Linha RM

Atalhos

Páginas filhas
  • Integração do RM com Azure AD via SAML

Versões comparadas

Versão antiga 13

changes.mady.by.user Fábio Augusto Amaral Melo Nunes

Gravado em

comparado com

Nova versão 14

changes.mady.by.user Fábio Augusto Amaral Melo Nunes

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

Índice

      

Índice
exclude.*ndice:

Objetivo

       Este documento demonstra como integrar o sistema RM com o Azure AD como provedor de Identidade.

Introdução

       O Azure AD (Azure Active Diretory) permite o compartilhamento da informação de identidade em um ampla variedade de aplicativos utilizando o padrão SAML que é suportado na linha RM.

Configurando o Azure AD

Informações
iconfalse

Nessa etapa, iremos realizar as configurações iniciais para a integração entre RM e Azure AD

Informações

Este passo-a-passo será todo instruído utilizando o Azure AD no idioma Inglês, porém os passos são os mesmos, independente do idioma

Deck of Cards
idConfigurando o Aplicativo Confiável no Azure AD
Card
label1º Passo - Enterprise Applications:

Antes de mais nada, precisaremos de um "Enterprise Application", pois esta é a aplicação que receberá todas as configurações referentes à integração.

Ao acessar o portal do Azure, selecionamos o serviço "Enterprise Application" para acesso ao assistente de configuração.

Card
label2º Passo - Criando uma nova aplicação:
  • Clique em 'New application'

  • Clique em 'Create your own application' para criar uma nova aplicação.  Preencha o Nome do Aplicativo e clique em 'Create'

  •  Após a criação, você deve será redirecionado para a página do aplicativo criado. 


Aviso
titleAtenção

Caso deseje utilizar a integração SSO do RM.exe e do Portal Corpore.Net, deverão ser criados 2 aplicativos, 1 para o RM.exe e outro para o Portal Corpore.Net


Configurando 'Single Sign On' do Azure AD com o Aplicativo  'MDI - RM.exe'


Informações
iconfalse
Deck of Cards
idConfigurando o Aplicativo Confiável no Azure AD
Card
label4º Passo: Definindo o Single Sign On (SSO)

Agora iremos configurar o SSO (Single Sign On), permitindo a comunicação entre Azure AD e RM pelo lado do Azure AD (Mais abaixo está descrita a forma de realizar essa configuração pelo RM).  do aplicativo criado com o RM.exe.

  • Após acessar o cadastro do aplicativo no Azure AD selecione a Selecionamos então a opção "Set up single sign on"
  • Selecionamos a integração por meio de SAML:
E somos direcionados a aba de configuração do Single Sign On via SAML. Nesta tela, iremos configurar os campos conforme descrito
  • , para que as configurações sejama exibidas.

Image Added


  • Selecione o método de SSO (Single Sign On) SAML:

Image Added


  • Após selecionar o método de autenticação, será necessário realizar as configurações básicas do aplicativo.

Image Added 

PropriedadeDescrição
Identifier (Entity ID)Identificador do aplicativo no Azure AD, este valor deve ser exclusivo em todos os aplicativos.
Reply URL (Assertion Consumer Service URL)URL do provedor de serviços (RM)   de resposta que o Azure AD enviará uma requisição ao consumir o aplicativo.
Sign on URL (opcional)URL de logon do provedor de serviços (RM). É utilizado caso o provedor de serviços (RM) possua uma página de login.
Relay State (opcional)É um campo que serve para redirecionar os usuários após a conclusão da autenticação no provedor de serviços (RM)
Logout URL (opcional)É a URL que o sistema será redirecionado ao efetuar o Logout.


  • Clique em 'Edit' para preencher os dados necessários

         Image Added

Preencha os campos abaixo:

Identifier (Entity ID):

O Identifier é basicamente a URL para qual o SAML será apontado e tentará fazer a conexão e login. Esta URL é construída da seguinte forma: https://<host>:<port>/RMCloudPass/SSOSaml2

Um valor á sua escolha, pois este valor será utilizado para identificar o emissor de uma solicitação, resposta ou afirmação.

Reply URL (Assertion Consumer Service URL): Url do  provedor de serviços (RM) que será responsável por receber a resposta de login do IDP (Azure AD).  https://{DOMINIO}:{PortaHttp}/SSOSaml2


Aviso
titleAtenção

O Identifier (Entity ID) é utilizado no provedor de serviços (RM) como emissor da requisição, ao realizar o login. 

É recomendado que o Identifier (Entity ID) seja uma URL contendo seu próprio nome de domínio para se identificar.

Reply URL (ACS): A Reply URL leva exatamente a mesma configuração do Identifier, sendo construída da seguinte forma: https://<host>:<port>/RMCloudPass/SSOSaml2





  • Na etapa "User Attributes & Claims" iremos adicionar dois novos parâmetros, ExecutablePath e RelayState
    • ExecutablePath: Este campo deve receber o caminho completo de onde seu RM.exe está contido, como por exemplo: C:\totvs\CorporeRM\RM.Net\RM.exe
    • RelayState: O RelayState deve receber o texto: samlexecutable



Aviso
titleRelayState

Caso o RelayState esteja preenchido com quaisquer caracteres que não o exato texto samlexecutable, ao tentar acessar o RM via SAML, a seguinte mensagem será disparada pela rotina de Login:



  • Ao final da configuração, você deve possuir configurações parecidas com as demonstradas abaixo:

Card
label5º Passo - Adicionando a URL da aplicação ao XML:
  • Agora precisamos do XML que servirá como arquivo de configuração do RM em um momento posterior. Na terceira aba, de nome SAML Signing Certificate, baixamos o arquivo Federation Metadata XML:



  • Clicamos nos 3 pontinhos/dots e selecionamos Copy Link

  • Agora no XML que baixamos, vamos ao final dele e nas tags SingleSignOnService, definimos a propriedade Location como o link que copiamos no item anterior:


Abaixo temos um código-exemplo de como deve ficar. LEMBRE-SE DE ALTERAR O LOCATION PARA A SUA URL DO MYAPPS

Bloco de código
languagexml
themeRDark
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/7f90057d-3ea0-46fe-b07c-e0568627081b/saml2" />
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://account.activedirectory.windowsazure.com/applications/signin/0f6c78f4-13b2-4ea0-990b-16dfacdff7e9?tenantId=1626c1ab-b9a5-4f3f-9024-41fbe2b13919" />
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://account.activedirectory.windowsazure.com/applications/signin/0f6c78f4-13b2-4ea0-990b-16dfacdff7e9?tenantId=1626c1ab-b9a5-4f3f-9024-41fbe2b13919" />


Salvamos o arquivo e podemos passar para a integração com a MDI.

Configurando as Regras de Declaração (RM Portal)

Informações
iconfalse
Deck of Cards
idConfigurando o Aplicativo Confiável no Azure AD
Card
label4º Passo:

Selecione a opção: "2. Set up single sign on". e depois SAML

Card
label5º Passo:

Defina os parâmetros do Aplicativo conforme abaixo.


1 - Basic SAML Configuration


ChaveValor
Reply URL (Assertion Consumer Service URL)http://{host}:{Port}/RMCloudPass/SSOSaml2
Sign on URLhttps://localhost/CorporeRM/login.aspx
Informações
titleAtenção

Caso seja utilizado SSL no ambiente o Reply URL deverá ser preenchido com https.

O Valor para a chave Sign on URL é a URl do Portal Corpore.


2 - Atributos e Claims



ChaveValor
emailaddressuser.mail
Unique User Identifieruser.mail



Informações
titleAtenção

Os Atributos e Claims devem possuir as chaves acima onde a Unique User Identifier sempre com o valor user.mail pois é por ela que será feita o match do usuário entre o Azure AD e o RM.



Aviso
titleAtenção
Para o Portal CorporeRM não é necessário configurar o RelaySate.


3 - SAML Certificado

O XML que será inserido no sistema poderá ser baixado neste link.




Integração SAML no RM

         

Aviso
titleAtenção
  • Quando a configuração for referente à MDI (RM.exe) o XML baixado deve ser alterado e as URI's de SingleSignOnService do aplicativo RM.exe deve ser alterada contemplando o MyApps tal qual demonstrado no 5º Passo da integração com a MDI.
  • Importando o metadado do Azure AD no RM

Após obter o metadados personalizado, ele deve ser importado no RM em: Ambiente → Parâmetros → Parâmetros Globais → Integração SAML

Caso queira integrar o Azure AD com a MDI, via SAML, adicionar o metadado no campo "Metadata Identity Provider - RM.exe"

    

Caso queira integrar o Azure com o Portal, via SAML, adicionar o metadado no campo "Metadata Identity Provider - Portal".




















Informações

Existe a possibilidade de integrar o Azure AD com a MDI e o Portal de forma simultânea, basta adicionar o metadado nos campos "Metadata Identity Provider - RM.exe" e "Metadata Identity Provider - Portal".

Informações
iconfalse
Informações
iconfalse

Produto: Framework

Informações
iconfalse

Versão: 12.1.27 e superiores

Informações
iconfalse

Processo: Integração SAML

Informações
iconfalse
Informações
iconfalse

Status: Finalizado

Informações
iconfalse

Data: