Índice


      

Objetivo


       Este documento demonstra como integrar o sistema RM com o Azure AD como provedor de Identidade.

Introdução


       O Azure AD (Azure Active Diretory) permite o compartilhamento da informação de identidade em um ampla variedade de aplicativos utilizando o padrão SAML que é suportado na linha RM.

Configurando o Azure AD


Nessa etapa, iremos realizar as configurações iniciais para a integração entre RM e Azure AD

Este passo-a-passo será todo instruído utilizando o Azure AD no idioma Inglês, porém os passos são os mesmos, independente do idioma

    Antes de mais nada, precisaremos de um "Enterprise Application", pois esta é a aplicação que receberá todas as configurações referentes à integração.

    Ao acessar o portal do Azure, selecionamos o serviço "Enterprise Application" para acesso ao assistente de configuração.

    • Clique em 'New application'

    • Clique em 'Create your own application' para criar uma nova aplicação.  Preencha o Nome do Aplicativo e clique em 'Create'

    •  Após a criação, você deve será redirecionado para a página do aplicativo criado. 


    Atenção

    Caso deseje utilizar a integração SSO do RM.exe e do Portal Corpore.Net, deverão ser criados 2 aplicativos, 1 para o RM.exe e outro para o Portal.


    Configurando as Regras de Declaração para o aplicativo RM (MDI)


    Agora iremos configurar o SSO (Single Sign On) do aplicativo criado com o RM.exe.

    • Após acessar o cadastro do aplicativo no Azure AD selecione a opção "Set up single sign on", para que as configurações sejam exibidas.

    • Selecione o método de SSO (Single Sign On) SAML:

    • Após clicar em SAML, você será direcionado para a página de configuração do aplicativo.

    Seguimos para os próximos passos

    • Após acessar o aplicativo é necessário realizar as configurações básicas do aplicativo. Basta clicar em editar na guia de configurações SAML básicas.

     

    As configurações são:

    Propriedade Descrição
    Identifier (Entity ID) Identificador do aplicativo no Azure AD, este valor deve ser exclusivo em todos os aplicativos.
    Reply URL (Assertion Consumer Service URL) URL do provedor de serviços (RM)   de resposta que o Azure AD enviará uma requisição ao consumir o aplicativo.
    Sign on URL (opcional) URL de logon do provedor de serviços (RM). É utilizado caso o provedor de serviços (RM) possua uma página de login.
    Relay State (opcional) É um campo que serve para redirecionar os usuários após a conclusão da autenticação no provedor de serviços (RM)
    Logout URL (opcional) É a URL que o sistema será redirecionado ao efetuar o Logout.


    • Após clicar em 'Edit', é necessário preencher as informações abaixo

             

    • Preencha os campos abaixo e clique em salvar:
    Chave Valor Descrição
    Identifier (Entity ID) My_Identifier Um valor á sua escolha, pois este valor será utilizado para identificar o emissor de uma solicitação, resposta ou afirmação.
    Reply URL (Assertion Consumer Service URL) https://{DOMINIO}:{PortaHttp}/RMCloudPass/SSOSaml2 Url do provedor de serviços (RM) que será responsável por receber a resposta de login do IDP (Azure AD

    Atenção

    O Identifier (Entity ID) é utilizado no provedor de serviços (RM) como emissor da requisição, ao realizar o login. 

    É recomendado que o Identifier (Entity ID) seja uma URL contendo seu próprio nome de domínio para se identificar.


    •  Após salvar as configurações básicas ficarão da seguinte maneira

    Seguimos para o próximo passo


    • Nesta etapa iremos configurar o Atributo para que o provedor de serviços (RM) consiga identificar internamente que este aplicativo é o RM.exe. Basta clicar em editar na guia de Atributos e Reinvindicações.

     

    • Após clicar em 'Edit', é necessário alterar o Unique User Identifier (Name ID) para user.mail, 

    Por padrão o Unique User Identifier (Name ID) vem com o valor user.userprincipalname, porém a chave utilizada para fazer o match do usuário entre o Identity Provider (Azure AD) e o provedor de serviços (RM) é o e-mail.


    Após alterar o Unique User Identifier (Name ID) é necessário adicionar o atributi  ExecutablePath , clique em "Add new claim"

    O atributo a seguir será adicionado:

    Atributo Valor Descrição
    ExecutablePath  "" Este atributo será enviado para o provedor de serviços (RM) onde a partir desta informação ele seguirá a regra de negócio para executar a abertura do RM.exe

    Atenção

    O Atributo não precisa conter valor, apenas estando na requisição o sistema conseguirá seguir o fluxo de login correto, o comportamento do provedor de serviços (RM)  é o mesmo caso o atributo possua valor.

    Caso o atributo ExecutablePath não seja adicionado no aplicativo, a integração seguirá o fluxo de login SSO incorreto.

    Estas informações são sensíveis ao texto, caso a grafia da palavra esteja diferente da documentação, a integração pode não funcionar da maneira correta.

    •  Após salvar, os Atributos e Reinvindicações ficarão da seguinte maneira


    Seguimos para o próximo passo

    • Agora precisamos do XML que servirá como arquivo de configuração do RM em um momento posterior. Na terceira aba, de nome SAML Signing Certificate, baixamos o arquivo Federation Metadata XML:



    • Clicamos nos 3 pontinhos/dots e selecionamos Copy Link

    • Agora no XML que baixamos, vamos ao final dele e nas tags SingleSignOnService, definimos a propriedade Location como o link que copiamos no item anterior:


    Abaixo temos um código-exemplo de como deve ficar. LEMBRE-SE DE ALTERAR O LOCATION PARA A SUA URL DO MYAPPS

    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/7f90057d-3ea0-46fe-b07c-e0568627081b/saml2" />
    <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://account.activedirectory.windowsazure.com/applications/signin/0f6c78f4-13b2-4ea0-990b-16dfacdff7e9?tenantId=1626c1ab-b9a5-4f3f-9024-41fbe2b13919" />
    <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://account.activedirectory.windowsazure.com/applications/signin/0f6c78f4-13b2-4ea0-990b-16dfacdff7e9?tenantId=1626c1ab-b9a5-4f3f-9024-41fbe2b13919" />


    Salvamos o arquivo e podemos passar para a integração com a MDI.

      Configurando as Regras de Declaração para o aplicativo Portal 


        Agora iremos configurar o SSO (Single Sign On) do aplicativo criado com o RM Portal.

        • Após acessar o cadastro do aplicativo no Azure AD selecione a opção "Set up single sign on", para que as configurações sejam exibidas.

        • Selecione o método de SSO (Single Sign On) SAML:

        Defina os parâmetros do Aplicativo conforme abaixo.


        1 - Configuração Básica de SAML


        Chave Valor
        Identificador Valor único determinado para a aplicação
        URL de Resposta http://{endereço}:{porta}/RMCloudPass/SSOSaml2

        Atenção

        Caso seja utilizado SSL no ambiente, a URL de Resposta deverá ser preenchida com HTTPS.


        2 - Atributos e Declarações


        Chave Valor
        emailaddress user.mail
        Identificador Exclusivo do Usuário user.mail



        Atenção

        As configurações do menu de Atributos e Declarações devem permanecer exatamente da forma acima, pois é por meio deste identificador que o match do usuário entre o Azure AD e o RM será feito.

        Atenção

        Para o Portal CorporeRM não é necessário configurar o RelaySate.


        3 - Certificados SAML


        ChaveInformação
        XML de Metadados de FederaçãoArquivo que será inserido no sistema para realizar a integração

        Integração SAML no RM


                 

        Atenção

        • Quando a configuração for referente à MDI (RM.exe) o XML baixado deve ser alterado e as URI's de SingleSignOnService do aplicativo RM.exe deve ser alterada contemplando o MyApps tal qual demonstrado no 5º Passo da integração com a MDI.
        • Importando o metadado do Azure AD no RM

        Após obter o metadados personalizado, ele deve ser importado no RM em: Ambiente → Parâmetros → Parâmetros Globais → Integração SAML

        Caso queira integrar o Azure AD com a MDI, via SAML, adicionar o metadado no campo "Metadata Identity Provider - RM.exe"

            

        Caso queira integrar o Azure com o Portal, via SAML, adicionar o metadado no campo "Metadata Identity Provider - Portal".




















        Existe a possibilidade de integrar o Azure AD com a MDI e o Portal de forma simultânea, basta adicionar o metadado nos campos "Metadata Identity Provider - RM.exe" e "Metadata Identity Provider - Portal".

        Produto: Framework

        Versão: 12.1.27 e superiores

        Processo: Integração SAML

        Status: Finalizado

        Data: