Linha RM

Atalhos

Páginas filhas
  • Integração do RM com Azure AD via SAML

Versões comparadas

Versão antiga 10

changes.mady.by.user Fábio Augusto Amaral Melo Nunes

Gravado em

comparado com

Nova versão Atual

changes.mady.by.user Eduardo Junqueira de Matos

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

Índice

      

Índice
exclude.*ndice:

Objetivo

       Este documento demonstra como integrar o sistema RM com o Azure AD como provedor de Identidade.

Introdução

       O Azure AD (Azure Active Diretory) permite o compartilhamento da informação de identidade em um ampla variedade de aplicativos utilizando o padrão SAML que é suportado na linha RM.

Configurando o Azure AD

Informações
iconfalse

Nessa etapa, iremos realizar as configurações iniciais para a integração entre RM e Azure AD

Informações

Este passo-a-passo será todo instruído utilizando o Azure AD no idioma Inglês, porém os passos são os mesmos, independente do idioma

Deck of Cards
idConfigurando o Aplicativo Confiável no Azure AD
Card
label1º Passo - Enterprise Applications:

Antes de mais nada, precisaremos de um "Enterprise Application", pois esta é a aplicação que receberá todas as configurações referentes à integração.

Ao acessar o portal do Azure, selecionamos o serviço "Enterprise Application" para acesso ao assistente de configuração.

Agora iremos selecionar os usuários e grupos que terão permissão para acessar nossa aplicação e consequentemente o RM via integração SAML (Azure AD). Para fazer isso, selecionamos a opção "Assign users and groups". Nessa aba, clique em "New user/group" e adicione todos os usuários que poderão entrar utilizando o Azure AD no RM.

Image Removed

Card
label2º Passo - Criando uma nova aplicação:
  • Clicamos Clique em 'New application'

Image Added

  • Clique em 'Create your own application' New Application para criar uma nova aplicação. É possível que você seja contemplado com a nova tela da galeria de apps disponíveis do Azure AD, parecida com a demonstrada abaixo. Caso isso ocorra, apenas clique na mensagem tal qual evidenciada abaixo. Isso te levará para a galeria antiga (legado):

Image Removed

  • Agora selecionamos a opção “Non-gallery application”

Image Removed

  •   Preencha o Nome do Aplicativo e clique em 'Create'

Image Added

  •  Após Definimos um nome para a aplicação e a criamos. Após a criação, você deve ser direcionado será redirecionado para uma página como a demonstrada abaixo: (O mapeamento para o SSO no RM é feito pelo e-mail do usuário.)

Image Removed

Card
label3º Passo - Permitindo o acesso à aplicação:
Após realizar as configurações comuns tanto ao RM Portal (Corpore.Net) quanto à MDI (RM.exe), iremos agora realizar as configurações definidas para cada caso
  • a página do aplicativo criado. 


Aviso
titleAtenção

Caso deseje utilizar a integração SSO do RM.exe e do Portal Corpore.Net, deverão ser criados 2 aplicativos, 1 para o RM.exe e outro para o Portal.


Configurando as Regras de Declaração para o aplicativo RM (MDI

- RM.exe

)

Informações
iconfalse
Deck of Cards
idConfigurando o Aplicativo Confiável no Azure AD
tabLocationbottom
Card
label4º Passo: Definindo o Single Sign On (SSO)Configurando o Aplicativo

Agora iremos configurar o SSO (Single Sign On) , permitindo a comunicação entre Azure AD e RM pelo lado do Azure AD (Mais abaixo está descrita a forma de realizar essa configuração pelo RM).do aplicativo criado com o RM.exe.

  • Após acessar o cadastro do aplicativo no Azure AD selecione Selecionamos então a opção "Set up single sign on"

Image Removed

  • , para que as configurações sejam exibidas.

Image Added

  • Selecione o método de SSO (Single Sign On) Selecionamos a integração por meio de SAML:

Image Removed

E somos direcionados a aba de configuração do Single Sign On via SAML. Nesta tela, iremos configurar os campos conforme descrito abaixo:

Image Added

  • Após clicar em SAML, você será direcionado para a página de configuração do aplicativo.

Image Added

Seguimos para os próximos passos

Card
labelConfiguração SAML Básica
  • Após acessar o aplicativo é necessário realizar as configurações básicas do aplicativo. Basta clicar em editar na guia de configurações SAML básicas.

