Falando de aplicativo SAML...

SAML (Security Assertion Markup Language) é um mecanismo de autenticação segura de padrão aberto, baseado em XML para a troca de dados de autenticação e autorização de acesso entre um provedor de identidade (Identity Provider ou IDP), que atesta e certifica a identidade dos usuários, e um provedor de serviços (Service Provider ou SP).

O Identity suporta o Single Sign On (SSO) baseado no SAML 2.0 e a autenticação pode ser iniciada tanto pelo SP quanto pelo IDP.

Saiba mais sobre o conceito de SAML, cenários de autenticação e veja exemplos de requisição e resposta SAML na página Single Sign On no Identity via SAML.

Obter dados para a criação do aplicativo

O primeiro passo para realizar a criação de um aplicativo do tipo SAML no Identity é verificar junto ao fornecedor da aplicação que deseja configurar se ela suporta este protocolo na versão 2.0. Alguns exemplos de serviços que suportam a autenticação SAML são o fluig, Zendesk, Box e GoodData.

Neste exemplo utilizaremos o Zendesk para configuração de um aplicativo SAML, portanto é necessário obter os dados de configuração junto ao serviço e realizar os procedimentos indicados por ele antes de iniciar a criação do aplicativo no Identity. Cada serviço é responsável por disponibilizar a própria documentação de configuração SAML.

Os dados obtidos para configuração do aplicativo SAML do Zendesk neste exemplo foram:

Nome do campo	Exemplo
Domínio	https://empresa.zendesk.com/access/
URL do Consumidor de Asserções	https://empresa.zendesk.com/access/saml/
Destinatário	https://empresa.zendesk.com/access/saml/
Público	https://empresa.zendesk.com/access/saml/
Nome do Emissor SP	https://empresa.zendesk.com/access/saml/
Mapeamento ID de Usuário	E-mail do Usuário
Usar URL de Acesso Direto ao Aplicativo	Sim

Mais informações sobre os campos de configuração de aplicativos SAML podem ser obtidas abaixo.

Criação de um novo aplicativo SAML

De posse dos dados do serviço, acesse a empresa no Identity para dar continuidade à criação do aplicativo.

Acesse a empresa no Identity com um usuário administrador. Acione o menu Aplicativos.

TOTVS Fluig > Identity | Como criar um novo aplicativo do tipo SAML > passo_1.png

Acione o botão Novo aplicativo e selecione a opção Padrão.

Na aba Visão Geral, informe o nome e uma descrição para o aplicativo, e acione Salvar. As demais propriedades do aplicativo, como Categoria e Logo poderão ser definidas futuramente.

Acesse a aba Entrar e acione o botão Editar.

TOTVS Fluig > Identity | Como criar um novo aplicativo do tipo SAML > Criar App Zendesk.gif

Na aba Entrar o administrador deve incluir os dados fornecidos pelo serviço que está sendo cadastrado, neste caso, o Zendesk. Mais informações sobre os campos de configuração de aplicativos SAML podem ser obtidas abaixo.

Por padrão, o ID da Entidade (Entity ID) enviado na requisição SAML será "Totvs Labs". Para enviar o URI do contexto como ID da Entidade, marcar a opção ID da Entidade Específica do Domínio (HTTP) ou URL Completa (HTTPS).

Assinalar os campos de acordo com cada necessidade:

Sincronizar login SAML com e-mail do AD: Ao assinalar este campo a sincronização do login SAML será realizado com o e-mail do Active Directory.
Enviar grupos pelo SAMLResponse: Ao assinalar este campo, será enviada as tags "GroupId" e "Groupname" na requisição SAML, essas tags conterão os IDs e os nomes dos grupos que o usuário está associado no TOTVS Identity.

Ao final, clique em Salvar.

Uma vez configurado e salvo, o aplicativo pode ser disponibilizado no Launchpad dos usuários.

Acesse os helps para verificar como incluir apps para os usuários ou para os grupos.

