TOTVS Fluig

Atalhos

Árvore de páginas

Versões comparadas

Versão antiga 9

changes.mady.by.user Leoberto Jose Preuss Junior

Gravado em

comparado com

Nova versão Atual

changes.mady.by.user Denise De Deus

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

Índice


Falando de aplicativo SAML...

Índice

Índice
maxLevel4
outlinetrue
exclude.*ndice
stylenone

Objetivo

O objetivo deste guia é demonstrar a criação de um aplicativo do tipo SAML no fluig Identity.

 

...

...

SAML (Security Assertion Markup Language) é um mecanismo de autenticação segura de padrão aberto, baseado em XML para a troca de dados de autenticação e autorização de acesso entre um provedor de identidade (Identity Provider ou IDP), que atesta e certifica a identidade dos usuários, e um provedor de serviços (Service Provider ou SP).

O fluig Identity suporta o Single Sign On (SSO) baseado no SAML 2.0 e a autenticação pode ser iniciada tanto pelo SP quanto pelo IDP.

Informações
title

Image Removed

Exemplo de autenticação Single Sign On baseada em SAML iniciada pelo IDP.

 

Dica

Saiba mais sobre o conceito de SAML, cenários de autenticação e veja exemplos de requisição e resposta SAML na página Single Sign On no Identity via SAML.


Obter dados para a criação do aplicativo

O primeiro passo para realizar a criação de um aplicativo do tipo SAML no fluig Identity é verificar junto ao fornecedor da aplicação que deseja configurar se ela suporta este protocolo na versão 2.0. Alguns exemplos de serviços que suportam a autenticação SAML são o fluig, Zendesk, Box e GoodData.

Neste exemplo utilizaremos o Zendesk para configuração de um aplicativo SAML, portanto é necessário obter os seguintes dados de configuração junto a esse serviçoao serviço e realizar os procedimentos indicados por ele antes de iniciar a criação do aplicativo no Identity. Cada serviço é responsável por disponibilizar a própria documentação de configuração SAML.

Os dados obtidos para configuração do aplicativo SAML do Zendesk neste exemplo foram:

Nome do campoExemplo
Domíniohttps://empresa.zendesk.com/access/
https://empresa.zendesk.com/access/saml/
Destinatáriohttps://empresa.zendesk.com/access/saml/
Públicohttps://empresa.zendesk.com/access/saml/
https://empresa.zendesk.com/access/saml/
Mapeamento ID de UsuárioE-mail do Usuário
Usar URL de Acesso Direto ao AplicativoSim

 Mais informações sobre os campos de configuração de aplicativos SAML podem ser obtidas abaixo.


Criação de um novo aplicativo SAML

 De posse dos dados do serviço, acesse a empresa no fluig Identity para dar continuidade à criação do aplicativo.

Deck of Cards
historyfalse
idsaml
Card
labelPasso 1


 

  • Acesse a empresa no fluig Identity com um usuário administrador. Selecione  Acione o botão de menu, e clique sobre menu Aplicativos.

 


Card
labelPasso 2


 

  • Informe um nome para o novo aplicativo e clique sobre o botão + ou aperte a tecla Enter do tecladoAcione o botão Novo aplicativo e selecione a opção Padrão.
  • Na aba Visão Geral, adicione informe o nome e uma descrição e clique sobre o botão para o aplicativo, e acione Salvar. As demais propriedades do aplicativo, como Categoria e Logo poderão ser definidas futuramente.
  • Após salvar o aplicativo, o fluig Identity exibirá Acesse a aba Entrar automaticamente e acione o botão Editar.

 


Card
labelPasso 3


 

  • Na aba Entrar o administrador deve incluir os dados fornecidos pelo serviço que está sendo cadastrado, neste caso, o Zendesk. Mais informações sobre os campos de configuração de aplicativos SAML podem ser obtidas abaixo.
  • Por padrão, o ID da Entidade (Entity ID) enviado na requisição SAML será "Totvs Labs". Para enviar o URI do contexto como ID da Entidade, marcar a opção ID da Entidade Específica do Domínio (HTTP) ou URL Completa (HTTPS).
  • Assinalar os campos de acordo com cada necessidade:

Sincronizar login SAML com e-mail do AD: Ao assinalar este campo a sincronização do login SAML será realizado com o e-mail do Active Directory.
Enviar grupos pelo SAMLResponse: Ao assinalar este campo, será enviada as tags "GroupId" e "Groupname" na requisição SAML, essas tags conterão os IDs e os nomes dos grupos que o usuário está associado no TOTVS Identity.

