Este guia demonstra o passo a passo para a criação de uma nova aplicação no Google Workspace, capaz de se comunicar via SAML 2.0 com os serviços da Plataforma Axur. Neste guia, abordaremos todas as configurações necessárias para garantir que o Logon Único (SSO) funcione de maneira correta e esperada.
Tabela de Conteúdo
Antes de Começar
Garanta que você possui uma conta de Administrador no Google Workspace e consegue acessá-la sem problemas.
Ao realizar as configurações, certifique-se de que os dados que você irá copiar ou digitar nos locais indicados estão corretos. A inserção de dados incorretos pode causar problemas mais tarde, quando formos testar a nossa aplicação.
O processo de criação da aplicação de SSO no Google Workspace segue um passo a passo bastante simples. Não é necessário ficar navegando entre diferentes seções para concluir a configuração. O processo é sequencial, mas dividimos o tutorial em seções para facilitar o entendimento.
Grupos, usuários e atribuições
Em todos os tutoriais de criação de aplicações de SSO da Plataforma Axur, existe o conceito de usuários e grupos. Afinal, o provedor é onde todas as informações dos seus usuários estarão salvas, além dos grupos aos quais eles pertencem (a criação de grupos via provedor é opcional). Nesse sentido, esta seção se dedica a ensinar como criar grupos e usuários no Google Workspace, bem como atribuir usuários a grupos.
Criando um grupo (Opcional)
Esta seção é opcional. Os grupos podem ser gerenciados dentro da Plataforma Axur, se assim você desejar. Portanto, caso queira, você pode pular as seções de Criando um grupo, Atribuindo um grupo a um usuário e Mapeando grupos de usuários.
Observação: É de extrema importância que os nomes dos grupos obedeçam ao padrão determinado. Mais especificamente, um novo grupo deve conter os valores da tabela como sufixo:
Grupo |
|
|
|
|
|
Nesse sentido, valores de grupos como Axur-one-manager e ClienteX-one-expert são válidos, mas Axur-manager e ClienteX-analista não são, pois não incluem os sufixos esperados.
Siga o passo a passo nas imagens para criar um grupo. Você não precisa criar todos os grupos citados acima, apenas os que desejar. Antes das imagens, observe a seguinte tabela para informações sobre os grupos:
Nome do Grupo | Descrição do Grupo |
one-viewer | Usuários neste grupo terão acesso à Plataforma Axur, com a capacidade de visualizar todas as informações de tickets, resultados e faturas, mas não podem realizar nenhuma ação. |
one-practitioner | Usuários neste grupo terão acesso à Plataforma Axur e, além de visualizar todas as informações, podem realizar ações não faturáveis (todas, exceto solicitações de Takedown). |
one-expert | Usuários neste grupo terão acesso à Plataforma Axur e, além de realizar ações não faturáveis, também podem solicitar Takedowns. |
one-manager | Usuários neste grupo terão acesso à Plataforma Axur e podem realizar todas as ações (não faturáveis e faturáveis) e também visualizar as atividades realizadas por seus usuários na Plataforma Axur. |
one-basic | Usuários neste grupo possuem um conjunto personalizado de capacidades. Quando são criados, o gestor pode decidir quais serão suas capacidades. |
Clique em Concluir (Done) para finalizar!
Criando um usuário
Para criar um usuário, siga o passo a passo nas imagens:
Atribuindo um grupo a um usuário (Opcional)
Esta seção é opcional. Os grupos podem ser gerenciados dentro da Plataforma Axur, se assim você desejar. Portanto, caso queira, você pode pular as seções de Criando um grupo, Atribuindo um grupo a um usuário e Mapeando grupos de usuários.
Para atribuir um usuário a um grupo que você criou, siga o passo a passo nas imagens:
Criando uma nova aplicação
Use este link para acessar o Google Workspace e faça o login com a sua conta de Administrador. Em seguida, siga o passo a passo nas imagens abaixo para criar a nova aplicação SAML fornecendo dados para a Plataforma Axur:
Obtendo dados do provedor Google Workspace
Como estamos utilizando o Google Workspace como nosso provedor de identidade, é necessário obter algumas informações que possam dizer para a Plataforma Axur com quem ela estará se comunicando e se as informações dela são seguras e confiáveis.
Seguindo o processo de criação da nossa aplicação SAML, temos a seguinte imagem:
Para o nosso tutorial, utilize a primeira opção. Faça o download do arquivo e garanta que você consegue acessá-lo sem problemas. Nós o utilizaremos ao final do tutorial para configurar o SSO na Plataforma Axur.
Enviando dados da Plataforma Axur para o Google Workspace
O Google precisa saber com quem ele estará se comunicando para que o processo de SSO funcione sem problemas. Siga as imagens para inserir os seguintes dados da Plataforma Axur nas configurações do Google Workspace.
