Breadcrumbs

Como configurar uma conexão SAML?

Conexão com SAML 2.0

Este guia explica como configurar e gerir uma conexão SAML no GlobalSuite®, desde o acesso à secção de Ajustes > Conexões , até à definição de parâmetros gerais, papéis por defeito e certificado IDP. Também detalha a configuração necessária no servidor ADFS e os métodos de autenticação disponíveis (IDP initiated SSO e SP initiated SSO), incluindo considerações chave para a correta sincronização de utilizadores e papéis.

Configuração de conexão SAML 2.0

Para chegar à tela de conexão SAML, é necessário aceder à secção de Ajustes do GlobalSuite, concretamente na opção “Conexões” (como mostrado na imagem). Esta opção está acessível para os utilizadores do tipo Platinum, Gold, Consulting, Administrador Consulting, Administrador Plataforma, Administrador Enterprise e Administrador Configuração.

att_11_for_1358331987.jpeg


Esta tela tem várias colunas que são descritas a seguir:

  • Nome: Contém o nome da conexão, que serve para identificá-la.

  • Tipo: Contém o tipo de conexão, neste caso será SAML.

  • Host: Neste caso estará vazio.

  • Utilizador: Não é necessário, portanto aparece vazio.

  • Habilitado: Indica se uma conexão está habilitada ou não.

O formulário de conexão SAML consta de diferentes campos, que são descritos a seguir.

Em primeiro lugar, encontra-se a secção de “Dados Gerais”:

att_12_for_1358331987.jpeg


  • Habilitado: Indica que essa conexão SAML está habilitada. Não se podem ter duas conexões SAML ao mesmo tempo.

  • Tipo: Indica o tipo da conexão (neste caso, SAML).

  • Nome*: É um campo obrigatório, e indica o nome dessa conexão para ser utilizada noutras opções da ferramenta.

  • Identificador de confiança: É gerado automaticamente. Indica a cadeia de confiança que se estabelece entre o servidor e o GlobalSuite, esta deve ser única.

  • URL SSO: Quando se deseja configurar uma conexão usando o método SP initiated SSO, deve-se introduzir a URL do serviço do IDP onde se realiza a autenticação via SAML.

  • URL Logout: Endereço para o qual se redireciona quando um utilizador com autenticação SAML encerra a sua sessão.

  • Habilitar encriptação: Configuração da conexão SAML que permite que os parâmetros recebidos do IDP sejam encriptados.

  • Assinar pedido de autenticação: Indica que, usando a configuração SP initiated SSO, o pedido de autenticação realizado ao IDP será assinado.

Em segundo lugar, encontra-se a secção de papéis. Nesta secção podem ser configurados os papéis por defeito com os quais serão criados os novos utilizadores SAML.

Em princípio, os papéis podem ser obtidos diretamente do servidor. Caso não sejam recebidos dados sobre o papel ou os dados recebidos sejam incorretos, serão utilizados os papéis configurados nesta secção.

Por último, encontra-se a secção “Certificado IDP”. Nesta secção deve ser carregado um ficheiro, com extensão crt ou cer, que contém o certificado. Este deve ser o mesmo que é utilizado para assinar as chamadas do servidor para a relação de confiança configurada.

Configuração do Servidor (SAML 2.0)

A URL de serviço de conexão SAML 2.0 que deve ser introduzida na configuração do servidor é: https://Nome_Dominio/Core/Adfs/trust.php

Onde Nome_Dominio é a URL de acesso ao GlobalSuite.

Na configuração do servidor ADFS deve-se indicar que os dados a passar no pedido são, no mínimo:

  • Id. Nome (nameidentifier)

  • Endereço de e-mail (emailaddress)

att_10_for_1358331987.jpeg


Se se desejar enviar a configuração do papel para criar os novos utilizadores do ADFS, deverá ser utilizado o claim:

http://schemas.microsoft.com/ws/2008/06/identity/claims/role

Importante

O nome do papel enviado pelo servidor ADFS deve coincidir com algum dos papéis configurados no GlobalSuite.

Para obter mais informações sobre a configuração do servidor ADFS, pode aceder a:

https://docs.microsoft.com/es-es/windows-server/identity/adfs/operations/create-a-relying-party-trust

Autenticação SAML 2.0

Existem dois tipos de autenticação com ADFS:

  • IDP initiated SSO, o processo de autenticação é iniciado pelo IDP, o utilizador dispõe de uma lista de “aplicações corporativas”, seleciona a que corresponde ao GlobalSuite e inicia a autenticação. A seguir, é mostrada uma imagem tipo deste formulário de aplicações.

att_9_for_1358331987.jpeg

  • SP initiated SSO, o processo de autenticação é iniciado pelo GlobalSuite. Para usar este método, deve-se aceder com uma URL específica. Esta URL é formada concatenando a URL do GlobalSuite com o texto: ?issuer=identificador de confiança, onde o identificador de confiança é o código gerado na conexão e que pode ser encontrado no campo com o mesmo nome, ver secção 1 deste documento. Um exemplo de URL é:

https://sg.GlobalSuite.es/Core/index.php?issuer=a443c212c23af8ea8a107a f75345b0f8

A autenticação com SAML tem as seguintes particularidades:

  • Se o utilizador estiver a aceder pela primeira vez à ferramenta, através de SAML, será criado automaticamente um utilizador com o nome de utilizador fornecido no pedido SAML.

Se o nome de utilizador já existir no GlobalSuite e não for o mesmo que foi criado na primeira conexão, será exibida uma mensagem de erro.