Este guia demonstra o processo passo a passo para a criação de uma nova aplicação no Microsoft Entra ID, capaz de se comunicar via SAML 2.0 com os serviços da Plataforma Axur. Neste guia, abordaremos todas as configurações necessárias para garantir que o Single Sign-On (SSO) funcione corretamente e conforme o esperado.
Índice
Antes de começar
Garanta que você possui uma conta de Administrador no Microsoft Entra ID e que consegue acessá-la sem problemas.
Ao realizar as configurações, certifique-se de que os dados que você copia ou insere nos campos especificados estão corretos. A entrada de dados incorreta pode causar problemas mais tarde, quando testarmos nossa aplicação.
É importante notar que esta solução não se baseia no uso de um serviço Active Directory (AD) local (on-premises), ou seja, hospedado pela sua própria empresa em sua infraestrutura. O foco é usar o serviço AD fornecido pelo Azure, na nuvem.
Nota: O Azure Active Directory (Azure AD) agora é Microsoft Entra ID. Este guia se referirá ao Microsoft Entra ID, mas você ainda pode ver “Azure AD” em algumas interfaces do portal.
Grupos, usuários e atribuições
Em todos os tutoriais de criação de aplicações de SSO da Plataforma Axur, existe o conceito de usuários e grupos. Afinal, o provedor é onde todas as informações de seus usuários serão armazenadas, além dos grupos aos quais eles pertencem (a criação de grupos via provedor é opcional). Nesse sentido, esta seção se dedica a ensinar como criar grupos e usuários no Microsoft Entra ID, bem como atribuir usuários a grupos.
Criando um grupo (opcional)
Esta seção é opcional. Os grupos podem ser gerenciados dentro da Plataforma Axur, se desejar. Portanto, se desejar, pode pular as seções de Criando um grupo, Atribuindo um grupo a um usuário e Mapeando grupos de usuários.
Atenção: Limitação de Grupos do AD On-Premises em Claims do Entra ID
Grupos sincronizados de um Active Directory On-Premises para o Microsoft Entra ID não podem ser usados em Claims de grupo (tokens SAML/OIDC), pois não são considerados “nativos da nuvem” (cloud-native). Para contornar essa limitação, os grupos devem ser criados diretamente no Microsoft Entra ID como “grupos apenas de nuvem” (cloud-only groups).
Observação: É de extrema importância que os nomes dos grupos obedeçam ao padrão determinado. Mais especificamente, um novo grupo deve conter os valores da tabela como sufixo:
Grupo |
|
|
|
|
|
Nesse sentido, valores de grupos como Axur-one-manager e ClienteX-one-expert são válidos, mas Axur-manager e ClienteX-analista não são, porque não incluem os sufixos esperados.
Aqui estão um pouco mais de informações sobre os grupos:
Nome do grupo | Descrição do Grupo |
one-viewer | Usuários neste grupo terão acesso à Plataforma Axur, com a capacidade de visualizar todas as informações de tickets, resultados e faturas, mas não podem realizar nenhuma ação. |
one-practitioner | Usuários neste grupo terão acesso à Plataforma Axur e, além de visualizar todas as informações, podem realizar ações não faturáveis (todas, exceto solicitações de Takedown). |
one-expert | Usuários neste grupo terão acesso à Plataforma Axur e, além de realizar ações não faturáveis, também podem solicitar Takedowns. |
one-manager | Usuários neste grupo terão acesso à Plataforma Axur e podem realizar todas as ações (não faturáveis e faturáveis) e também visualizar as atividades realizadas por seus usuários na Plataforma Axur. |
one-basic | Usuários neste grupo possuem um conjunto personalizado de capacidades. Quando são criados, o gestor pode decidir quais serão suas capacidades. |
Para criar um novo grupo no Microsoft Entra ID, siga o passo a passo nas imagens e não se esqueça de seguir as diretrizes indicadas:
Depois de adicionar alguns grupos, você poderá ver algo como a imagem abaixo:
Criando um usuário
Para criar um novo usuário no Microsoft Entra ID, siga o passo a passo nas imagens:
É de extrema importância que os usuários que você criar tenham os campos Primeiro Nome, Último Nome e E-mail preenchidos. Não é necessário adicionar grupos ao usuário agora, pois faremos isso mais tarde.
Atribuindo um grupo a um usuário (opcional)
Esta seção é opcional. Os grupos podem ser gerenciados dentro da Plataforma Axur, se desejar. Portanto, se desejar, pode pular as seções de Criando um grupo, Atribuindo um grupo a um usuário e Mapeando grupos de usuários.
Siga o passo a passo nas imagens para atribuir um grupo que você criou a um usuário:
Criando um novo aplicativo
Acesse sua conta do Azure e faça login como um Administrador. Em seguida, siga o passo a passo nas imagens abaixo para criar a nova aplicação SAML que fornecerá dados para a Plataforma Axur:
Enviando dados da Plataforma Axur para o Microsoft Entra ID
O Microsoft Entra ID precisa saber com quem ele se comunicará para que o processo de SSO funcione sem problemas. Siga as imagens para inserir os seguintes dados da Plataforma Axur nas configurações do Microsoft Entra ID.
Para adicionar os dados, você precisará carregar um arquivo. Baixe este arquivo acessando a seguinte URL:
https://api.axur.com/gateway/1.0/saml-proxy/saml/metadata
Verifique se os dados obtidos através do arquivo correspondem às imagens antes de continuar!
Mapeando atributos do usuário
Ao usar o Microsoft Entra ID como nosso provedor, estamos aproveitando as credenciais que já estão armazenadas и gerenciadas pela Microsoft, e essas credenciais são armazenadas no formato definido pelo provedor. No entanto, para se comunicar com a Plataforma Axur usando SAML, é necessário que os dados do usuário sejam enviados de forma padronizada. Pense desta forma: precisamos garantir que a Plataforma Axur sempre receba o atributo de e-mail do usuário no mesmo formato, independentemente se esses dados vêm da Microsoft ou de qualquer outro provedor. Diferentes provedores armazenam seus dados de maneiras diferentes, e os mapeamentos resolvem esse problema!
Ao contrário de alguns provedores, o Microsoft Entra ID já inclui alguns mapeamentos de usuário definidos quando uma aplicação SAML é criada. Para concluir esta configuração, simplesmente exclua um mapeamento, chamado userprincipalname. Siga as imagens para realizar o processo:
Mapeando grupos de usuários (opcional)
Esta seção é opcional. Os grupos podem ser gerenciados dentro da Plataforma Axur, se desejar. Portanto, se desejar, pode pular as seções de Criando um grupo, Atribuindo um grupo a um usuário e Mapeando grupos de usuários.
Assim como os atributos de usuário, também temos os grupos, que reúnem os usuários de acordo com algum critério específico. Esses grupos são criados pelo administrador no Microsoft Entra ID e, como explicado na seção anterior, é necessário criar um mapeamento para que esses dados sejam transmitidos para a Plataforma Axur de forma padronizada, independentemente do provedor.
Nesta seção, o foco é pegar cada um dos grupos que você criou na seção de criação de grupos e dizer ao Microsoft Entra ID como esses nomes de grupos devem ser mapeados no momento do envio para a Plataforma Axur.
Siga as imagens para criar os grupos e seus mapeamentos nas configurações do Microsoft Entra ID. Use os dados fornecidos nas imagens para realizar a configuração em sua plataforma:
Campo | Valor |
Nome (obrigatório) | Group |
Namespace |
|
Obtendo dados do provedor do Microsoft Entra ID
Como estamos usando o Microsoft Entra ID como nosso provedor de identidade, é necessário obter algumas informações que possam dizer à Plataforma Axur com quem ela estará se comunicando e se suas informações são seguras e confiáveis.
No caso do Microsoft Entra ID, você pode baixar o arquivo .xml com as informações ou copiar um link que leva aos mesmos dados. Você pode fazer o que preferir, pois ambas as opções são suportadas pela Plataforma Axur.
Guarde esta informação, pois a usaremos ao configurar o SSO na Plataforma Axur.
Atribuindo grupos/usuários à aplicação
Agora só falta atribuir usuários ou grupos à nova aplicação que você criou. Siga o passo a passo nas imagens para fazer isso:
Para atribuir grupos:
Para atribuir usuários:
Nesta seção, você pode atribuir tanto grupos quanto usuários diretamente. Basta selecionar no menu após a busca. Portanto, para ambos os casos (criação de grupos via provedor e gerenciamento de grupos através da própria Plataforma Axur), podemos configurar a aplicação com facilidade.
Alguns erros comuns
As informações do Provedor de Serviço (SP) (Plataforma Axur neste caso). Verifique os dados da seção correspondente e garanta que são os mesmos.
As informações do Provedor de Identidade (IdP) (Microsoft Entra ID neste caso). Verifique se o arquivo que você baixou ou o link que você copiou é válido e não foi modificado.
As informações de acesso à aplicação. Verifique as atribuições de grupos ou usuários diretos
Isso conclui as configurações necessárias no provedor de ID do Microsoft Entra. Retorne ao guia de configuração na plataforma para finalizar a criação do seu aplicativo.
Erros específicos
Erro | Descrição | Como Resolver |
Non Authorized IdP or expired IdP login | IdP não autorizado ou sessão expirada | Verifique os Metadados de Federação e o IdP. |
Missing value for string parameter [email claim] | Claim de e-mail ausente ou vazia | Certifique-se de que o atributo de e-mail está configurado corretamente no IdP. |
Redirection error | URL de endpoint incorreta no IdP | Verifique se os endpoints estão configurados corretamente. |
Local entity is not the intended audience of the assertion in at least one AudienceRestriction | A asserção não se destinava ao SP | Verifique se o |
Authentication statement is too old to be used with value {date} | A declaração de autenticação expirou | A duração da sessão do IdP excede 7 dias. Contate o suporte para ajustá-la. |
Validation of protocol message signature failed | A assinatura da mensagem SAML é inválida | Verifique se os Metadados de Federação foram fornecidos corretamente. |
Isso conclui as configurações necessárias no provedor Microsoft Entra ID. Retorne ao guia de configuração na plataforma para finalizar a criação da sua aplicação.
Se ficar com qualquer dúvida, é só chamar a gente no [email protected] 😊