Linha RM

Atalhos

Páginas filhas
  • Integração do RM com Azure AD via SAML

Versões comparadas

Versão antiga 1

changes.mady.by.user Guilherme Caram Meireles

Gravado em

comparado com

Nova versão Atual

changes.mady.by.user Eduardo Junqueira de Matos

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

Índice

      

Índice
exclude.*ndice:

Objetivo

       Este documento demonstra como integrar o sistema RM com o Azure AD como provedor de Identidade.

Introdução

       O Azure AD (Azure Active Diretory) permite o compartilhamento da informação de identidade em um ampla variedade de aplicativos utilizando o padrão SAML que é suportado na linha RM.

Configurando

as Regras de Declaração (RM Portal)

o Azure AD

Informações
iconfalse

Nessa etapa, iremos realizar as configurações iniciais para a integração entre RM e Azure AD

Informações

Este passo-a-passo será todo instruído utilizando o Azure AD no idioma Inglês, porém os passos são os mesmos, independente do idioma

Deck of Cards
idConfigurando o Aplicativo Confiável no Azure AD
Card
label1º Passo - Enterprise Applications:

Antes de mais nada, precisaremos de um "Enterprise Application", pois esta é a aplicação que receberá todas as configurações referentes à integração.

Ao acessar o portal do Azure, selecione selecionamos o serviço "Enterprise Application" para acesso ao assistente de configuração.

Card
label2º Passo - Criando uma nova aplicação:

Crie um novo aplicativo e selecione a opção “Non-gallery application”

Image Removed

Card
label3º Passo:

Defina um nome para a regra e selecione o mapeamento conforme a imagem abaixo. O mapeamento para o SSO no RM é feito pelo e-mail do usuário.

Image Removed

Card
label4º Passo:

Selecione a opção: "1. Assign users and groups" e selecione os usuários e/ou grupos que devem ter acesso ao aplicativo.

Image Removed

Card
label5º Passo:

Selecione a opção: "2. Set up single sign on". e depois SAML

Image Removed

Card
label6º Passo:

Defina os parâmetros de “Basic SAML Configuration” conforme abaixo.

Identifier (Entity ID): https://stswindows.net/<Tenant ID>
Reply URL (ACS): https://<host>:<port>/RMCloudPass/SSOSaml2
Sign on URL: https://<host>/<CorporeApp>/login.aspx

Image Removed

Card
label7º Passo:

Para o Portal CorporeRM não é necessário configurar o RelaySate.

Mas, para usar o portal FrameHTML, é necessário configurá-lo, de acordo com a regra abaixo, no seguinte formato:

state|loginPage|returnUrl
Ex: webapi|http://localhost:8090/RM/Login/Login.aspx|/web/app/RH/PortalMeuRH/

obs1: state para FrameHTML deve ser exclusivamente webapi.
obs2: até a versão 12.1.29 continua necessário mandar o ExecutablePath na requisição Saml.

Configurando as Regras de Declaração (MDI - RM.exe)

  • Clique em 'New application'

Image Added

  • Clique em 'Create your own application' para criar uma nova aplicação.  Preencha o Nome do Aplicativo e clique em 'Create'

Image Added

  •  Após a criação, você deve será redirecionado para a página do aplicativo criado. 


Aviso
titleAtenção

Caso deseje utilizar a integração SSO do RM.exe e do Portal Corpore.Net, deverão ser criados 2 aplicativos, 1 para o RM.exe e outro para o Portal.


Configurando as Regras de Declaração para o aplicativo RM (MDI)

Informações
iconfalse
Deck of Cards
idConfigurando o Aplicativo Confiável no Azure AD
tabLocationbottom
Card
labelConfigurando o Aplicativo

Agora iremos configurar o SSO (Single Sign On) do aplicativo criado com o RM.exe.

  • Após acessar o cadastro do aplicativo no Azure AD selecione a opção "Set up single sign on", para que as configurações sejam exibidas.

Image Added

  • Selecione o método de SSO (Single Sign On) SAML:

Image Added

  • Após clicar em SAML, você será direcionado para a página de configuração do aplicativo.

Image Added

Seguimos para os próximos passos

Card
labelConfiguração SAML Básica
  • Após acessar o aplicativo é necessário realizar as configurações básicas do aplicativo. Basta clicar em editar na guia de configurações SAML básicas.

