• Para habilitar o SSO em um contexto do TOTVS Identity, o administrador deve acessar  Configurações.

• Acessar a aba Active Directory.

• No final da página, marcar a opção Permitir o acesso via Desktop SSO.

• Acionar o link Configurações do Desktop SSO.

• Nesta página será realizada a definição dos intervalos de endereços IP que serão liberados para executar o SSO.

• Acionar  (Editar).

• É importante que o responsável pela infraestrutura do cliente acompanhe o processo de configuração do Identity, inclusive a configuração do Desktop SSO. Este profissional poderá facilitar algumas configurações como por exemplo, IPs externos, dados de conexão com o Active Directory e usuários para teste.

• Informar um endereço IP externo permitido. Os endereços IP informados na configuração do Desktop SSO devem ser IPs externos para garantir a comunicação com o TOTVS Identity, que não possui acesso aos IPs internos da rede. Caso não saiba qual o endereço o IP externo, o administrador pode usar sites como http://www.meuip.com.br/ para identifica-los.

• Além de informar um endereço IP específico, é possível informar um intervalo de IPs. Por exemplo: 192.168.4.[0-10]. Essa expressão indica que todos os endereços IP entre 192.168.4.0 e 192.168.4.10 serão permitidos.

• Informar a URL do script de Autenticação, abordado no próximo tópico. Essa URL é o endereço do servidor IIS para acesso ao script de autenticação, por exemplo: https://acme.com/remote_auth.asp. Nesse momento ainda não é necessário ter o script totalmente configurado no IIS, apenas informar o endereço em que o script será hospedado.
  
• Acionar Salvar.
  

• A definição dos endereços IPs permitidos é apenas o primeiro passo para configuração do acesso via Single Sign On. O próximo passo é a configuração do script remote_auth.asp no servidor IIS.
• O script remote_auth.asp é único para cada contexto e seu download é habilitado apenas após a definição dos IPs pelo administrador (acionando o botão Salvar).

• Para fazer o download, acionar o botão Baixar, que será ativado na seção Baixar o Script de Autenticação SSO.

• O role Web Server inclui o IIS (Internet Information Services) e é um pré-requisito para os demais roles exigidos para o SSO.

• No Server Manager do Windows, acionar Manage → Add Roles and Features.

• No wizard apresentado, acionar Next até chegar à pagina Server Roles.

• Marcar a opção Web Server (IIS) e acionar Next.

• Será apresentando um quadro questionando se os recursos (features) necessários para o IIS também devem ser instalados. Acionar Add Features.

• Acionar Next até chegar à página Confirmation e acionar Install para instalar o role Web Server.

• Por padrão, o IIS executa aplicações ASP .NET (deve ser a versão 4.5), mas também é preciso habilitar aplicações ASP Classic.

• Para isso, após a instalação do IIS, acessar novamente o Server Manager do Windows, acionar Manage → Add Roles and Features.

• Na página Server Roles, expandir Web Server (IIS) → Web Server → Application Development e marcar o role ASP.

• Acionar Next até concluir o wizard.

• Outro role que deve ser habilitado no IIS é a autenticação Windows no Desktop SSO. Desta forma, o navegador poderá enviar as credenciais para a aplicação efetuar as validações necessárias no Active Directory.

• Acessar o Server Manager do Windows, acionar Manage → Add Roles and Features.

• Na página Server Roles, expandir Web Server (IIS) → Web Server → Security e marcar o role Windows Authentication.

• Acionar Next até concluir o wizard.

Pressione a tecla Windows e a tecla R para abrir a janela de Executar (Run). Digite gpmc.msc.

Irá abrir a janela Group Policy Management. Expanda o item Forest, em seguida Domains, o seu domínio, até chegar no item Default Domain Policy.

Clique com botão direito no Default Domain Policy. Clique em Edit.

Irá abrir a janela Group Policy Management Editor.

Acesse Policies > Windows Settings > Security Settings > Local Policies > Security Options.

Localize a opção indicada abaixo e altere para Permitir tudo.

• Preencher as informações necessárias para a criação do site e acionar OK.

• No exemplo abaixo, o Site name será "desktopSSO", uma pasta chamada "DSSO" foi criada no diretório padrão "C:\inetpub\wwwroot" e definida como Physical path, e a porta será "81".

