...
Desktop SSO é o componente responsável pela realização de Single Sign On (SSO), onde um usuário poderá acessar o fluig Identity sem informar manualmente usuário e senha, desde que esteja já autenticado no Windows.
O Desktop SSO é um componente não obrigatório na arquitetura do fluig Identity, que pode ser habilitado pelo administrador do contexto. Basicamente, trata-se de um script ASP responsável por validar se as credenciais utilizadas para autenticação no Windows são validas para o fluig Identity. As credenciais são consultadas no Active Directory, o e-mail associado a este usuário é recuperado e em seguida é validado no fluig Identity. Se os dados forem confirmados, o usuário terá acesso ao fluig Identity e aplicações sem a necessidade de informar as credenciais.
Caso as credenciais não sejam válidas, a página de login do fluig Identity é apresentada ao usuário, que poderá entrar com email e senha para ter acesso às aplicações.O Desktop SSO é um componente não obrigatório na arquitetura do Fluig Identity, que pode ser habilitado pelo administrador do contexto.
Para maior segurança, é possível cadastrar ranges intervalos de IPs, que restringem a permissão para utilização da funcionalidade do recurso de SSO. Isto permite também que usuários internos da empresa tenham a experiência do SSO, enquanto usuários externos são obrigados a entrar com credenciais manualmente para ter acesso ao Fluig fluig Identity e seus aplicativos.
Habilitando o Desktop SSO no
...
fluig Identity
Deck of Cards |
---|
effectDuration | 0.5 |
---|
history | false |
---|
id | samples |
---|
effectType | fade |
---|
|
Card |
---|
default | true |
---|
id | 1 |
---|
label | Passo1 |
---|
| Para habilitar o SSO em um contexto do Identity, o administrador deverá acessar o menu Configuração.
|
Card |
---|
| Logo em seguida, o administrador terá acesso às configurações de Active Directory.
|
Card |
---|
| No final da página, o administrador poderá habilitar o SSO, marcando o CheckBox “Permitir o acesso via Desktop SSO”, porém é importante lembrar que existem diversas configurações à serem executadas antes que possamos utilizar o SSO no contexto. Se as configurações não forem finalizadas antes que o CheckBox seja habilitado, os usuários poderão ter dificuldades para logar no Identity, ou até mesmo poderão ser impedidos de ter acesso.
Para ter acesso às configurações do Identity, o administrador deverá clicar no link Configuração do Desktop SSO.
|
Card |
---|
| Nesta página, o usuário poderá configurar os ranges de IPs que serão liberados para executar o SSO. Para editar os dados da página, basta clicar no botão verde de edição. É importante ter sempre alguém responsável pela infra estrutura do cliente, acompanhando os trabalhos de configuração do Identity, incluindo também a configuração do Desktop SSO. Este profissional poderá facilitar algumas configurações como por exemplo, IPs externos, dados de conexão com o Active Directory e usuários para teste.
|
Card |
---|
| Uma vez clicado no botão de edição, o primeiro item a ser configurado deverá ser os ranges de IPs, através da opção Endereço IP permitido. É possível criar mascaras para estes IPs, como no exemplo abaixo, onde utilizamos a notação [0-255] para informar que qualquer valor entre 0 e 255 é válido. Importante lembrar que o IP que devemos cadastrar é o IP externo. Isso assegura que quem estiver dentro da rede terá acesso ao AD e terá o acesso permitido já que o IP externo estará cadastrado. Usuários provenientes de fora da rede terão um IP diferente do cadastrado e portanto serão obrigados a informar credenciais, na página de login do Identity. Resumidamente, este cadastro é um filtro que informa quem deve utilizar SSO e quem deve informar credenciais manualmente. Se por exemplo, um administrador cadastrar [0-255]. [0-255]. [0-255]. [0-255], o Identity entenderá que todos os endereços de acesso são válidos, porém teremos um problema neste caso. Usuários acessando o Identity de fora da rede não terão acesso ao endereço do Desktop SSO, e neste caso um erro será informado (O browser é redirecionado para um endereço que ele não pode acessar). Para cadastrar corretamente o IP é necessário que a empresa possua um IP externo estático garantindo que usuários deste IP utilizem o Desktop SSO e os IPs diferente do cadastrado possam utilizar suas credenciais pela tela de autenticação. Finalmente, existe um campo chamado URL do script de autenticação. Trata-se do Desktop SSO, instalado no tópico anterior deste documento. A URL deve apontar por padrão para http://<endereço>/dsso/remote_auth.asp, mas existem outras alternativas, descritas nos tópicos a seguir.
Aviso |
---|
| Na faixa de IPs deve ser inserido os IPs externos, ou seja, o IP que chega no Identity. Se o cliente não souber ele pode consultar sites como o http://www.meuip.com.br/ |
|
Card |
---|
| Um ponto muito importante é que nada destas configurações irá funcionar se não tivermos instalado o script remote_auth.asp, ou Desktop SSO, em um Servidor com IIS. Este script é único por contexto, e o download só é habilitado a partir do momento em que clicamos no botão Salvar. Se não efetuarmos o download neste momento, e desejamos fazer isso posteriormente, é importante lembrar do procedimento: - Clicar em edição - Clicar no botão Salvar Desta forma, a opção Baixar script de autenticação SSO será habilitada, através do botão Baixar, conforme ilustrado abaixo.
Outro ponto que não devemos esquecer. Vamos supor que o script foi instalado com sucesso e que o Desktop SSO foi habilitado no Identity. Mesmo assim, o SSO só será realizado se o usuário chegar até o Identity através do subdomínio cadastrado para o contexto. Por exemplo: https://totvs.fluigidentity.com Se acessarmos o Identity através do endereço https://app.fluigidentity.com, o SSO não será realizado e a página de login do Identity será apresentada para o usuário. Aviso |
---|
title | Configurações script remote_auth |
---|
| Após efetuar o download, é necessário abrir o arquivo do script e preencher com o usuário administrador do Active Directory e a senha criptografada. Dentro do arquivo contém informações de como realizar essa ação. |
|
|
...
Como veremos nos tópicos a seguir, existem uma série de configurações que devemos realizar nos browsers navegadores para que eles utilizem este protocolo, e também no script remote_auth.asp, ou Desktop SSO, para que utilize a chamada Autenticação Windows.
...