 Image Added

As configurações são:

PropriedadeDescrição
Identifier (Entity ID)Identificador do aplicativo no Azure AD, este valor deve ser exclusivo em todos os aplicativos.
Reply URL (Assertion Consumer Service URL)URL do provedor de serviços (RM)   de resposta que o Azure AD enviará uma requisição ao consumir o aplicativo.
Sign on URL (opcional)URL de logon do provedor de serviços (RM). É utilizado caso o provedor de serviços (RM) possua uma página de login.
Relay State (opcional)É um campo que serve para redirecionar os usuários após a conclusão da autenticação no provedor de serviços (RM)
Logout URL (opcional)É a URL que o sistema será redirecionado ao efetuar o Logout.


  • Após clicar em 'Edit', é necessário preencher as informações abaixo

         Image Added

  • Preencha os campos abaixo e clique em salvar:
ChaveValorDescrição
Identifier (Entity ID)My_IdentifierUm valor á sua escolha, pois este valor será utilizado para identificar o emissor de uma solicitação, resposta ou afirmação.
Reply URL (Assertion Consumer Service URL)https://{DOMINIO}:{PortaHttp}/RMCloudPass/SSOSaml2Url do provedor de serviços (RM) que será responsável por receber a resposta de login do IDP (Azure AD
Aviso
titleAtenção

O Identifier (Entity ID) é utilizado no provedor de serviços (RM) como emissor da requisição, ao realizar o login. 

É recomendado que o Identifier (Entity ID) seja uma URL contendo seu próprio nome de domínio para se identificar.


  •  Após salvar as configurações básicas ficarão da seguinte maneira

Image Added

Seguimos para o próximo passo


Card
labelAtributos e Reivindicações
  • Nesta etapa iremos configurar o Atributo para que o provedor de serviços (RM) consiga identificar internamente que este aplicativo é o RM.exe. Basta clicar em editar na guia de Atributos e Reinvindicações.

Image Added 

  • Após clicar em 'Edit', é necessário alterar o Unique User Identifier (Name ID) para user.mail, 

Image Added

Image Added

Aviso

Por padrão o Unique User Identifier (Name ID) vem com o valor user.userprincipalname, porém a chave utilizada para fazer o match do usuário entre o Identity Provider (Azure AD) e o provedor de serviços (RM) é o e-mail.


Após alterar o Unique User Identifier (Name ID) é necessário adicionar o atributi  ExecutablePath , clique em "Add new claim"

Image Added

Image Added

O atributo a seguir será adicionado:

AtributoValorDescrição
ExecutablePath ""Este atributo será enviado para o provedor de serviços (RM) onde a partir desta informação ele seguirá a regra de negócio para executar a abertura do RM.exe
Aviso
titleAtenção

O Atributo não precisa conter valor, apenas estando na requisição o sistema conseguirá seguir o fluxo de login correto, o comportamento do provedor de serviços (RM)  é o mesmo caso o atributo possua valor.

Caso o atributo ExecutablePath não seja adicionado no aplicativo, a integração seguirá o fluxo de login SSO incorreto.

Estas informações são sensíveis ao texto, caso a grafia da palavra esteja diferente da documentação, a integração pode não funcionar da maneira correta.

  •  Após salvar, os Atributos e Reinvindicações ficarão da seguinte maneira


Image Added

Seguimos para o próximo passo

Card
label5º Passo - Adicionando a URL da aplicação ao XML:
  • Agora precisamos do XML que servirá como arquivo de configuração do RM em um momento posterior. Na terceira aba, de nome SAML Signing Certificate, baixamos o arquivo Federation Metadata XML:

Image Added


Image Added


  • Clicamos nos 3 pontinhos/dots e selecionamos Copy Link

Image Added

  • Agora no XML que baixamos, vamos ao final dele e nas tags SingleSignOnService, definimos a propriedade Location como o link que copiamos no item anterior:

Image Added


Abaixo temos um código-exemplo de como deve ficar. LEMBRE-SE DE ALTERAR O LOCATION PARA A SUA URL DO MYAPPS

Bloco de código
languagexml
themeRDark
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/7f90057d-3ea0-46fe-b07c-e0568627081b/saml2" />
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://account.activedirectory.windowsazure.com/applications/signin/0f6c78f4-13b2-4ea0-990b-16dfacdff7e9?tenantId=1626c1ab-b9a5-4f3f-9024-41fbe2b13919" />
<SingleSignOnService
Informações
iconfalse
Deck of Cards
idConfigurando o Aplicativo Confiável no Azure AD
Card
label1º Passo:

Siga até o passo 5 da da configuração do RM-Portal (acima), alterando somente o nome da Aplicação.

Defina os parâmetros de “Basic SAML Configuration” conforme abaixo.

Identifier (Entity ID): https://<host>:<port>/RMCloudPass/SSOSaml2
Reply URL (ACS): https://<host>:<port>/RMCloudPass/SSOSaml2

Defina os parâmetros de “User Attributes & Claims” conforme abaixo.

ExecutablePath: "C:\totvs\CorporeRM\RM.Net\RM.exe"
RelayState: "samlexecutable"

Image Removed

Card
label2º Passo:
Card
label3º Passo:

No XML de metadados de federação, defina o SSOService Redirect para o link do my apps.

Image Removed

Ex.: <SingleSignOnService 
Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-
Redirect
POST" Location="https://
myapps
account.activedirectory.
microsoft
windowsazure.com/applications/signin/
RM
0f6c78f4-
EXE/681f2781
13b2-
2ge6
4ea0-
4te5
990b-
9771-c53042a19358
16dfacdff7e9?tenantId=
623c6144
1626c1ab-
a1ab
b9a5-
4f98
4f3f-
907a
9024-
437ad2926239
41fbe2b13919" />

Integração SAML no RM

  • Metadado do ADFS

          Baixar do Azure o Federation Metadata XML:

Image Removed

 Repare que as URI's devem estar configuradas de acordo com seu ambiente.

Salvamos o arquivo e podemos passar para a integração com a MDI.
Configurando as Regras de Declaração para o aplicativo Portal 
 Informações
iconfalse
 Deck of Cards
idConfigurando o Aplicativo Confiável no Azure AD
 Card
defaulttrue
label1º Passo
Agora iremos configurar o SSO (Single Sign On) do aplicativo criado com o RM Portal.
  • Após acessar o cadastro do aplicativo no Azure AD selecione a opção "Set up single sign on", para que as configurações sejam exibidas.
Image Added
  • Selecione o método de SSO (Single Sign On) SAML:
Image Added
 Card
label2º Passo:
Defina os parâmetros do Aplicativo conforme abaixo.

1 - Configuração Básica de SAML
Image Added

ChaveValor
IdentificadorValor único determinado para a aplicação
URL de Respostahttp://{endereço}:{porta}/RMCloudPass/SSOSaml2
 Informações
titleAtenção
Caso seja utilizado SSL no ambiente, a URL de Resposta deverá ser preenchida com HTTPS.

2 - Atributos e Declarações
Image Added

ChaveValor
emailaddressuser.mail
Identificador Exclusivo do Usuáriouser.mail


 Informações
titleAtenção
As configurações do menu de Atributos e Declarações devem permanecer exatamente da forma acima, pois é por meio deste identificador que o match do usuário entre o Azure AD e o RM será feito.
 Aviso
titleAtenção
Para o Portal CorporeRM não é necessário configurar o RelaySate.

3 - Certificados SAML
Image Added

ChaveInformação
XML de Metadados de FederaçãoArquivo que será inserido no sistema para realizar a integração
Integração SAML no RM
         
 Aviso
titleAtenção
  • Nas Quando a configuração for referente à MDI (RM.exe) o XML baixado deve ser alterado e as URI's de SingleSignOnService do aplicativo RM.exe o parâmetros Redirect deve receber o link do MyApps conforme configurado no Passo 3 do Item "Configurando o aplicativo confiável no Azure AD" deve ser alterada contemplando o MyApps tal qual demonstrado no 5º Passo da integração com a MDI.
  • Importando o metadado do Azure AD 
 FS 
  •  no RM
          
Após obter o metadados personalizado, ele deve ser importado no RM em: Ambiente → Parâmetros → Parâmetros Globais → Integração SAML
          
Caso queira integrar o 
 ADFS 
Azure AD com a MDI, via SAML, adicionar o metadado no campo "Metadata Identity Provider - RM.exe"
Image Modified
  
        
  
Caso queira integrar o 
 ADFS 
Azure com o Portal, via SAML, adicionar o metadado no campo "Metadata Identity Provider - Portal".
Image Modified



















Observação
 Informações
title
Existe a possibilidade de integrar o ADFS Azure AD com a MDI e o Portal de forma simultânea, basta adicionar o metadado nos campos "Metadata Identity Provider - RM.exe" e "Metadata Identity Provider - Portal".
 Informações
iconfalse
 Informações
iconfalse
Produto: Framework
 Informações
iconfalse
Versão: 12.1.27 e superiores
 Informações
iconfalse
Processo: Integração SAML
 Informações
iconfalse
 Informações
iconfalse
Status: Finalizado
 Informações
iconfalse
Data:31082020