Este guia demonstra o processo passo a passo para criar uma nova aplicação no Active Directory Federation Services (ADFS), capaz de se comunicar via SAML 2.0 com os serviços da Plataforma Axur. Neste guia, abordaremos todas as configurações necessárias para garantir que o Logon Único (SSO) funcione de maneira correta e esperada.
Tabela de Conteúdo:
Antes de começar
Garanta que você possui as permissões necessárias para acessar o servidor onde o ADFS está instalado e o console de gerenciamento de Usuários e Computadores do Active Directory.
Ao realizar as configurações, certifique-se de que os dados que você está copiando ou digitando nos locais indicados estão corretos. A inserção de dados incorretos pode causar problemas mais tarde, quando formos testar nossa aplicação.
Grupos, usuários e atribuições
Em todos os tutoriais de criação de aplicações de SSO da Plataforma Axur, existe o conceito de usuários e grupos. Afinal, o provedor é onde todas as informações de seus usuários serão armazenadas, além dos grupos aos quais eles pertencem (a criação de grupos via provedor é opcional). Nesse sentido, esta seção se dedica a ensinar como criar grupos e usuários no ADFS, bem como atribuir usuários a grupos.
Criando um grupo (Opcional)
Esta seção é opcional. Os grupos podem ser gerenciados dentro da Plataforma Axur, se desejar. Portanto, se desejar, pode pular as seções de Criação de grupo (Opcional), atribuindo grupo a um usuário (Opcional) e Mapeamento de grupos de usuários (Opcional).
As imagens a seguir demonstram a criação de um grupo no Active Directory.
Repita o processo para adicionar novos grupos. Os nomes que você define para esses grupos no Active Directory (ex: “Axur Viewer”) são para sua organização interna. Mais tarde, no mapeamento de claims do ADFS, você associará esses grupos aos valores específicos que a Plataforma Axur espera. Crie nomes que sejam descritivos para você.
Nome sugerido no AD | Descrição do Grupo |
Axur Viewer | Os usuários deste grupo terão acesso à Plataforma Axur, podendo visualizar todas as informações de tickets, resultados e faturas, mas não poderão realizar nenhuma ação. |
Axur Analyst | Os usuários deste grupo terão acesso à Plataforma Axur e, além de visualizar todas as informações, poderão realizar ações não faturáveis (todas, exceto solicitações de remoção). |
Axur Expert | Os usuários deste grupo terão acesso à Plataforma Axur e, além de realizar ações não faturáveis, também poderão solicitar remoções. |
Axur Manager | Os usuários deste grupo terão acesso à Plataforma Axur, podendo realizar todas as ações (não faturáveis e faturáveis) e também visualizar as atividades realizadas por seus usuários na Plataforma Axur. |
Axur-Custom | Os usuários deste grupo possuem um conjunto personalizado de capacidades. Quando são criados, o gestor pode decidir quais serão suas capacidades. |
Criando um Usuário
As seguintes imagens demonstram a criação de um usuário no Active Directory:
Após criar o usuário, navegue até suas propriedades e garanta que o campo de e-mail esteja preenchido corretamente, pois ele será usado no mapeamento de claims. Siga as imagens:
Atribuir um grupo a um usuário (Opcional)
Esta seção é opcional. Os grupos podem ser gerenciados dentro da Plataforma Axur, se desejar. Portanto, se desejar, pode pular as seções de Criar um grupo (Opcional), atribuir um grupo a um usuário (Opcional) e Mapear grupos de usuários (Opcional).
Para atribuir um grupo (criado no Active Directory) a um usuário, siga o passo a passo nas imagens:
Ao digitar o nome do grupo, clique no botão Verificar Nomes para verificar se o grupo inserido existe no Active Directory. Se ele existir, seu nome aparecerá sublinhado, como no exemplo abaixo:
Caso contrário, uma janela de diálogo indicará que o nome não foi encontrado.
Se o nome estiver correto, basta clicar em OK.
Criando uma nova aplicação
Com acesso ao console de gerenciamento do ADFS, siga o passo a passo nas imagens para criar uma nova aplicação (formalmente chamada de Relação de Confiança de Terceira Parte Confiável), que representa a aplicação da Plataforma Axur para o ADFS.
Aqui está a URL de metadados da Plataforma Axur que você precisará em uma das etapas, para permitir que o ADFS configure automaticamente várias informações sobre o Provedor de Serviço:
Campo | Valor |
Federation Metadata address (Axur Platform) |
|
Após clicar no botão para finalizar a criação da aplicação, prossiga para a próxima seção. Não é necessário marcar a opção indicada na última imagem, pois faremos isso mais tarde.
Enviando dados da Plataforma Axur para o ADFS
É necessário que o ADFS saiba com quem estará se comunicando para que o processo de SSO funcione corretamente.
Como os dados da Plataforma Axur (como Endpoints SAML e certificado) já foram consumidos e configurados pelo ADFS quando criamos o aplicativo na seção Criando um novo aplicativo (importando os metadados da Plataforma Axur), esta etapa já foi concluída. Prossiga para a próxima!
Mapeando atributos de usuário
Ao usar o ADFS como nosso provedor, estamos aproveitando as credenciais que já estão armazenadas e gerenciadas pelo ADFS, e essas credenciais são armazenadas no formato definido pelo provedor. No entanto, para se comunicar com a Plataforma Axur usando SAML, é necessário que os dados do usuário sejam enviados de forma padronizada. Pense da seguinte forma: precisamos garantir que a Plataforma Axur sempre receba o atributo de e-mail do usuário no mesmo formato, independentemente de os dados virem do ADFS ou de qualquer outro provedor. Diferentes provedores armazenam seus dados de maneiras diferentes, e os mapeamentos resolvem esse problema!
Siga o passo a passo nas imagens para criar os mapeamentos:
Na tela de criação de regras, adicionaremos os mapeamentos de atributos de usuário. Siga o passo a passo nas imagens para realizar as configurações em sua máquina e garanta que os valores sejam idênticos aos necessários:
Mapeando grupos de usuários (Opcional)
Esta seção é opcional. Os grupos podem ser gerenciados dentro da Plataforma Axur, se desejar. Portanto, se desejar, pode pular as seções de Criar um grupo (Opcional), Atribuir um grupo a um usuário (Opcional) e Mapear grupos de usuários (Opcional).
Assim como os atributos de usuário, também temos os grupos, que reúnem os usuários de acordo com algum critério específico. Esses grupos são criados pelo administrador no Active Directory e, como explicado na seção anterior, é necessário criar um mapeamento para que esses dados sejam transmitidos para a Plataforma Axur de forma padronizada, independentemente do provedor.
Nesta seção, o foco é pegar cada um dos grupos que você criou na seção Criando um grupo (Opcional) e dizer ao ADFS como esses nomes de grupos devem ser mapeados no momento do envio para a Plataforma Axur. Siga as imagens para criar os mapeamentos de grupo nas configurações do ADFS.
Nesta próxima imagem, você terá que procurar o grupo desejado. Basta seguir a lógica que definimos para a busca de grupos na seção atribuindo grupos a usuários. Ao preencher o valor para o campo Valor da claim de saída, certifique-se de que ele siga os valores da tabela abaixo:
Valor Desejado | Grupo (O que você deve pesquisar, indicado pelo botão "Procurar") |
| Axur Viewer |
| Axur Analyst |
| Axur Expert |
| Axur Manager |
| Axur Custom |
Adicione novas regras para cada um dos grupos do Active Directory que você criou na seção Criar um grupo (Opcional), respeitando as regras mencionadas acima.
Obtendo dados do provedor ADFS
Como estamos usando o ADFS como nosso provedor de identidade, é necessário obter algumas informações que possam dizer à Plataforma Axur com quem ela estará se comunicando e se suas informações são seguras e confiáveis.
Siga o passo a passo nas imagens para localizar o caminho dos metadados no seu ADFS:
Observe que na seção indicada, encontramos o caminho para o arquivo de metadados (ex: /FederationMetadata/2007-06/FederationMetadata.xml). Para construir a URL completa, você precisa saber o nome do host (domínio) do seu serviço ADFS. Por exemplo, se seu serviço ADFS é acessível em:
https://adfs.suaempresa.com
A URL completa dos metadados para o seu ADFS seria:
https://adfs.suaempresa.com/FederationMetadata/2007-06/FederationMetadata.xml
Para construir a URL completa dos metadados, anexe o caminho ao nome do host do seu ADFS. Não se esqueça de verificar a URL! Clique nela para verificar se ela realmente leva às informações dos metadados.
Salve esta URL, pois a usaremos na configuração da Plataforma Axur.
Atribuindo grupos/usuários ao aplicativo
Como habilitamos esta aplicação para todos os usuários no Active Directory (AD), nada de específico precisa ser feito. Se você criou grupos, o mapeamento já deve resolver isso. No caso de atribuições diretas à aplicação, a configuração para permitir todos da seção criando uma aplicação deve resolver.
Alguns erros comuns:
As informações do Provedor de Serviço (SP) (Plataforma Axur neste caso). Verifique os dados da seção correspondente e garanta que são os mesmos.
As informações do Provedor de Identidade (IdP) (ADFS neste caso). Verifique se o link que você copiou aqui redireciona para o arquivo de metadados corretamente.
As informações de acesso à aplicação. Verifique as atribuições de grupos ou usuários diretos.
Erros específicos
Erro | Descrição | Como Resolver |
Non Authorized IdP or expired IdP login | IdP não autorizado ou sessão expirada | Verifique os Metadados de Federação e o IdP. |
Missing value for string parameter [email claim] | Claim de e-mail ausente ou vazia | Certifique-se de que o atributo de e-mail está configurado corretamente no IdP. |
Redirection error | URL de endpoint incorreta no IdP | Verifique se os endpoints estão configurados corretamente. |
Local entity is not the intended audience of the assertion in at least one AudienceRestriction | A asserção não se destinava ao SP | Verifique se o entityId configurado na aplicação está como com:axur:sso. |
Authentication statement is too old to be used with value {date} | A declaração de autenticação expirou | A duração da sessão do IdP excede 7 dias. Contate o suporte para ajustá-la. |
Validation of protocol message signature failed | A assinatura da mensagem SAML é inválida | Verifique se os Metadados de Federação foram fornecidos corretamente. |
Isso conclui as configurações necessárias no provedor ADFS. Retorne ao guia de configuração na plataforma para finalizar a criação da sua aplicação.
Se ficar com qualquer dúvida, é só chamar a gente no [email protected] 😊