 Image Added

As configurações são:

PropriedadeDescrição
Identifier (Entity ID)Identificador do aplicativo no Azure AD, este valor deve ser exclusivo em todos os aplicativos.
Reply URL (Assertion Consumer Service URL)URL do provedor de serviços (RM)   de resposta que o Azure AD enviará uma requisição ao consumir o aplicativo.
Sign on URL (opcional)URL de logon do provedor de serviços (RM). É utilizado caso o provedor de serviços (RM) possua uma página de login.
Relay State (opcional)É um campo que serve para redirecionar os usuários após a conclusão da autenticação no provedor de serviços (RM)
Logout URL (opcional)É a URL que o sistema será redirecionado ao efetuar o Logout.


  • Após clicar em 'Edit', é necessário preencher as informações abaixo

         Image Added

  • Preencha os campos abaixo e clique em salvar:
ChaveValorDescrição
Identifier (Entity ID)
: O Identifier é basicamente a URL para qual o SAML será apontado e tentará fazer a conexão e login. Esta URL é construída da seguinte forma: 
My_IdentifierUm valor á sua escolha, pois este valor será utilizado para identificar o emissor de uma solicitação, resposta ou afirmação.
Reply URL (Assertion Consumer Service URL)https://{DOMINIO}:{PortaHttp}
https://<host>:<port>
/RMCloudPass/SSOSaml2Url do provedor de serviços (RM) que será responsável por receber a resposta de login do IDP (Azure AD
Aviso
titleAtenção

O Identifier (Entity ID) é utilizado no provedor de serviços (RM) como emissor da requisição, ao realizar o login. 

É recomendado que o Identifier (Entity ID) seja uma URL contendo seu próprio nome de domínio para se identificar.


  •  Após salvar as configurações básicas ficarão da seguinte maneira

Image Added

Seguimos para o próximo passo


Card
labelAtributos e Reivindicações
  • Nesta etapa iremos configurar o Atributo para que o provedor de serviços (RM) consiga identificar internamente que este aplicativo é o RM.exe. Basta clicar em editar na guia de Atributos e Reinvindicações.

Image Added 

  • Após clicar em 'Edit', é necessário alterar o Unique User Identifier (Name ID) para user.mail, 

Image Added

Image Added

Aviso

Por padrão o Unique User Identifier (Name ID) vem com o valor user.userprincipalname, porém a chave utilizada para fazer o match do usuário entre o Identity Provider (Azure AD) e o provedor de serviços (RM) é o e-mail.


Após alterar o Unique User Identifier (Name ID) é necessário adicionar o atributi  ExecutablePath , clique em "Add new claim"

Image Added

Image Added

O atributo a seguir será adicionado:

AtributoValorDescrição
ExecutablePath ""Este atributo será enviado para o provedor de serviços (RM) onde a partir desta informação ele seguirá a regra de negócio para executar a abertura do RM.exe
Aviso
titleAtenção

O Atributo não precisa conter valor, apenas estando na requisição o sistema conseguirá seguir o fluxo de login correto, o comportamento do provedor de serviços (RM)  é o mesmo caso o atributo possua valor.

Caso o atributo ExecutablePath não seja adicionado no aplicativo, a integração seguirá o fluxo de login SSO incorreto.

Estas informações são sensíveis ao texto, caso a grafia da palavra esteja diferente da documentação, a integração pode não funcionar da maneira correta.

  •  Após salvar, os Atributos e Reinvindicações ficarão da seguinte maneira


Image Added

Seguimos para o próximo passo

  • Reply URL (ACS): A Reply URL leva exatamente a mesma configuração do Identifier, sendo construída da seguinte forma: https://<host>:<port>/RMCloudPass/SSOSaml2

    • Image Removed

    • Na etapa "User Attributes & Claims" iremos adicionar dois novos parâmetros, ExecutablePath e RelayState
      • ExecutablePath: Este campo deve receber o caminho completo de onde seu RM.exe está contido, como por exemplo: C:\totvs\CorporeRM\RM.Net\RM.exe
      • RelayState: O RelayState deve receber o texto: samlexecutable

    Image Removed

    Aviso
    titleRelayState

    Caso o RelayState esteja preenchido com quaisquer caracteres que não o exato texto samlexecutable, ao tentar acessar o RM via SAML, a seguinte mensagem será disparada pela rotina de Login:

    Image Removed

    • Ao final da configuração, você deve possuir configurações parecidas com as demonstradas abaixo:

    Image Removed

    Card
    label5º Passo - Adicionando a URL da aplicação ao XML:
    • Agora precisamos do XML que servirá como arquivo de configuração do RM em um momento posterior. Na terceira aba, de nome SAML Signing Certificate, baixamos o arquivo Federation Metadata XML:



    • Clicamos nos 3 pontinhos/dots e selecionamos Copy Link

    • Agora no XML que baixamos, vamos ao final dele e nas tags SingleSignOnService, definimos a propriedade Location como o link que copiamos no item anterior:


