Este guia demonstra o processo passo a passo para criar uma nova aplicação no Okta, capaz de se comunicar via SAML 2.0 com os serviços da Plataforma Axur. Neste guia, abordaremos todas as configurações necessárias para garantir que o Logon Único (SSO) funcione de maneira correta e esperada.
Table of Contents
Antes de começar
Garanta que você consegue acessar a conta da sua organização hospedada no Okta. Normalmente, a URL de acesso tem o formato
https://<SUA_ORGANIZACAO>.okta.comAo realizar as configurações, certifique-se de que os dados que você está copiando ou digitando nos locais indicados estão corretos. A inserção de dados incorretos pode causar problemas mais tarde, quando formos testar nossa aplicação.
Grupos, usuários e atribuições
Em todos os tutoriais de criação de aplicações de SSO da Plataforma Axur, existe o conceito de usuários e grupos. Afinal, o provedor é onde todas as informações dos seus usuários estarão salvas, além dos grupos aos quais eles pertencem (a criação de grupos via provedor é opcional). Nesse sentido, esta seção se dedica a ensinar como criar grupos e usuários no Okta, bem como atribuir usuários a grupos.
Criando um grupo (opcional)
Esta seção é opcional. Os grupos podem ser gerenciados dentro da Plataforma Axur, se assim você desejar. Portanto, caso queira, você pode pular as seções de Criando um grupo, Atribuindo um grupo a um usuário e Mapeando grupos de usuários.
Siga o passo a passo nas imagens para criar um novo grupo:
Nome sugerido | Descrição do grupo |
Axur Viewer | Usuários neste grupo terão acesso à Plataforma Axur, com a capacidade de visualizar todas as informações de tickets, resultados e faturas, mas não podem realizar nenhuma ação. |
Axur Analyst | Usuários neste grupo terão acesso à Plataforma Axur e, além de visualizar todas as informações, podem realizar ações não faturáveis (todas, exceto solicitações de Takedown). |
Axur Expert | Usuários neste grupo terão acesso à Plataforma Axur e, além de realizar ações não faturáveis, também podem solicitar Takedowns. |
Axur Manager | Usuários neste grupo terão acesso à Plataforma Axur e podem realizar todas as ações (não faturáveis e faturáveis) e também visualizar as atividades realizadas por seus usuários na Plataforma Axur. |
Axur Custom | Usuários neste grupo possuem um conjunto personalizado de capacidades. Quando são criados, o gestor pode decidir quais serão suas capacidades. |
Para que a Plataforma Axur os reconheça corretamente via SAML, será necessário também criar grupos com os nomes exatos que a plataforma espera, conforme a tabela abaixo. Mais tarde, criaremos um mapeamento entre eles.
Valor desejado | Grupo |
| Axur Viewer |
| Axur Analyst |
| Axur Expert |
| Axur Manager |
| Axur Custom |
Essa estratégia é útil para fins organizacionais. Os primeiros grupos que você criou (ex: Axur Platform Viewer) podem ser facilmente identificados como pertencentes à Plataforma Axur em suas buscas no Okta. Mais tarde, você verá que criaremos um mapeamento para que, sempre que recebermos um login de um usuário do grupo Axur Platform Viewer, por exemplo, o grupo transmitido para a plataforma seja convertido para o seu respectivo grupo desejado (one-viewer, neste caso).
Criando um usuário
Para criar um usuário, siga o passo a passo nas imagens:
Siga o mesmo processo para criar mais usuários, se desejar.
Atribuir um grupo a um usuário (opcional)
Esta seção é opcional. Os grupos podem ser gerenciados dentro da Plataforma Axur, se assim você desejar. Portanto, caso queira, você pode pular as seções de Criando um grupo , Atribuindo um grupo a um usuário e Mapeando grupos de usuários.
Para atribuir um grupo a um usuário que você criou, siga o passo a passo nas imagens:
Adicione quantos usuários desejar.
Criando um novo aplicativo
Com acesso ao Dashboard do Okta, siga o passo a passo nas imagens para criar uma nova aplicação. O processo é sequencial, mas estamos dividindo-o em seções para melhorar o entendimento. É uma interface simples e fácil de seguir.
Continue para a próxima seção.
Enviando dados da plataforma Axur para Okta
É necessário que o Okta saiba com quem ele estará se comunicando para que o processo de SSO funcione sem problemas.
Nesse sentido, a primeira seção da criação da aplicação solicita alguns dados que se referem à Plataforma Axur para que possamos nos comunicar através do protocolo SAML.
Estes são os dados que você precisará (Estes valores são fixos e devem ser inseridos exatamente como mostrado):
Campo | Valor |
ACLS URL |
|
Entity ID |
|
Preencha os campos conforme indicado na imagem. Garanta que todos os valores mostrados na imagem de exemplo sejam preenchidos, incluindo os campos Name ID format e Application username, além daqueles listados na tabela acima. Outros campos não indicados geralmente podem ser deixados com seus valores padrão ou vazios, a menos que sua organização tenha requisitos específicos.
