O objetivo deste guia é demonstrar a criação de um aplicativo do tipo SAML no fluig Identity.
Aplicativos SAML
SAML (Security Assertion Markup Language) é um mecanismo de autenticação segura de padrão aberto, baseado em XML para a troca de dados de autenticação e autorização de acesso entre um provedor de identidade (Identity Provider ou IDP), que atesta e certifica a identidade dos usuários, e um provedor de serviços (Service Provider ou SP).
O fluig Identity suporta o Single Sign On (SSO) baseado no SAML 2.0 e a autenticação pode ser iniciada tanto pelo SP quanto pelo IDP.
Image Removed
Exemplo de autenticação Single Sign On baseada em SAML iniciada pelo IDP.
Informações
title
Dica
Saiba mais sobre o conceito de SAML, cenários de autenticação e veja exemplos de requisição e resposta SAML na página Single Sign On no Identity via SAML.
...
Obter dados para a criação do aplicativo
O primeiro passo para realizar a criação de um aplicativo do tipo SAML no fluig Identity é verificar junto ao fornecedor da aplicação que deseja configurar se ela suporta este protocolo na versão 2.0. Alguns exemplos de serviços que suportam a autenticação SAML são o fluig, Zendesk, Box e GoodData.
Utilizaremos Neste exemplo utilizaremos o Zendesk como exemplo para esta documentação. para configuração de um aplicativo SAML, portanto é necessário obter os dados de configuração junto ao serviço e realizar os procedimentos indicados por ele antes de iniciar a criação do aplicativo no Identity. Cada serviço é responsável por disponibilizar a própria documentação de configuração SAML.
Os dados obtidos para configuração do aplicativo SAML do Zendesk neste exemplo foram:
Nome do campo
Descrição
Exemplo
Modo de Login
Tipo Inic SSO
Entidade que irá iniciar o SSO
IDP_INITIATED
Tipo do aplicativo
SAML
Domínio
URL da aplicação
https://empresa.zendesk.com/access/
Endereço De Email
Assinatura do Response
Sim
Resposta Criptografia
Não
Assinatura do Assertion
Sim
https://empresa.zendesk.com/access/saml/
Destinatário
https://empresa.zendesk.com/access/saml/
Público
https://empresa.zendesk.com/access/saml/
https://empresa.zendesk.com/access/saml/
Mapeamento ID de Usuário
E-mail do Usuário
Usar URL de Acesso Direto ao Aplicativo
Sim
Mais informações sobre os campos de configuração de aplicativos SAML podem ser obtidas abaixo.
Criação de um novo aplicativo SAML
De posse dos dados do serviço, acesse a empresa no Identity para dar continuidade à criação do aplicativo.
Deck of Cards
history
false
id
saml
Card
label
Passo 1
Acesse a empresa no Identity com um usuárioadministrador. Acione o menuAplicativos.
Image Added
Card
label
Passo 2
Acione o botão Novo aplicativo e selecione a opção Padrão.
Na aba Visão Geral, informe o nome e uma descrição para o aplicativo, e acione Salvar. As demais propriedades do aplicativo, como Categoria e Logo poderão ser definidas futuramente.
Acesse a aba Entrar e acione o botão Editar.
Image Added
Card
label
Passo 3
Na aba Entrar o administrador deve incluir os dados fornecidos pelo serviço que está sendo cadastrado, neste caso, o Zendesk. Mais informações sobre os campos de configuração de aplicativos SAML podem ser obtidas abaixo.
Por padrão, o ID da Entidade (Entity ID) enviado na requisição SAML será "Totvs Labs". Para enviar o URI do contexto como ID da Entidade, marcar a opção ID da Entidade Específica do Domínio (HTTP) ou URL Completa (HTTPS).
Assinalar os campos de acordo com cada necessidade:
Sincronizar login SAML com e-mail do AD: Ao assinalar este campo a sincronização do login SAML será realizado com o e-mail do Active Directory. Enviar grupos pelo SAMLResponse: Ao assinalar este campo, será enviada as tags "GroupId" e "Groupname" na requisição SAML, essas tags conterão os IDs e os nomes dos grupos que o usuário está associado no TOTVS Identity.
Ao final, clique em Salvar.
Image Added
Card
label
Passo 4
Uma vez configurado e salvo, o aplicativo pode ser disponibilizado no Launchpad dos usuários.
Ao invés de atribuir o novo aplicativo diretamente a usuários/grupos, o administrador pode apenas disponibilizá-lo publicamente para que os usuários interessados incluam o aplicativo em seus Launchpads manualmente. Para isso, basta habilitar a opção Navegável localizada na aba Visão Geral do aplicativo.
Image Added
Configurações de um aplicativo SAML
Âncora
config
config
A tabela a seguir exibe o nome das principais propriedades de um arquivo SAML e os respectivos campos na tela de configuração de um aplicativo SAML no Identity.
Propriedade
Campo
Descrição
SSOInitType
Informa se o aplicativo será iniciado pelo Identity Provider (IDP-Initiated) ou pelo Service Provider (SP-Initiated)
NameIdFormat
Formato do Name ID
O formato da autenticação, que pode ser por endereço de e-mail, persistente (persistent), temporário (transient) ou indeterminado (unspecified).
Signed
Assinatura do Response
Informa se a requisição XML deve ser assinada com a chave privada do Identity. Por padrão, é sempre assinada.
Encrypted
Resposta Criptografia
Informa se o assertion gerado deve ser criptografado. Por padrão, não é criptografado.
Assertion Consumer Service URL
URL do provedor de serviços (SP) que irá receber o XML da requisição de autenticação enviada pelo Identity.
Recipient
Destinatário
Destinatário do assertion
Audience
Público
Receptor do assertion
Sincronização de login SAML com e-mail do Active Directory
Quando habilitada, a opção Sincronizar login SAML com e-mail do AD mantém o login do usuário no aplicativo SAML sincronizado com o e-mail cadastrado no Active Directory. Ou seja, caso o e-mail seja alterado no AD pelo administrador, esta mudança será sincronizada com o Identity através do SmartSync e refletida tanto no perfil do usuário quanto no login do aplicativo SAML.
Na edição das configurações de entrada de um aplicativo, também é possível alterar o nome das propriedades padrão, que são nome, sobrenome e email (conforme destacado na figura a seguir) e essas alterações refletem no SAMLRequest gerado ao se logar neste aplicativo.
Image Added
Utilização do aplicativo
Após a criação do aplicativo, os usuários cadastrados no contexto da empresa no Identity poderão utilizá-lo para autenticar-se no site/serviço. Se o novo aplicativo criado pelo administrador já estiver disponível no Launchpad do usuário, basta clicar sobre ele para acessar o serviço.
Caso o administrador ainda não tenha vinculado o aplicativo ao usuário, ou a algum dos grupos a que ele pertence, o usuário deve clicar no botão Adicionar App do Launchpad. Será apresentada a lista de aplicativos navegáveis da empresa. O usuário deve buscar pelo aplicativo desejado (por exemplo, "Zendesk SAML") e clicar no botão Adicionar.
Image Added
Ao contrário de aplicativos do tipo Plugin, aplicativos do tipo SAML não exigem que o usuário inclua suas credenciais nas configurações do aplicativo ou baixem o plugin do Identity para utilizá-lo.