TOTVS Fluig > Identity | Como criar um novo aplicativo do tipo SAML > Vincular aplicativo.gif

Ao invés de atribuir o novo aplicativo diretamente a usuários/grupos, o administrador pode apenas disponibilizá-lo publicamente para que os usuários interessados incluam o aplicativo em seus Launchpads manualmente. Para isso, basta habilitar a opção Navegável localizada na aba Visão Geral do aplicativo.

TOTVS Fluig > Identity | Como criar um novo aplicativo do tipo SAML > passo_5.png

Configurações de um aplicativo SAML

A tabela a seguir exibe o nome das principais propriedades de um arquivo SAML e os respectivos campos na tela de configuração de um aplicativo SAML no Identity.

Propriedade	Campo	Descrição
SSOInitType	Tipo Inic SSO	Informa se o aplicativo será iniciado pelo Identity Provider (IDP-Initiated) ou pelo Service Provider (SP-Initiated)
NameIdFormat	Formato do Name ID	O formato da autenticação, que pode ser por endereço de e-mail, persistente (persistent), temporário (transient) ou indeterminado (unspecified).
Signed	Assinatura do Response	Informa se a requisição XML deve ser assinada com a chave privada do Identity. Por padrão, é sempre assinada.
Encrypted	Resposta Criptografia	Informa se o assertion gerado deve ser criptografado. Por padrão, não é criptografado.
Assertion Consumer Service URL	URL do Consumidor de Asserções	URL do provedor de serviços (SP) que irá receber o XML da requisição de autenticação enviada pelo Identity.
Recipient	Destinatário	Destinatário do assertion
Audience	Público	Receptor do assertion

Sincronização de login SAML com e-mail do Active Directory

Quando habilitada, a opção Sincronizar login SAML com e-mail do AD mantém o login do usuário no aplicativo SAML sincronizado com o e-mail cadastrado no Active Directory. Ou seja, caso o e-mail seja alterado no AD pelo administrador, esta mudança será sincronizada com o Identity através do SmartSync e refletida tanto no perfil do usuário quanto no login do aplicativo SAML.

Na edição das configurações de entrada de um aplicativo, também é possível alterar o nome das propriedades padrão, que são nome, sobrenome e email (conforme destacado na figura a seguir) e essas alterações refletem no SAMLRequest gerado ao se logar neste aplicativo.

TOTVS Fluig > Identity | Como criar um novo aplicativo do tipo SAML > image2023-5-26_12-28-49.png

Utilização do aplicativo

Após a criação do aplicativo, os usuários cadastrados no contexto da empresa no Identity poderão utilizá-lo para autenticar-se no site/serviço. Se o novo aplicativo criado pelo administrador já estiver disponível no Launchpad do usuário, basta clicar sobre ele para acessar o serviço.

Caso o administrador ainda não tenha vinculado o aplicativo ao usuário, ou a algum dos grupos a que ele pertence, o usuário deve clicar no botão Adicionar App do Launchpad. Será apresentada a lista de aplicativos navegáveis da empresa. O usuário deve buscar pelo aplicativo desejado (por exemplo, "Zendesk SAML") e clicar no botão Adicionar.

TOTVS Fluig > Identity | Como criar um novo aplicativo do tipo SAML > Adicionar aplicativo.gif

Ao contrário de aplicativos do tipo Plugin, aplicativos do tipo SAML não exigem que o usuário inclua suas credenciais nas configurações do aplicativo ou baixem o plugin do Identity para utilizá-lo.

<!-- Hotjar Tracking Code for http://tdn.totvs.com/display/fb -->
<script>
    (function(h,o,t,j,a,r){
        h.hj=h.hj||function(){(h.hj.q=h.hj.q||[]).push(arguments)};
        h._hjSettings={hjid:1280165,hjsv:6};
        a=o.getElementsByTagName('head')[0];
        r=o.createElement('script');r.async=1;
        r.src=t+h._hjSettings.hjid+j+h._hjSettings.hjsv;
        a.appendChild(r);
    })(window,document,'https://static.hotjar.com/c/hotjar-','.js?sv=');
</script>