Neste tutorial, você aprenderá a configurar uma aplicação SAML em um provedor de identidade (IdP) que não está listado entre os provedores oficialmente suportados na Plataforma Axur — ou seja, um IdP classificado como "Outro". O processo segue etapas comuns à maioria dos IdPs e pode ser adaptado conforme as opções disponíveis no seu provedor. A ideia é permitir que você habilite o login via SSO de forma segura e simplificada, possibilitando que seus usuários acessem a plataforma com uma única autenticação.
Tabela de Conteúdos
Antes de começar
Agora forneceremos um tutorial que pode auxiliá-lo ao criar uma nova aplicação de SSO (usando o protocolo SAML) para a Plataforma Axur. É importante destacar que em nossa plataforma, temos alguns provedores “aprovados” (ou seja, eles têm nossa confiança e confiabilidade para fornecer essa funcionalidade para nossos usuários), bem como tutoriais específicos para configurar o SSO nesses provedores.
Embora a ordem possa variar ligeiramente dependendo do seu provedor, as seções abaixo representam uma sequência típica que funciona na maioria dos ambientes.
Grupos, usuários e atribuições
Em todos os tutoriais de criação de aplicações de SSO da Plataforma Axur, existe a noção de usuários e grupos. Afinal, o provedor é onde todas as informações de seus usuários serão armazenadas, além dos grupos aos quais eles pertencem.
Criando um grupo (opcional)
Esta seção é opcional. Os grupos podem ser gerenciados dentro da Plataforma Axur, se desejar. Portanto, se desejar, pode pular as seções de Criando um grupo, Atribuindo um grupo a um usuário e Mapeando grupos de usuários.
Você pode criar grupos com o nome exato que a Plataforma Axur espera.
Você pode criar dois grupos. Um terá um nome facilmente identificável (Axur Platform Viewer, por exemplo), e o outro será o nome esperado pela Plataforma Axur (one-viewer, no exemplo). Em seguida, em seu provedor, você precisará criar uma Regra que associe todos os usuários do grupo facilmente identificável ao grupo esperado pela plataforma. Esta estratégia é puramente para fins organizacionais, pois você pode ter múltiplas aplicações com muitos grupos diferentes.
Observação: É de extrema importância que os nomes dos grupos obedeçam ao padrão determinado. Mais especificamente, um novo grupo deve conter os valores da tabela como sufixo:
Grupo |
|
|
|
|
|
Nesse sentido, valores de grupos como Axur-one-manager e ClienteX-one-expert são válidos, mas Axur-manager e ClienteX-analista não são, porque não incluem os sufixos esperados.
Consulte os tutoriais específicos se tiver dúvidas sobre como fazer isso.
Criando um usuário
Você precisará criar usuários em seu provedor. Certifique-se de que as seguintes informações estejam presentes para cada usuário que você criar. Isso é fundamental para que o processo funcione:
First Name
Last Name
Email
Garanta que esses campos sejam preenchidos corretamente; caso contrário, os mapeamentos podem falhar durante a autenticação.
Atribuindo um grupo a um usuário (opcional)
Esta seção é opcional. Os grupos podem ser gerenciados dentro da Plataforma Axur, se desejar. Portanto, se desejar, pode pular as seções de Criando um grupo, Atribuindo um grupo a um usuário e Mapeando grupos de usuários.
Se você decidiu criar grupos no provedor, precisa adicionar os usuários que criou a esses grupos. Certifique-se de que os nomes dos seus grupos estão corretos e que os usuários estão dentro dos grupos desejados, caso contrário o SSO não funcionará corretamente.
Criando uma nova aplicação
Em seu provedor, crie uma nova aplicação que será responsável por fornecer os dados de seus usuários para a Plataforma Axur.
Certifique-se de que sua aplicação está usando o protocolo SAML; isso será fundamental para o funcionamento correto.
Insira dados como nome, descrição da aplicação e talvez um ícone para representá-la.
Geralmente, isso conclui a seção de criação da aplicação.
Obtendo dados do provedor
Ao usar um provedor de identidade, é necessário obter algumas informações que possam dizer à Plataforma Axur com quem ela estará se comunicando e se suas informações são seguras e confiáveis. Essas informações são chamadas de Metadados do Provedor.
Você pode baixar um arquivo .xml contendo todas as informações necessárias para identificar o provedor. Geralmente, esta é uma das opções mais simples, pois tudo está contido no arquivo e nada precisa ser copiado. Se este for o seu caso, baixe o arquivo e guarde-o para uso futuro.
Alguns provedores oferecem um link que aponta para esses metadados. Se este for o seu caso, copie o link e guarde-o para uso futuro.
Usaremos esses dados mais tarde, quando configurarmos o SSO na Plataforma Axur.
Enviando dados da Plataforma Axur para o provedor
O provedor precisa saber com quem ele estará se comunicando para que o processo de SSO funcione sem problemas. Nesse sentido, também é importante que o provedor receba os dados do Provedor de Serviço, neste caso, a Plataforma Axur.
Geralmente, os provedores costumam pedir os seguintes dados. Indicamos no Campo quais geralmente são obrigatórios e quais podem ser opcionais.
Campo | Valor |
ACS URL (Geralmente obrigatório) | |
Entity ID (Geralmente obrigatório) |
|
Logout URL (Geralmente opcional) |
Alguns provedores podem pedir um arquivo de metadados, que geralmente contém todas essas informações mencionadas acima. Se for o caso, você pode usar a seguinte URL:
https://api.axur.com/gateway/1.0/saml-proxy/saml/metadata
Encontre a seção responsável por conter os dados do Provedor de Serviço e preencha os campos necessários.
Mapeando atributos de usuário
Ao usar um provedor, estamos aproveitando as credenciais que já estão armazenadas e gerenciadas pelo provedor, e essas credenciais são armazenadas no formato definido pelo provedor. No entanto, para se comunicar com a Plataforma Axur usando SAML, é necessário que os dados do usuário sejam enviados de forma padronizada. Pense desta forma: precisamos garantir que a Plataforma Axur sempre receba o atributo de e-mail do usuário no mesmo formato, independentemente do provedor de onde os dados vêm. Diferentes provedores armazenam seus dados de maneiras diferentes, e os mapeamentos resolvem esse problema!
Os provedores geralmente oferecem um menu selecionável para determinar os valores do Campo (veja a tabela). O conteúdo pode até ser escrito de forma diferente (E-mail Principal no provedor X e user.email no provedor Y, por exemplo), mas a lógica permanece a mesma. Outros provedores podem até já incluir alguns mapeamentos corretos, exigindo apenas a remoção de um ou dois. Em geral, é importante que você defina os campos Mapeia para dos mapeamentos para conter os seguintes valores:
Campo | Mapeia para |
Primary Email | |
First name | |
Last name |
Mapeando grupos de usuários (Opcional)
Esta seção é opcional. Os grupos podem ser gerenciados dentro da Plataforma Axur, se desejar. Portanto, se desejar, pode pular as seções de Criando um grupo, Atribuindo um grupo a um usuário e Mapeando grupos de usuários.
Assim como os atributos de usuário, também temos os grupos, que reúnem os usuários de acordo com algum critério específico. Esses grupos são criados pelo administrador no provedor e, como explicado na seção anterior, é necessário criar um mapeamento para que esses dados sejam transmitidos para a Plataforma Axur de forma padronizada, independentemente do provedor.
Seguindo a lógica dos mapeamentos de atributos de usuário da seção anterior, precisamos fazer algo semelhante com os grupos. Genericamente, você precisa criar mapeamentos seguindo este padrão:
Grupo | Mapeamento |
| |
| |
|
O estilo de configuração pode variar de provedor para provedor. Alguns provedores têm um menu de busca de grupos, para que você possa adicionar todos os necessários e depois inserir a URL uma vez; outros não precisam da URL, mas apenas do valor Group; outros permitem que uma única URL seja inserida, juntamente com um padrão genérico como one-.*, e assim por diante.
Consulte os tutoriais específicos se tiver dúvidas sobre como fazer isso.
Atribuindo grupos/usuários à aplicação
Agora só falta atribuir usuários ou grupos à nova aplicação que você criou. Neste caso, as ações necessárias dependerão da sua escolha:
Se você criou grupos via provedor, adicione esses grupos à nova aplicação e garanta que eles estejam habilitados. Isso permitirá que todos os usuários contidos nesses grupos acessem a aplicação!
Se você não criou grupos via provedor, simplesmente atribua os usuários desejados diretamente à aplicação.
Alguns erros comuns
As informações do Provedor de Serviço (SP) (Plataforma Axur neste caso). Verifique os dados da seção correspondente e garanta que são os mesmos.
As informações do Provedor de Identidade (IdP). Verifique se o arquivo que você baixou aqui não está alterado.
As informações de acesso à aplicação. Verifique se os grupos ou usuários corretos foram atribuídos à aplicação.
Erros específicos
Erro | Descrição | Como Resolver |
Non Authorized IdP or expired IdP login | IdP não autorizado ou sessão expirada | Verifique os Metadados de Federação e o IdP. |
Missing value for string parameter [email claim] | Claim de e-mail ausente ou vazia | Certifique-se de que o atributo de e-mail está configurado corretamente no IdP. |
Redirection error | URL de endpoint incorreta no IdP | Verifique se os endpoints estão configurados corretamente. |
Local entity is not the intended audience of the assertion in at least one AudienceRestriction | A asserção não se destinava ao SP | Verifique se o |
Authentication statement is too old to be used with value {date} | A declaração de autenticação expirou | A duração da sessão do IdP excede 7 dias. Contate o suporte para ajustá-la. |
Validation of protocol message signature failed | A assinatura da mensagem SAML é inválida | Verifique se os Metadados de Federação foram fornecidos corretamente. |
Isso conclui as configurações necessárias no provedor. Retorne ao guia de configuração na plataforma para finalizar a criação da sua aplicação.
Se ficar com qualquer dúvida, é só chamar a gente no [email protected] 😊