Mapeando atributos do usuário
Ao utilizar o Okta como nosso provedor, estamos aproveitando as credenciais que já estão salvas e gerenciadas pelo Okta, e essas credenciais estão salvas no formato que o provedor definiu. No entanto, para se comunicar com a Plataforma Axur utilizando SAML, é necessário que os dados do usuário sejam enviados de uma forma padronizada. Pense da seguinte forma: precisamos garantir que a Plataforma Axur sempre receba o atributo de e-mail do usuário no mesmo formato, independentemente se esse dado vem do Okta ou de qualquer outro provedor. Diferentes provedores salvam seus dados de diferentes formas, e os mapeamentos resolvem esse problema!
Continue no menu de criação da nova aplicação e utilize os valores indicados na tabela para preencher a seção de mapeamento de atributos de usuário. Insira o primeiro valor (Nome) manualmente, pois é uma URL. Os outros campos podem ser selecionados na lista suspensa. Simplesmente garanta que os valores em sua aplicação correspondam aos da imagem!
Nome | Formato do nome | Valor |
| Basic |
|
| Basic |
|
| Basic |
|
Se você decidiu não criar grupos no Okta para esta aplicação, não preencha os valores de mapeamento de grupo que podem aparecer abaixo desta seção de atributos de usuário. Continue o processo de criação da nova aplicação, clicando no botão apropriado para prosseguir. O Okta pode apresentar uma etapa final de feedback, que geralmente é opcional e pode ser pulada. Depois disso, você pode finalizar o processo de criação da sua aplicação.
Mapeando grupos de usuários (opcional)
Esta seção é opcional. Os grupos podem ser gerenciados dentro da Plataforma Axur, se assim você desejar. Portanto, caso queira, você pode pular as seções de Criando um grupo, Atribuindo um grupo a um usuário e Mapeando grupos de usuários.
Assim como os atributos de usuário, também temos os grupos, que reúnem os usuários de acordo com algum critério específico. Esses grupos são criados pelo administrador no Okta e, como explicado na seção anterior, é necessário criar um mapeamento para que esses dados sejam transmitidos para a Plataforma Axur de forma padronizada, independentemente do provedor.
Siga as imagens para criar os mapeamentos de grupos nas configurações do Okta, e utilize os valores da tabela para realizar sua configuração:
Nome | Formato do nome | Valor |
| Unspecified |
|
O padrão (one-.*) garante que qualquer grupo que corresponda aos sufixos esperados pela Plataforma Axur (ex: one-viewer, one-manager) seja incluído.
Continue o processo de criação da nova aplicação, clicando no botão apropriado para prosseguir. O Okta pode apresentar uma etapa final de feedback, que geralmente é opcional e pode ser pulada. Depois disso, você pode finalizar o processo de criação da sua aplicação. Para que o mapeamento de atributos de grupo funcione corretamente, mais uma coisa será necessária.
Na seção de criação de grupos, você criou dois grupos para cada perfil existente na Plataforma Axur (ex: Axur Platform Viewer -> one-viewer). Agora criaremos uma regra que associa automaticamente os usuários do primeiro grupo ao segundo, para que tudo funcione normalmente na plataforma. Siga o passo a passo nas imagens para fazer isso:
Obtendo dados do provedor Okta
Como estamos utilizando o Okta como nosso provedor de identidade, é necessário obter algumas informações que possam dizer para a Plataforma Axur com quem ela estará se comunicando e se as informações dela são seguras e confiáveis.
Ao acessar sua aplicação criada para a Plataforma Axur, clique na aba Sign On. Conforme mostrado na foto, você pode ver uma seção com uma URL indicando onde os metadados do provedor estão localizados para que possamos usá-los mais tarde no tutorial. Copie este link e salve seu valor em uma nota para que possamos usar esses dados posteriormente.
Atribuindo grupos/usuários à aplicação
Agora só falta atribuir usuários ou grupos à nova aplicação que você criou. Siga o passo a passo nas imagens para fazer isso:
Para grupo:
Para usuários diretamente :
Alguns erros comuns
As informações do Provedor de Serviço (SP) (Plataforma Axur neste caso). Verifique os dados da seção correspondente e garanta que são os mesmos.
As informações do Provedor de Identidade (IdP) (Okta neste caso). Verifique se o link que você copiou aqui redireciona para o arquivo de metadados corretamente.
As informações de acesso à aplicação. Verifique as atribuições de grupos ou usuários diretos.
Erros específicos
Erro | Descrição | Como Resolver |
Non Authorized IdP or expired IdP login | IdP não autorizado ou sessão expirada | Verifique os Metadados de Federação e o IdP. |
Missing value for string parameter [email claim] | Claim de e-mail ausente ou vazia | Certifique-se de que o atributo de e-mail está configurado corretamente no IdP. |
Redirection error | URL de endpoint incorreta no IdP | Verifique se os endpoints estão configurados corretamente. |
Local entity is not the intended audience of the assertion in at least one AudienceRestriction | A asserção não se destinava ao SP | Verifique se o |
Authentication statement is too old to be used with value {date} | A declaração de autenticação expirou | A duração da sessão do IdP excede 7 dias. Contate o suporte para ajustá-la. |
Validation of protocol message signature failed | A assinatura da mensagem SAML é inválida | Verifique se os Metadados de Federação foram fornecidos corretamente. |
Isso conclui as configurações necessárias no provedor Okta. Retorne ao guia de configuração na plataforma para finalizar a criação da sua aplicação.
Se ficar com qualquer dúvida, é só chamar a gente no [email protected] 😊