  • Ao final, clique em Salvar.

Image RemovedClique para ampliar

 

Image Added


Card
labelPasso 4

  • Uma vez configurado e salvo, o aplicativo pode ser disponibilizado no Launchpad dos usuários. 
  • Acesse a opção Usuários no canto superior direito do aplicativo e clique no botão Adicionar usuários.
  • Busque pelos usuários que devem ter acesso ao novo aplicativo e clique no botão Vincular para que o aplicativo seja incluído no Launchpad.
  • Este mesmo procedimento pode ser realizado para vincular o aplicativo a grupos de usuários cadastrados no fluig Identity.

Image Removed

 

Image Added


Card
labelPasso 5


 

  • Ao invés de atribuir o novo aplicativo diretamente a usuários/grupos, o administrador pode apenas disponibilizá-lo publicamente para que os usuários interessados incluam o aplicativo em seus Launchpads manualmente. Para isso, basta habilitar a opção Navegável localizada na aba Visão Geral do aplicativo.

 



Configurações de um aplicativo SAML
Âncora
config
config

A tabela a seguir exibe o nome das principais propriedades de um arquivo SAML e os respectivos campos na tela de configuração de um aplicativo SAML no Identity.

PropriedadeCampoDescrição
SSOInitTypeInforma se o aplicativo será iniciado pelo Identity Provider (IDP-Initiated) ou pelo Service Provider (SP-Initiated)
NameIdFormatFormato do Name IDO formato da autenticação, que pode ser por endereço de e-mail, persistente (persistent), temporário (transient) ou indeterminado (unspecified).
SignedAssinatura do ResponseInforma se a requisição XML deve ser assinada com a chave privada do Identity. Por padrão, é sempre assinada.
EncryptedResposta CriptografiaInforma se o assertion gerado deve ser criptografado. Por padrão, não é criptografado.
Assertion Consumer Service URLURL do provedor de serviços (SP) que irá receber o XML da requisição de autenticação enviada pelo Identity.
RecipientDestinatárioDestinatário do assertion
AudiencePúblicoReceptor do assertion


Sincronização de login SAML com e-mail do Active Directory

Quando habilitada, a opção Sincronizar login SAML com e-mail do AD mantém o login do usuário no aplicativo SAML sincronizado com o e-mail cadastrado no Active Directory. Ou seja, caso o e-mail seja alterado no AD pelo administrador, esta mudança será sincronizada com o Identity através do SmartSync e refletida tanto no perfil do usuário quanto no login do aplicativo SAML.

Na edição das configurações de entrada de um aplicativo, também é possível alterar o nome das propriedades padrão, que são nome, sobrenome e email (conforme destacado na figura a seguir) e essas alterações refletem no SAMLRequest gerado ao se logar neste aplicativo.

Image Added

Utilização do aplicativo

Após a criação do aplicativo, os usuários cadastrados no contexto da empresa no Identity poderão utilizá-lo para autenticar-se no site/serviço. Se o novo aplicativo criado pelo administrador já estiver disponível no Launchpad do usuário, basta clicar sobre ele para acessar o serviço.

Caso o administrador ainda não tenha vinculado o aplicativo ao usuário, ou a algum dos grupos a que ele pertence, o usuário deve clicar no botão Adicionar App do Launchpad. Será apresentada a lista de aplicativos navegáveis da empresa. O usuário deve buscar pelo aplicativo desejado (por exemplo, "Zendesk SAML") e clicar no botão Adicionar.

Image Added

Ao contrário de aplicativos do tipo Plugin, aplicativos do tipo SAML não exigem que o usuário inclua suas credenciais nas configurações do aplicativo ou baixem o plugin do Identity para utilizá-lo.



HTML
<!-- Hotjar Tracking Code for http://tdn.totvs.com/display/fb -->
<script>
    (function(h,o,t,j,a,r){
        h.hj=h.hj||function(){(h.hj.q=h.hj.q||[]).push(arguments)};
        h._hjSettings={hjid:1280165,hjsv:6};
        a=o.getElementsByTagName('head')[0];
        r=o.createElement('script');r.async=1;
        r.src=t+h._hjSettings.hjid+j+h._hjSettings.hjsv;
        a.appendChild(r);
    })(window,document,'https://static.hotjar.com/c/hotjar-','.js?sv=');
</script>