Este guia demonstra o processo passo a passo para criar uma nova aplicação no JumpCloud, capaz de se comunicar via SAML 2.0 com os serviços da Plataforma Axur. Neste guia, abordaremos todas as configurações necessárias para garantir que o Logon Único (SSO) funcione de maneira correta e esperada.
Índice
Antes de começar
Garanta que você possui uma conta de Administrador no JumpCloud e consegue acessá-la sem problemas.
Ao realizar as configurações, certifique-se de que os dados que você irá copiar ou digitar nos locais indicados estão corretos. A inserção de dados incorretos pode causar problemas mais tarde, quando formos testar a nossa aplicação.
Grupos, usuários e atribuições
Em todos os tutoriais de criação de aplicações de SSO da Plataforma Axur, existe o conceito de usuários e grupos. Afinal, o provedor é onde todas as informações dos seus usuários estarão salvas, além dos grupos aos quais eles pertencem (a criação de grupos via provedor é opcional). Nesse sentido, esta seção se dedica a ensinar como criar grupos e usuários no JumpCloud, bem como atribuir usuários a grupos.
Criando um grupo (Opcional)
Esta seção é opcional. Os grupos podem ser gerenciados dentro da Plataforma Axur, se assim você desejar. Portanto, caso queira, você pode pular as seções de Criando um grupo, Atribuindo um grupo a um usuário e Mapeando grupos de usuários.
Para começar, observe que os seguintes grupos são aceitos pela Plataforma Axur, juntamente com a descrição de cada grupo:
Nome do Grupo | Descrição do Grupo |
Axur Viewer | Usuários neste grupo terão acesso à Plataforma Axur, com a capacidade de visualizar todas as informações de tickets, resultados e faturas, mas não podem realizar nenhuma ação. |
Axur Analyst | Usuários neste grupo terão acesso à Plataforma Axur e, além de visualizar todas as informações, podem realizar ações não faturáveis (todas, exceto solicitações de Takedown). |
Axur Expert | Usuários neste grupo terão acesso à Plataforma Axur e, além de realizar ações não faturáveis, também podem solicitar Takedowns. |
Axur Manager | Usuários neste grupo terão acesso à Plataforma Axur e podem realizar todas as ações (não faturáveis e faturáveis) e também visualizar as atividades realizadas por seus usuários na Plataforma Axur. |
Axur-Custom | Usuários neste grupo possuem um conjunto personalizado de capacidades. Quando são criados, o gestor pode decidir quais serão suas capacidades. |
Você NÃO precisa criar todos os grupos, apenas aqueles que fazem mais sentido para o seu caso de uso. Dito isso, você pode criar um grupo e preencher suas informações básicas:
Antes de finalizar este processo, precisaremos fazer mais uma coisa. A Plataforma Axur espera que os nomes dos grupos estejam no seguinte formato:
Grupo | Valor desejado |
Axur Viewer |
|
Axur Analyst |
|
Axur Expert |
|
Axur Manager |
|
Axur Custom |
|
No JumpCloud, você pode criar o novo grupo com o nome que desejar (na imagem de exemplo, o nome é Axur demo - One Manager). Para ajustar as coisas e permitir que a Plataforma Axur receba corretamente o Valor desejado da tabela, role para baixo na página de criação de grupo em que você está e encontre a seção Custom attributes. Lá, faça algo semelhante à imagem:
O nome da propriedade (neste caso, one-perm) pode ser qualquer um. Apenas certifique-se de que este nome seja usado em todos os grupos que você deseja criar para a Aplicação SAML da Plataforma Axur. O valor da propriedade (o da direita) deve corresponder aos valores desejados na tabela acima. Essa configuração garante que o atributo one-perm será mapeado para um nome que é reconhecível pela Plataforma Axur. Você pode finalizar o processo de criação do grupo agora.
Criando um usuário
Para criar um usuário, siga o passo a passo nas imagens:
Existem várias maneiras de criar um usuário no JumpCloud. Estamos mostrando a mais simples apenas para fins de completude do tutorial. Independentemente de como você decidir criar usuários, certifique-se de que estes três campos estejam preenchidos para que a integração com a Plataforma Axur possa funcionar corretamente:
First name
Last name
Email
Atribuindo um grupo a um usuário (Opcional)
Esta seção é opcional. Os grupos podem ser gerenciados dentro da Plataforma Axur, se assim você desejar. Portanto, caso queira, você pode pular as seções de Criando um grupo, Atribuindo um grupo a um usuário e Mapeando grupos de usuários.
Para atribuir um usuário a um grupo que você criou, siga o passo a passo nas imagens:
Criando uma nova aplicação
Siga o passo a passo nas imagens abaixo para criar a nova aplicação SAML fornecendo dados para a Plataforma Axur:
Após criar sua aplicação, acesse a aba SSO, onde todas as nossas configurações de SSO serão feitas. Você precisará preencher o campo IdP Entity ID com o valor desejado. Este é o formato que recomendamos:
https://sso.jumpcloud.com/saml2/<IDENTIFICATION>
Onde <IDENTIFICATION> pode ser algo como minha-empresa. Permaneceremos nesta página por enquanto para criar outras configurações, então prossiga.
Enviando dados da Plataforma Axur para o JumpCloud
O JumpCloud precisa saber com quem ele estará se comunicando para que o processo de SSO funcione sem problemas. Clique no link a seguir para baixar o arquivo de metadados da Plataforma Axur. Salve-o em algum lugar da sua máquina onde você possa encontrá-lo facilmente e, em seguida, clique no botão destacado na imagem:
https://api.axur.com/gateway/1.0/saml-proxy/saml/metadata
Após o upload do arquivo, as informações necessárias do Provedor de Serviço (SP) já estarão preenchidas. Apenas certifique-se de que os seguintes campos foram preenchidos e contêm estes valores:
Campo | Valor |
ACS URL |
|
SP Entity ID |
|
Alguns outros campos também podem ser preenchidos. Você não precisa fazer nada se fez o upload do arquivo corretamente. Apenas passe para a próxima seção.
Mapeando atributos de usuário
Ao utilizar o JumpCloud como nosso provedor, estamos aproveitando as credenciais que já estão salvas e gerenciadas pelo JumpCloud, e essas credenciais estão salvas no formato que o provedor definiu. No entanto, para se comunicar com a Plataforma Axur utilizando SAML, é necessário que os dados do usuário sejam enviados de uma forma padronizada. Pense da seguinte forma: precisamos garantir que a Plataforma Axur sempre receba o atributo de e-mail do usuário no mesmo formato, independentemente se esse dado vem do JumpCloud ou de qualquer outro provedor. Diferentes provedores salvam seus dados de diferentes formas, e os mapeamentos resolvem esse problema!
Ainda na aba SSO, utilize o passo a passo nas imagens para adicionar os mapeamentos de atributos de usuário na sua aplicação do JumpCloud.
Os valores que você precisará preencher estão aqui:
Atributo da Aplicação | Atributo do JumpCloud |
| firstname |
| lastname |
|
Continue clicando no botão Add Attribute para alcançar o estado desejado, como na imagem abaixo:
Mapeando grupos de usuários (Opcional)
Esta seção é opcional. Os grupos podem ser gerenciados dentro da Plataforma Axur, se assim você desejar. Portanto, caso queira, você pode pular as seções de Criando um grupo, Atribuindo um grupo a um usuário e Mapeando grupos de usuários.
Assim como os atributos de usuário, também temos os grupos, que reúnem os usuários de acordo com algum critério específico. Esses grupos são criados pelo administrador no JumpCloud e, como explicado na seção anterior, é necessário que exista um mapeamento para que esse dado seja transmitido para a Plataforma Axur de forma padronizada, independentemente do provedor.
Nesta seção, o foco é pegar cada um dos grupos que você criou na seção Grupos, usuários e atribuições e dizer para o JumpCloud como esses nomes de grupos devem ser mapeados no momento do envio para a Plataforma Axur.
Ainda na aba SSO, na seção Attributes, adicione outro atributo que contenha o seguinte par de chave-valor (no lado direito, você precisará escolher a opção Custom attribute, que permite digitar o nome do atributo que criamos na seção Criando um grupo (Opcional):
Atributo da Aplicação | Atributo do JumpCloud |
| one-perm |
Lembre-se, one-perm é o valor do atributo personalizado que definimos ao criar o grupo. Isso será resolvido para um dos nomes de grupo desejados da última tabela na seção Criando um grupo (Opcional). Certifique-se de usar o nome correto do atributo.
Obtendo dados do provedor JumpCloud
Como estamos utilizando o JumpCloud como nosso provedor de identidade, é necessário obter algumas informações que possam dizer para a Plataforma Axur com quem ela estará se comunicando e se as informações dela são seguras e confiáveis.
Quando você terminar a configuração da sua aplicação de SSO, acesse sua página principal, e você verá duas opções para obter os dados do JumpCloud:
Você pode baixar o arquivo ou copiar uma URL que referencia o mesmo conteúdo. Certifique-se de guardar essa informação, pois vamos usá-la no guia de configuração da plataforma.
Atribuindo grupos/usuários à aplicação
Agora só falta atribuir usuários ou grupos à nova aplicação que você criou. Você pode acessar seus grupos na seção User Groups. Em seguida, selecione os grupos que deseja atribuir à aplicação e clique no botão Save.
Se você decidiu pular todas as seções relacionadas à criação de grupos, basta procurar por um usuário (ou usuários) específico que você deseja adicionar e marcar a caixa de seleção ao lado do nome deles. Após salvar, isso garantirá que eles possam acessar a aplicação.
Alguns erros comuns
As informações do Provedor de Serviço (SP) (Plataforma Axur neste caso). Verifique os dados da seção correspondente e garanta que são os mesmos.
As informações do Provedor de Identidade (IdP) (JumpCloud neste caso). Verifique se o arquivo que você baixou aqui não está alterado.
As informações de acesso à aplicação. Verifique as atribuições de grupos ou usuários diretos.
Erros específicos
Erro | Descrição | Como Resolver |
Non Authorized IdP or expired IdP login | IdP não autorizado ou sessão expirada | Verifique os Metadados de Federação e o IdP. |
Missing value for string parameter [email claim] | Claim de e-mail ausente ou vazia | Certifique-se de que o atributo de e-mail está configurado corretamente no IdP. |
Redirection error | URL de endpoint incorreta no IdP | Verifique se os endpoints estão configurados corretamente. |
Local entity is not the intended audience of the assertion in at least one AudienceRestriction | A asserção não se destinava ao SP | Verifique se o entityId configurado na aplicação está como com:axur:sso. |
Authentication statement is too old to be used with value {date} | A declaração de autenticação expirou | A duração da sessão do IdP excede 7 dias. Contate o suporte para ajustá-la. |
Validation of protocol message signature failed | A assinatura da mensagem SAML é inválida | Verifique se os Metadados de Federação foram fornecidos corretamente. |
Isso conclui as configurações necessárias no provedor JumpCloud. Retorne ao guia de configuração na plataforma para finalizar a criação da sua aplicação.
Se ficar com qualquer dúvida, é só chamar a gente no [email protected] 😊