Estes são os dados que você precisará (Estes valores são fixos e devem ser inseridos exatamente como mostrado):
Campo | Valor |
ACS URL |
|
Entity ID |
|
Mapeando atributos de usuário
Ao utilizar o Google Workspace como nosso provedor, estamos aproveitando as credenciais que já estão salvas e gerenciadas pelo Google, e essas credenciais estão salvas no formato que o provedor definiu. No entanto, para se comunicar com a Plataforma Axur utilizando SAML, é necessário que os dados do usuário sejam enviados de uma forma padronizada. Pense da seguinte forma: precisamos garantir que a Plataforma Axur sempre receba o atributo de e-mail do usuário no mesmo formato, independentemente se esse dado vem do Google ou de qualquer outro provedor. Diferentes provedores salvam seus dados de diferentes formas, e os mapeamentos resolvem esse problema!
Utilize o passo a passo nas imagens para adicionar os mapeamentos de atributos de usuário na sua aplicação do Google Workspace.
Os valores que você precisará preencher estão aqui:
Campo | Valor |
Primary Email |
|
First name |
|
Last name |
|
Mapeando grupos de usuários (Opcional)
Esta seção é opcional. Os grupos podem ser gerenciados dentro da Plataforma Axur, se assim você desejar. Portanto, caso queira, você pode pular as seções de Criando um grupo, Atribuindo um grupo a um usuário e Mapeando grupos de usuários.
Assim como os atributos de usuário, também temos os grupos, que reúnem os usuários de acordo com algum critério específico. Esses grupos são criados pelo administrador no Google Workspace e, como explicado na seção anterior, é necessário que exista um mapeamento para que esse dado seja transmitido para a Plataforma Axur de forma padronizada, independentemente do provedor.
Nesta seção, o foco é pegar cada um dos grupos que você criou na seção Grupos, usuários e atribuições e dizer para o Google Workspace como esses nomes de grupos devem ser mapeados no momento do envio para a Plataforma Axur.
Siga as imagens para criar os mapeamentos de grupos nas configurações do Google Workspace (utilize o valor que segue para preencher o lado direito):
http://schemas.xmlsoap.org/claims/Group
Você pode adicionar quantos grupos quiser aqui. No exemplo, adicionamos apenas one-viewer, mas você poderia inserir quantos desejar. No final, todos esses grupos estariam sob o mesmo atributo de grupo que definimos!
Ao final do processo de mapeamento de atributos de grupos e usuários, verifique se a sua aplicação está como a da foto abaixo:
Atribuindo grupos/usuários ao aplicativo
Agora só falta atribuir usuários ou grupos à nova aplicação que você criou. Siga o passo a passo nas imagens para fazer isso:
Caso você tenha decidido por criar grupos via provedor, selecione os grupos criados e verifique se eles estão ativos na aplicação. Feito isso, todos os usuários participantes desses grupos terão acesso à aplicação. Caso você tenha decidido por não criar grupos via provedor, você pode habilitar a aplicação para uma Organizational Unit (OU). Isso permite que todos os usuários dentro daquela OU tenham acesso à aplicação, sem a necessidade de criar grupos.
Para OU:
Para grupo:
Alguns erros comuns
O Google Workspace possui uma página de suporte que contém alguns dos erros mais comuns durante a criação de uma aplicação SAML. Você pode acessar essa página clicando aqui. Em geral, em caso de erros, tente sempre verificar:
As informações do Provedor de Serviço (SP) (Plataforma Axur neste caso). Verifique os dados da seção correspondente e garanta que são os mesmos.
As informações do Provedor de Identidade (IdP) (Google Workspace neste caso). Verifique se o arquivo que você baixou aqui não está alterado.
As informações de acesso à aplicação. Verifique as atribuições de grupos ou usuários diretos.
Erros específicos
Erro | Descrição | Como Resolver |
Non Authorized IdP or expired IdP login | IdP não autorizado ou sessão expirada | Verifique os Metadados de Federação e o IdP. |
Missing value for string parameter [email claim] | Claim de e-mail ausente ou vazia | Certifique-se de que o atributo de e-mail está configurado corretamente no IdP. |
Redirection error | URL de endpoint incorreta no IdP | Verifique se os endpoints estão configurados corretamente. |
Local entity is not the intended audience of the assertion in at least one AudienceRestriction | A asserção não se destinava ao SP | Verifique se o |
Authentication statement is too old to be used with value {date} | A declaração de autenticação expirou | A duração da sessão do IdP excede 7 dias. Contate o suporte para ajustá-la. |
Validation of protocol message signature failed | A assinatura da mensagem SAML é inválida | Verifique se os Metadados de Federação foram fornecidos corretamente. |
Isso conclui as configurações necessárias no provedor Google Workspace. Retorne ao guia de configuração na plataforma para finalizar a criação da sua aplicação.
Se ficar com qualquer dúvida, é só chamar a gente no [email protected] 😊