    Abaixo temos um código-exemplo de como deve ficar. LEMBRE-SE DE ALTERAR O LOCATION PARA A SUA URL DO MYAPPS

    Bloco de código
    languagexml
    themeRDark
    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/7f90057d-3ea0-46fe-b07c-e0568627081b/saml2" />
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://account.activedirectory.windowsazure.com/applications/signin/0f6c78f4-13b2-4ea0-990b-16dfacdff7e9?tenantId=1626c1ab-b9a5-4f3f-9024-41fbe2b13919" />
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://account.activedirectory.windowsazure.com/applications/signin/0f6c78f4-13b2-4ea0-990b-16dfacdff7e9?tenantId=1626c1ab-b9a5-4f3f-9024-41fbe2b13919" />


    Salvamos o arquivo e podemos passar para a integração com a MDI.

    Configurando as Regras de Declaração

    (RM Portal)

    para o aplicativo Portal 

    Informações
    iconfalse
    Deck of Cards
    idConfigurando o Aplicativo Confiável no Azure AD
    Card
    defaulttrue
    label4º Passo:1º Passo

    Agora iremos configurar o SSO (Single Sign On) do aplicativo criado com o RM Portal.

    • Após acessar o cadastro do aplicativo no Azure AD selecione a opção "
    Selecione a opção: "2.
    • Set up single sign on"
    . e depois SAML
    • , para que as configurações sejam exibidas.

    Image Added

    • Selecione o método de SSO (Single Sign On) SAML:

    https://localhost/CorporeRM/login.aspx
    Card
    labelPasso:

    Defina os parâmetros do Aplicativo conforme abaixo.


    1 - Basic Configuração Básica de SAML Configuration

    Image RemovedImage Added


    ChaveValor
    IdentificadorValor único determinado para a aplicação
    Reply URL (Assertion Consumer Service URL)
    URL de Respostahttp://{
    host
    endereço}:{
    Port
    porta}/
    RMCloudPass
    RMCloudPass/SSOSaml2
    		Sign on URL
    Informações
    titleAtenção

    Caso seja utilizado SSL no ambiente o Reply , a URL de Resposta deverá ser preenchido preenchida com https HTTPS.

    O Valor para a chave Sign on URL é a URl do Portal Corpore.


    2 - Atributos e Claimse Declarações

    Image RemovedImage Added


    ChaveValor
    emailaddressuser.mail
    Unique User Identifier
    Identificador Exclusivo do Usuáriouser.mail



    Informações
    titleAtenção

    Os Atributos e Claims devem possuir as chaves acima onde a Unique User Identifier sempre com o valor user.mail pois é por ela que será feita As configurações do menu de Atributos e Declarações devem permanecer exatamente da forma acima, pois é por meio deste identificador que o match do usuário entre o Azure AD e o RM será feito.

    Aviso
    titleAtenção
    Para o Portal CorporeRM não é necessário configurar o RelaySate.


    3 - Certificados SAML Certificado

    Image Removed

    O XML

    Image Added


    ChaveInformação
    XML de Metadados de FederaçãoArquivo que será inserido no sistema
    poderá ser baixado neste link.Image Removed
    para realizar a integração

    Integração SAML no RM

             

    Aviso
    titleAtenção
    • Quando a configuração for referente à MDI (RM.exe) o XML baixado deve ser alterado e as URI's de SingleSignOnService do aplicativo RM.exe deve ser alterada contemplando o MyApps tal qual demonstrado no 5º Passo da integração com a MDI.
    • Importando o metadado do Azure AD no RM

    Após obter o metadados personalizado, ele deve ser importado no RM em: Ambiente → Parâmetros → Parâmetros Globais → Integração SAML

    Caso queira integrar o Azure AD com a MDI, via SAML, adicionar o metadado no campo "Metadata Identity Provider - RM.exe"

        

    Caso queira integrar o Azure com o Portal, via SAML, adicionar o metadado no campo "Metadata Identity Provider - Portal".




















    Informações

    Existe a possibilidade de integrar o Azure AD com a MDI e o Portal de forma simultânea, basta adicionar o metadado nos campos "Metadata Identity Provider - RM.exe" e "Metadata Identity Provider - Portal".

    Informações
    iconfalse
    Informações
    iconfalse

    Produto: Framework

    Informações
    iconfalse

    Versão: 12.1.27 e superiores

    Informações
    iconfalse

    Processo: Integração SAML

    Informações
    iconfalse
    Informações
    iconfalse

    Status: Finalizado

    Informações
    iconfalse

    Data: