Linha RM

Atalhos

Páginas filhas
  • Integração do RM com Azure AD via SAML

Versões comparadas

Versão antiga 7

changes.mady.by.user Guilherme Caram Meireles

Gravado em

comparado com

Nova versão 8

changes.mady.by.user Fábio Augusto Amaral Melo Nunes

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

Índice

      

Índice
exclude.*ndice:

Objetivo

       Este documento demonstra como integrar o sistema RM com o Azure AD como provedor de Identidade.

Introdução

       O Azure AD (Azure Active Diretory) permite o compartilhamento da informação de identidade em um ampla variedade de aplicativos utilizando o padrão SAML que é suportado na linha RM.

Configurando o Azure AD

Informações
iconfalse

Nessa etapa, iremos realizar as configurações iniciais para a integração entre RM e Azure AD

Informações

Este passo-a-passo será todo instruído utilizando o Azure AD no idioma Inglês, porém os passos são os mesmos, independente do idioma

Deck of Cards
idConfigurando o Aplicativo Confiável no Azure AD
Card
label1º Passo - Enterprise Applications:

Antes de mais nada, precisaremos de um "Enterprise Application", pois esta é a aplicação que receberá todas as configurações referentes à integração.

Ao acessar o portal do Azure, selecionamos o serviço "Enterprise Application" para acesso ao assistente de configuração.

Card
label2º Passo - Criando uma nova aplicação:
  • Clicamos em New Application para criar uma nova aplicação. É possível que você seja contemplado com a nova tela da galeria de apps disponíveis do Azure AD, parecida com a demonstrada abaixo. Caso isso ocorra, apenas clique na mensagem tal qual evidenciada abaixo. Isso te levará para a galeria antiga (legado):



  • Agora selecionamos a opção “Non-gallery application”


  • Definimos um nome para a aplicação e a criamos. Após a criação, você deve ser direcionado para uma página como a demonstrada abaixo: (O mapeamento para o SSO no RM é feito pelo e-mail do usuário.)

Card
label3º Passo - Permitindo o acesso à aplicação:

Agora iremos selecionar os usuários e grupos que terão permissão para acessar nossa aplicação e consequentemente o RM via integração SAML (Azure AD). Para fazer isso, selecionamos a opção "Assign users and groups". Nessa aba, clique em "New user/group" e adicione todos os usuários que poderão entrar utilizando o Azure AD no RM.




Após realizar as configurações comuns tanto ao RM Portal (Corpore.Net) quanto à MDI (RM.exe), iremos agora realizar as configurações definidas para cada caso


Configurando as Regras de Declaração (MDI - RM.exe)

Informações
iconfalse
Deck of Cards
idConfigurando o Aplicativo Confiável no Azure AD
Card
label4º Passo: Definindo o Single Sign On (SSO)

Agora iremos configurar o SSO (Single Sign On), permitindo a comunicação entre Azure AD e RM pelo lado do Azure AD (Mais abaixo está descrita a forma de realizar essa configuração pelo RM).

  • Selecionamos então a opção "Set up single sign on"



  • Selecionamos a integração por meio de SAML:


  • E somos direcionados a aba de configuração do Single Sign On via SAML. Nesta tela, iremos configurar os campos conforme descrito abaixo:
    • Identifier (Entity ID): O Identifier é basicamente a URL para qual o SAML será apontado e tentará fazer a conexão e login. Esta URL é construída da seguinte forma: https://<host>:<port>/RMCloudPass/SSOSaml2
    • Reply URL (ACS): A Reply URL leva exatamente a mesma configuração do Identifier, sendo construída da seguinte forma: https://<host>:<port>/RMCloudPass/SSOSaml2


  • Na etapa "User Attributes & Claims" iremos adicionar dois novos parâmetros, ExecutablePath e RelayState
    • ExecutablePath: Este campo deve receber o caminho completo de onde seu RM.exe está contido, como por exemplo: C:\totvs\CorporeRM\RM.Net\RM.exe
    • RelayState: O RelayState deve receber o texto: samlexecutable
Image Removed
    • eImage Added



Aviso
titleRelayState

Caso o RelayState esteja preenchido com quaisquer caracteres que não o exato texto samlexecutable, ao tentar acessar o RM via SAML, a seguinte mensagem será disparada pela rotina de Login:


  • Ao final da configuração, você deve possuir configurações parecidas com as demonstradas abaixo:

Card
label5º Passo - Adicionando a URL da aplicação ao XML:
  • Agora precisamos do XML que servirá como arquivo de configuração do RM em um momento posterior. Na terceira aba, de nome SAML Signing Certificate, baixamos o arquivo Federation Metadata XML:



  • Clicamos nos 3 pontinhos/dots e selecionamos Copy Link

  • Agora no XML que baixamos, vamos ao final dele e nas tags SingleSignOnService, definimos a propriedade Location como o link que copiamos no item anterior:


Abaixo temos um código-exemplo de como deve ficar. LEMBRE-SE DE ALTERAR O LOCATION PARA A SUA URL DO MYAPPS

Bloco de código
languagexml
themeRDark
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/7f90057d-3ea0-46fe-b07c-e0568627081b/saml2" />
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://account.activedirectory.windowsazure.com/applications/signin/0f6c78f4-13b2-4ea0-990b-16dfacdff7e9?tenantId=1626c1ab-b9a5-4f3f-9024-41fbe2b13919" />
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://account.activedirectory.windowsazure.com/applications/signin/0f6c78f4-13b2-4ea0-990b-16dfacdff7e9?tenantId=1626c1ab-b9a5-4f3f-9024-41fbe2b13919" />


Salvamos o arquivo e podemos passar para a integração com a MDI.

Configurando as Regras de Declaração (RM Portal)

Informações
iconfalse
Deck of Cards
idConfigurando o Aplicativo Confiável no Azure AD
Card
label4º Passo:

Selecione a opção: "2. Set up single sign on". e depois SAML

Card
label5º Passo:

Defina os parâmetros de “Basic SAML Configuration” conforme abaixo.

Identifier (Entity ID): https://stswindows.net/<Tenant ID>
Reply URL (ACS): https://<host>:<port>/RMCloudPass/SSOSaml2
Sign on URL: https://<host>/<CorporeApp>/login.aspx

Card
label6º Passo:

Para o Portal CorporeRM não é necessário configurar o RelaySate.

Mas, para usar o portal FrameHTML, é necessário configurá-lo, de acordo com a regra abaixo, no seguinte formato:

state|loginPage|returnUrl
Ex: webapi|http://localhost:8090/RM/Login/Login.aspx|/web/app/RH/PortalMeuRH/

obs1: state para FrameHTML deve ser exclusivamente webapi.
obs2: até a versão 12.1.29 continua necessário mandar o ExecutablePath na requisição Saml.

Card
label7º Passo:
  • Metadado do Azure AD

          Baixar do Azure o Federation Metadata XML:

Integração SAML no RM

         

Aviso
titleAtenção
  • Quando a configuração for referente à MDI (RM.exe) o XML baixado deve ser alterado e as URI's de SingleSignOnService do aplicativo RM.exe deve ser alterada contemplando o MyApps tal qual demonstrado no 5º Passo da integração com a MDI.
  • Importando o metadado do Azure AD no RM

Após obter o metadados personalizado, ele deve ser importado no RM em: Ambiente → Parâmetros → Parâmetros Globais → Integração SAML

Caso queira integrar o Azure AD com a MDI, via SAML, adicionar o metadado no campo "Metadata Identity Provider - RM.exe"

    

Caso queira integrar o Azure com o Portal, via SAML, adicionar o metadado no campo "Metadata Identity Provider - Portal".




















Informações

Existe a possibilidade de integrar o Azure AD com a MDI e o Portal de forma simultânea, basta adicionar o metadado nos campos "Metadata Identity Provider - RM.exe" e "Metadata Identity Provider - Portal".

Informações
iconfalse
Informações
iconfalse

Produto: Framework

Informações
iconfalse

Versão: 12.1.27 e superiores

Informações
iconfalse

Processo: Integração SAML

Informações
iconfalse
Informações
iconfalse

Status: Finalizado

Informações
iconfalse

Data: