Guia de Configuração do Google SAML
Finalidade do Documento
Para descrever as etapas de configuração necessárias para configurar App Builder usar o Google como um provedor de segurança externo SAML para lidar com a autenticação do usuário.
Introdução
O SAML usa a terminologia de IdP (Identity Provider) e SP (Service Provider) para descrever os dois sistemas participantes em uma configuração SAML. Neste caso, o Google Workspace é o IdP e o App Builder instância é o SP.
Configurar autenticação externa requer configuração tanto no IdP quanto no SP. Em ambos os casos, direitos administrativos são necessários.
Importante
Os valores de exemplo fornecidos neste guia são representativos, mas fictícios, e não devem ser usados em configurações do mundo real.
Passos em App Builder
Crie um Provedor de Segurança
- Entre em App Builder como administrador
- Navegue até IDE > Provedores de segurança
- Na seção Autenticação do usuário, + Autenticação do usuário um novo Provedor de segurança
-
Preencha os seguintes valores:
- Nome: nome breve e descritivo para o provedor de segurança. Idealmente, evite espaços. Esta sequência, em sua forma exata, torna-se parte do ACS URL.
- Tipo: Autenticação externa > SAML
- Prioridade: aceitar sugestão padrão ou atualizar conforme sua preferência
- Habilitado: Verificar
- Redirecionamento no Desafio: Verificar
- Mostrar no formulário de login: Verificar
- Provisionamento de usuário: Verificar
- Store Claims: Verificar. Esta configuração é importante ao configurar e solucionar problemas inicialmente, mas pode ser removida mais tarde, se desejado.
-
Clique em Salvar
Etapas no Google Workspace
Nota
Observe que você deve ser um Superadministrador do seu Google Workspace para executar essas etapas.
Configure Seu Aplicativo SAML Personalizado
- Entre no seu console do Google Admin
- Na página inicial do console de administração, acesse Aplicativos > Aplicativos da Web e móveis
- Clique em Adicionar aplicativo > Adicionar aplicativo SAML personalizado
-
Na página Detalhes do aplicativo:
- Insira o App Name do aplicativo personalizado. Por exemplo: App Builder instância. Normalmente, você especificaria Dev, QA ou Prod, ou a finalidade da instância, se diferente, como parte do Nome do aplicativo. Este valor é usado somente como um rótulo no Google Workspace e não é usado em nenhum outro lugar.
- (Opcional) Carregue um ícone do aplicativo. Se você não carregar um ícone, um ícone será criado usando as duas primeiras letras do Nome do aplicativo.
Exemplo de configuração de aplicativo SAML personalizado
-
Clique em Continuar
-
Na página de detalhes do Provedor de Identidade do Google, observe as informações de configuração exigidas pelo provedor de serviços. Esses valores são específicos para a conta do Google Workspace e não genéricos:
- URL SSO: Por exemplo:
https://accounts.google.com/o/saml2/idp?idpid=C01D02E032
- ID da entidade: Por exemplo:
https://accounts.google.com/o/saml2?idpid=C01D02E032
- Certificado
- URL SSO: Por exemplo:
-
Clique em Continuar. Você pode retornar a esses valores mais tarde clicando em Baixar Metadados.
- Na janela Service Provider Details, insira um ACS URL e um Entity ID para seu aplicativo personalizado. Observe que as partes do caminho dos seguintes URLs diferenciam maiúsculas de minúsculas (ou seja, a parte após o FQDN).
-
URL ACS: A URL do App Builder raiz da instância, com o seguinte anexado:
/signin-<name of service provider>
- Por exemplo:
https://example.zudy.com/App Builder/signin-GoogleSAML
- Nota: O URL do ACS deve começar com
https://
- Por exemplo:
-
ID da entidade: A raiz do App Builder instância. Isso deve terminar com uma barra. - Por exemplo:
https://example.zudy.com/App Builder/
- Marque a caixa Resposta assinada
- O formato padrão ID do nome pode ser deixado como padrão ( email principal).
-
Informações adicionais sobre mapeamento de ID de nome podem ser encontradas aqui: Catálogo de aplicativos SAML. Se necessário, você também pode criar atributos personalizados, no console de administração ou por meio de APIs do SDK do administrador do Google e mapeie para eles. Atributos personalizados precisam ser criados antes de configurar seu aplicativo SAML e geralmente não são necessários para App Builder. Exemplo de configuração:
Configuração personalizada do aplicativo SAML no Google Workspace
-
Clique em Continuar
- Na página Mapeamento de Atributos, observe que mapeamentos adicionais podem ser criados se necessário e clique em Concluir. Se forem necessários mapeamentos adicionais, eles podem ser configurados posteriormente. Ao configurar mapeamentos, os valores do Atributo do Aplicativo devem corresponder aos valores do Identificador especificados em App Builder em Tipos de reivindicação.
- Clique em Concluir
- Na página Aplicativo (em Aplicativos da Web e móveis), clique na seta para baixo na seção Acesso do usuário
-
O acesso pode ser configurado para Grupos, Unidades organizacionais ou para Todos os usuários na conta. Para simplificar, recomendamos ativar o acesso para todos. Se apenas um número limitado de usuários precisar ter acesso, consulte a documentação do Google Workspace para criar e configurar Grupos e Unidades organizacionais e para atribuir acesso ao aplicativo nesse nível.
Nota
Quando o acesso é configurado pela primeira vez, o Google Workspace informa que pode levar até 24 horas para que essa alteração seja propagada para todos os usuários. Ao testar, se um erro for recebido indicando que o usuário não tem acesso ao aplicativo ou que ele não está habilitado para ele, certifique-se de que tempo suficiente tenha passado após a configuração antes de testar novamente.
-
Isso conclui as etapas no Google Workspace. Para obter informações adicionais, consulte: https://support.google.com/a/answer/6087519
Passos em App Builder
Configurar Propriedades do Provedor de Segurança e Tipos de Declaração
- Retorne à página de configuração do Provedor de Serviços criada nas etapas 1 a 5 do App Builder configuração descrita anteriormente
- Na seção Propriedades, + Propriedade e Salvar as seguintes propriedades com os seguintes valores especificados:
- Público: a raiz do App Builder instância. Por exemplo:
https://example.zudy.com/App Builder/
- Observação: isso corresponderá ao ID da entidade configurado no Google Workspace
- Destinatário: Isso corresponderá ao URL do ACS configurado no Google Workspace e consiste no URL de App Builder raiz da instância, com o seguinte anexado:
/signin-<name of service provider>
- Por exemplo:
https://example.zudy.com/App Builder/signin-GoogleSAML
- Por exemplo:
- RequestRedirectEndpoint: Este é o URL do SSO do Google Workspace, veja a etapa 6 das etapas de configuração do Google. Por exemplo:
https://accounts.google.com/o/saml2/idp?idpid=C01D02E032
- SigningCertificate: Esta é a longa sequência de texto da etapa 6. Ao copiar o certificado, certifique-se de excluir
BEGIN
eEND
e remova quaisquer quebras de linha ou espaços iniciais/finais.-
Exemplo de conteúdo de certificado que deve ser copiado:
MIIDdDCCAlygAwIBAgIGAXy6QtfkMA0GCSqGSIb3DQEBCwUAMHsxFDASBgNVBAoTC0dvb2dsZSBJ bmMuMRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MQ8wDQYDVQQDEwZHb29nbGUxGDAWBgNVBAsTD0dv b2dsZSBGb3IgV29yazELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNhbGlmb3JuaWEwHhcNMjExMDI2 MDE0MTU0WhcNMjYxMDI1MDE0MTU0WjB7MRQwEgYDVQQKEwtHb29nbGUgSW5jLjEWMBQGA1UEBxMN TW91bnRhaW4gVmlIjANBgkqhkiG9w0BAQEFAAOCAQ8A MIIBCgKCAQEAlwzhMrwH3WO1rbv5Ftkkg7USOhE6bBl7xVPyy3o6HCq1Rcnh/T5zsvmNyLQ3n7GL Q7AomWFRTa8sriXQPqz8xT67fVq5tWpl3t0CiJ36XxM8AUd1u9juaxSTdYFDRQf5JCvE/RK1aqR/ qVIqU/keehoozfhMM9jlrxqNfcwKPiKb3583jHGpu6TvSet4Dmg5NzE0y28ZFDaB2NBa0fE9euEq o3Ulf2uqY2RSGw8x92d8YMLX/1qZtp+/xkYmAQaIUNGe0PhHpLoDhjxNN6RVRESiA/Jkcyc6ZCUd Wn+6B5ZNq0X4OZkdfgkjfgdskrTTSRFASSF3333fgfsg/LZNPSDlbwJId2SX48ejzbcNpGBWCPPKNeSwIDAQABMA0GCSqGSIb3DQEBCwUA A4IBAQBzokabj8aD6/DStvpzuUPn0P/EIu4fKEx8MwsDnKzGC0s/3EcWZuiutKmaTdLbWY2BJhZmaj 5mg8Xs+EtGAQqZ2DxFJDeyWruGMKW3S5NMMtZC+w8fj7kdHRByBTVgEqAGfehCoP7zjf7jAQfLe/ wjeehVlc8Q0nNzueNNrPQABgdyAuknS5Syzkjl8Wmd611uUjMXlBsoLY3gBvSuF8WNzqQXYOUQuL OIJXJ2K/o8dBNRQC015ygcRi57nHaBMTh3BL22jMX
-
- Público: a raiz do App Builder instância. Por exemplo:
Configurar Tipos de Declaração do Provedor de Segurança (opcional)
- Retorne à página de configuração do Provedor de Serviços ou minimize o painel Propriedades
- Na seção Claims, + Claim e Save o seguinte Claim Type. Isso é opcional, mas garantirá que o atributo Email Address do App Builder o usuário será preenchido quando o usuário fizer login App Builder usando o provedor de autenticação externo.
-
Clique em + Claim e use os seguintes valores:
- Identifier:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier
- Uso: Endereço de email
- Nome: rótulo descritivo. Por exemplo: Endereço Email
- Identifier:
-
Clique em Salvar
Testando
Neste ponto, a configuração está pronta para teste. É recomendado que todos os testes sejam realizados em novas janelas do navegador Incognito ou Private, ou em um navegador alternativo.
Etapas de Teste
- No Google Workspace, em Aplicativos da Web e móveis, clique em TESTAR LOGIN SAML e analise o resultado
-
Navegue até a página de login do App Builder instância e:
- Confirme se o novo método de autenticação é exibido apropriadamente
- Tente fazer login com o novo método de autenticação e revise o resultado. Isso deve ser feito com um login separado daquele usado para administrar App Builder.
-
Se forem relatados erros, revise toda a configuração e confirme se os elementos necessários para a correspondência estão corretos – diferenciando maiúsculas de minúsculas e com / final correspondente, etc.
- Se for recebido um erro de uma página do Google informando que o aplicativo não está habilitado para o usuário, confirme se as etapas 17 e 18 foram concluídas e que algum tempo passou permitindo que o acesso se propagasse por todo o Google Workspace.
- Se todas as configurações estiverem presentes e parecerem corretas, mas a autenticação externa ainda não estiver funcionando, entre em contato com App Builder apoiar.