Carol

Árvore de páginas

Habilitando a integração do login pelo Microsoft Azure

Após realizado o fluxo de login pela plataforma Carol, é possível alterá-lo, de modo que o método de autenticação utilizado seja por meio de um provedor de identidade terceiro que possua suporte ao SAML. Neste tutorial vamos demonstrar como integrar o SSO da Microsoft Azure como IDP na Plataforma Carol.


ATENÇÃO

A configuração de identidade é realizada a nível de organização, ou seja, todas as tenants dentro da organização terão esta configuração.


A configuração da integração está dividida em duas fases.

  • A fase A é executada pelo cliente.
  • A fase B é executada pela TOTVS.


A. Criando o aplicativo corporativo

PRÉ-REQUISITOS

Para esta fase você precisará ter uma conta no portal do Azure para criar um aplicativo corporativo.

1. Selecione o gerenciador do Azure Active Directory

2. Selecione o menu Aplicativos Corporativos

3. Crie uma nova aplicação


Precisamos criar o usuário no AzureAD.

  • Selecione a opção Usuário na página de gerenciamento do AD:

  • Crie um novo usuário.

ATENÇÃO

Recomenda-se criar um usuário com o mesmo e-mail do usuário Admin na Carol, para não ficar bloqueado na Carol.

Após a criação do usuário, ele DEVE ser atribuído ao aplicativo.

  • No gerenciamento do aplicativo, selecione as opções Usuários e Grupos e adicione um novo usuário.

  • Selecione todos os usuários que você deseja ter acesso no aplicativo.

ATENÇÃO

Recomenda-se criar um usuário com o mesmo e-mail do usuário Admin na Carol, para não ficar bloqueado na Carol.

  • Selecione a função do usuário para o aplicativo e clique no botão Atribuir.

Depois que o aplicativo for criado e o usuário adicionado, você deve estar na página de detalhes do aplicativo.

  • Selecione a opção Single sign-on, no menu à esquerda:

  • Selecione a opção SAML, no menu à esquerda:

  • Edite a configuração SAML básica:

  • Defina os seguintes itens:
    • APP Identifier como Carol, isso é importante, pois é o SPIssuerName no aplicativo Carol
    • Reply URL é onde o SAML retornará a Assertion, e, para Carol, DEVE ser o seguinte:
      • https://{orgDomain}/api/v1/SAML/ACS?orgSubdomain={orgSubdomain}

  • Configurar Atributos e Reivindicações
    • Para Carol reconhecer o usuário autenticado no Azure, precisamos alterar os Atributos retornados. Para isso, precisamos retornar o e-mail do usuário como o User Identifier.

  • Para que Carol reconheça o usuário autenticado no Azure, precisamos alterar os Atributos retornados. Para isso, precisamos retornar o e-mail do usuário como User Identifier.

  • Adicionar Certificados SAML
    • Para garantir a segurança no acesso do usuário, precisamos adicionar um certificado de autenticação ao aplicativo. Para isso siga os passos indicados na imagem abaixo.

  1. Clique em Adicione um certificado.

  2. Informe os Endereços de Email de Notificação.

  3. Clique em Novo Certificado.

  4. Informe a Data de Validade do certificado.

  5. Clique em Tornar o certificado ativo.

  6. Clique em Salvar.

  7. Faça o Donwload de Certificado PEM.

Para a continuidade na configuração, precisamos que o cliente nos envie no ticket os seguintes dados obtidos da Azure.

  • URL de Logon;
  • Identificador do Azure AD;
  • Hash code do certificado baixado.


B. Configurando SAML SSO no TOTVS Carol


PRÉ-REQUISITOS

Para esta fase você precisará ser administrador da organização no ambiente da Carol.

Utilize as credenciais de Administrador da Organização.

Após logado com o novo usuário, acesse as configurações da organização e marque a opção Login using an Identity provider.

  • Em seguida, marque a opção Another IdP/SAML.

  • Preencha os campos na Carol com as informações fornecidas abaixo pela Azure, marque a opção para provisionamento automático de novos usuários e salve as configurações posteriormente na Carol.

ATENÇÃO


  • O Identificador do Azure AD é o mesmo na Carol para os campos SAML Identity Provider URL e SALM Identity Prodider Issuer (Entity ID).
  • A URL de logon é utilizada na Carol no campo de redirecionamento.
  • A URL de logoff é dispensável.
  • Abra o arquivo de certificado baixado anteriormente e extraia o conteúdo da chave copiando-a para o campo SAML Identity Provider Certificate.

Agora, basta sair e acessar a Organização novamente. Você será redirecionado para o processo de login na Azure.

Lembrando que a partir deste momento para adicionar usuários novos ou já existentes na plataforma Carol basta apenas, adicioná-los na Azure atribuindo eles ao aplicativo criado na etapa de configuração da integração.

Acesse a API na barra de ferramentas Organization Admin (canto superior direito).

  • Altere a API para Admin - ALL na barra superior.

  • Localize as configurações de SAML no grupo de APIs.

  • Chame a API para ativar o SAML para a organização.

  • Chame o ponto de extremidade (endpoint) de configuração POST para definir os parâmetros do Azure.

Agora, basta sair e acessar a Organização novamente. Você será redirecionado para o processo de login na Azure.

Lembrando que a partir deste momento para adicionar usuários novos ou já existentes na plataforma Carol basta apenas, adicioná-los na Azure atribuindo eles ao aplicativo criado na etapa de configuração da integração.


Como adiciono usuários na Plataforma Carol após ativada a integração com a Azure?


PRÉ-REQUISITOS

A opção de provisionamento automático de novos usuários DEVE estar marcada dentro da plataforma Carol nas configurações da organização.

Basicamente, quando é ativado o SSO delegamos TODA a autenticação para a Azure, ou seja, toda a liberação de login é feita por lá, e a Carol somente gerencia os perfis de acesso. Portanto, o uso de invites pela plataforma Carol deixa de ter efeito na platafirna Carol.

Para adicionar usuários novos ou já existentes na plataforma Carol basta apenas, adicioná-los na Azure atribuindo eles ao aplicativo criado na etapa de configuração da integração.


Como desativo a integração com a Azure na Plataforma Carol?


Para desativar a integração, precisamos que o cliente ao abrir o ticket nos envie a URL da organização.

Com o ticket aberto, para desativar a integração, o administrador da plataforma Carol na TOTVS deve:

  1. Acessar no ambiente global a página do swagger e por meio de endpoint (/api/v3/organizations/domain/{domain}) obter o id da organização informando o nome do domínio da organização.



  2. Reutilizar este id da organização em novo endpoint (/api/v3/organizations/{orgId}) passando no corpo da solicitação o parâmetro mdmEnableSSO com valor false efetuando a desativação.

A partir deste momento, a autenticação com lineração por login voltará a ocorrer na Plataforma Carol.

  • Sem rótulos