo publicamente para que os usuários interessados incluam o aplicativo em seus Launchpads manualmente. Para isso, basta habilitar a opção Navegável localizada na aba Visão Geral do aplicativo.
Configurações de um aplicativo SAML
Âncora
config
config
A tabela a seguir exibe o nome das principais propriedades de um arquivo SAML e os respectivos campos na tela de configuração de um aplicativo SAML no Identity.
Propriedade
Campo
Descrição
SSOInitType
Informa se o aplicativo será iniciado pelo Identity Provider (IDP-Initiated) ou pelo Service Provider (SP-Initiated)
NameIdFormat
Formato do Name ID
O formato da autenticação, que pode ser por endereço de e-mail, persistente (persistent), temporário (transient) ou indeterminado (unspecified).
Signed
Assinatura do Response
Informa se a requisição XML deve ser assinada com a chave privada do Identity. Por padrão, é sempre assinada.
Encrypted
Resposta Criptografia
Informa se o assertion gerado deve ser criptografado. Por padrão, não é criptografado.
Assertion Consumer Service URL
URL do provedor de serviços (SP) que irá receber o XML da requisição de autenticação enviada pelo Identity.
Recipient
Destinatário
Destinatário do assertion
Audience
Público
Receptor do assertion
Sincronização de login SAML com e-mail do Active Directory
Quando habilitada, a opção Sincronizar login SAML com e-mail do AD mantém o login do usuário no aplicativo SAML sincronizado com o e-mail cadastrado no Active Directory. Ou seja, caso o e-mail seja alterado no AD pelo administrador, esta mudança será sincronizada com o Identity através do SmartSync e refletida tanto no perfil do usuário quanto no login do aplicativo SAML.
Na edição das configurações de entrada de um aplicativo, também é possível alterar o nome das propriedades padrão, que são nome, sobrenome e email (conforme destacado na figura a seguir) e essas alterações refletem no SAMLRequest gerado ao se logar neste aplicativo.
Image Added
Utilização do aplicativo
Após a criação do aplicativo, os usuários cadastrados no contexto da empresa no Identity poderão utilizá-lo para autenticar-se no site/serviço. Se o novo aplicativo criado pelo administrador já estiver disponível no Launchpad do usuário, basta clicar sobre ele para acessar o serviço.