• Copiar o script de autenticação do Desktop SSO "remote_auth.asp" para a pasta criada no passo anterior.

• No Internet Information Services (IIS) Manager, acionar Add Application... para criar uma nova aplicação ASP ao website.

• Preencher os campos necessários para a criação da aplicação e acionar OK.

• No exemplo abaixo, o Alias da aplicação será "dsso" e o Physical path será o mesmo do website.

• Após a criação da aplicação, deve-se configurar as regras de autenticação.

• Acionar Authentication.

• O status da opção Windows Authentication deve ser definido como Enabled (Habilitado).

• Todas as demais opções disponíveis devem ter os status definidos como Disabled (Desabilitado).

• Clicar com o botão direito do mouse sobre o item Windows Authentication e acionar a opção Providers... para definir os provedores utilizados pela autenticação.

• No quadro Providers, apenas a opção NTLM deve ser mantida. Todos os demais provedores listados (caso existam) devem ser removidos.

• Se este procedimento não for executado, o navegador pode vir a exigir as credenciais de acesso ao usuário através de uma caixa de diálogo.

• Ao finalizar esse passo, a configuração do script de autenticação do Desktop SSO no IIS está completa e deve ser testada para confirmar se todos os procedimentos foram realizados corretamente.

• O script de autenticação possui instruções para realizar o debug da aplicação. Este modo exibe dados adicionais para auxiliar na identificação de problemas na configuração do SSO.

• Para acessar o modo debug, basta inclui o parâmetro debug=1 no final da URL do script. Por exemplo: http://localhost/dsso/remote_auth.asp?debug=1.

• No exemplo abaixo, o usuário não possui e-mail cadastrado no Active Directory, o que é um pré-requisito do Identity.

• Selecionar a aba Segurança e marcar a zona de segurança Intranet local. Isto garante o envio das credenciais do Windows apenas para a URL do Desktop SSO. Outras aplicações e websites não serão afetados.
• Acionar Sites para adicionar a URL do Desktop SSO.
  

• Nas configurações da intranet local, acionar Avançadas.
• Informar a URL do Desktop SSO e acionar Adicionar.
• Acionar Fechar quando concluído.

• De volta à aba Segurança, ainda com a zona Intranet local selecionada, acionar Nível personalizado....

• Na opção Logon, marcar a opção Logon automático com o nome de usuário e senha atuais.
• Clicar em OK para confirmar.

• O sistema deve emitir uma mensagem de confirmação para alterar as configurações, acionar Sim para confirmar.
• Acionar Aplicar na janela de Propriedades da Internet, para que as alterações tenham efeito.

• O administrador deverá definir a seguinte configuração de GPO: Computer Configuration → Administrative Templates → Windows Components → Internet Explorer → Internet Control Panel → Security Page.

• Após habilitar a definição de lista da Zona da Intranet, o cliente deverá definir a URL do Desktop SSO como membro da Zona da Intranet. No nosso exemplo, estamos definindo o site *.fluigidentity.com.

• Desta forma, toda vez que um usuário membro deste domínio efetuar o login, as configurações necessárias serão realizadas. Se executada todos os dias, a GPO também deve evitar que um usuário mais avançado desfaça as configurações necessárias para o Desktop SSO.

• Fazer o download do arquivo check_remote_auth.asp nesse link. (É necessário editá-lo e ajustar os parâmetros conforme descrição disponível dentro do próprio script).
• Esse arquivo deve ser hospedado no mesmo IIS em que foi armazenado o script do Desktop SSO.
• Para isso, criar uma pasta dentro do diretório "C:/inetpub/wwwroot", assim como foi feito para o remote_auth.asp.

• No Internet Information Services (IIS) Manager, criar um website e uma aplicação para o check_remote_auth.asp. No exemplo abaixo foi usado o nome "check_dsso".

• É importante que a aplicação seja configurada para usar autenticação Anonymous Authentication, pois a única finalidade dela é redirecionar o usuário para a URL correta.

• Após a configuração do script, acessar as configurações de Desktop SSO no Identity e alterar o campo URL de Autenticação para o endereço do check_remote_auth.asp.

• Se o usuário estiver utilizando Windows, ele será redirecionado para o script Desktop SSO. Caso contrário, será direcionado para uma URL do Identity que solicitará as credenciais de acesso.