Configurando os Serviços de Federação do Active Directory usando SSO SAML no Jitterbit App Builder
O App Builder pode se integrar aos Serviços de Federação do Active Directory (AD FS) usando o protocolo SAML Single Sign-On (SSO). O protocolo SAML SSO define os seguintes papéis operacionais:
Ator | Papel |
---|---|
App Builder | Provedor de Serviço (SP) |
AD FS | Provedor de Identidade (IdP) / Serviço de Token de Segurança (STS) |
Usuário | Navegador |
A configuração envolve os seguintes procedimentos:
- Criar um provedor de segurança do App Builder para o AD FS
- Criar uma Confiança de Parte Confiável do AD FS para o App Builder
Requisitos
Para prosseguir, você precisará do seguinte:
- Acesso de administrador ao AD FS.
- Acesso de administrador ao App Builder.
- O App Builder precisará se conectar ao AD FS via HTTPS para recuperar o documento de metadados. O AD FS deve usar um certificado TLS com uma raiz confiável: o App Builder não conseguirá recuperar o documento de metadados se o certificado não for confiável ou estiver de outra forma inválido.
- O App Builder precisará estar disponível via HTTPS. O provedor de segurança "Requer HTTPS" deve estar habilitado (ou outras medidas devem ser tomadas para garantir que o App Builder seja acessível apenas via HTTPS).
- As máquinas clientes precisarão ser configuradas para confiar no AD FS. Caso contrário, o AD FS solicitará que o usuário faça login.
As instruções abaixo se referirão às seguintes propriedades:
Exemplo | Notas | |
---|---|---|
URL do App Builder | https://example.com/Vinyl/ | O App Builder deve ser acessível via HTTPS. A URL deve incluir a barra final. O caminho é sensível a maiúsculas e minúsculas. |
Nome do Provedor | ADFS | Cada provedor de segurança do App Builder recebe um nome lógico. Como o nome do provedor aparecerá na URL do Serviço de Consumidor de Assertiva (veja abaixo), evite espaços, pontuação e caracteres especiais. |
URL do Serviço de Consumidor de Assertiva | https://example.com/Vinyl/signin-Okta | O App Builder provisiona automaticamente um endpoint de Serviço de Consumidor de Assertiva (ACS) para provedores de segurança SAML Single Sign-On (SSO). O AD FS se refere à URL ACS como a "URL do serviço SSO SAML 2.0 da parte confiável". Observe que o Nome do Provedor aparece na URL. |
URI do Público | https://example.com/Vinyl/ | Embora o URI do público seja arbitrário, o AD FS e o App Builder devem usar o mesmo valor. Considere usar a URL do App Builder. |
URL do Documento de Metadados de Federação | https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml | A URL do Documento de Metadados de Federação pode ser recuperada do AD FS. Para fazer isso, inicie o console de gerenciamento do AD FS. Selecione AD FS → Serviço → Endpoints. Localize o endpoint do Tipo Metadados de Federação. |
Criar um provedor de segurança do App Builder para AD FS
Para criar o provedor de segurança, comece fazendo login no App Builder como administrador:
- Navegue até o IDE
- Selecione o botão Security Providers
- No painel User Authentication, clique no botão + User Authentication
-
Forneça o seguinte:
- Name:
Nome do Provedor de Segurança
(veja acima) Exemplo: ADFS - Type: SAML
- Enabled: Marcar
- User Provisioning: Marcar para habilitar o provisionamento de usuários Just-in-Time (JIT)
- Supplies Group Membership: Marcar se o AD FS foi configurado para passar a associação de grupos de usuários
- Show On Login Form: Marcar
- Name:
-
Clique no botão Save
- No painel Properties, clique em + Property
-
Forneça o seguinte:
- Parameter: MetadataEndpoint
-
Value:
URL do Documento de Metadados de Federação
(veja acima).Exemplo:
https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml
-
Clique no ícone Save (Marcar)
- No painel Properties, clique em + Property
-
Forneça o seguinte:
- Parameter: Audience
-
Value:
URI do Público
(veja acima).Exemplo:
https://example.com/Vinyl/
-
Clique no ícone Save (Marcar)
Além disso, quaisquer declarações mapeadas no AD FS precisarão ser mapeadas no App Builder. Por exemplo, para mapear a declaração de email:
- No painel Claim, clique em + Claim
-
Forneça o seguinte:
-
Identifier: Nome do tipo de declaração.
Exemplo:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
-
Usage: Uso do tipo de declaração.
Exemplo: Endereço de Email
-
-
Clique no ícone Save (Marcar)
Criar uma confiança de parte confiável do AD FS para o App Builder
Cada instância do App Builder deve ser registrada no AD FS como uma confiança de parte confiável. Os detalhes completos sobre como criar, configurar e manter as confianças de parte confiável estão fora do escopo deste documento. Para informações adicionais sobre como criar uma confiança de parte confiável do AD FS, consulte o seguinte artigo do TechNet:
https://technet.microsoft.com/en-ca/library/dd807108.aspx
Criar uma confiança de parte confiável requer as seguintes informações:
-
URL do serviço SSO SAML 2.0 da parte confiável: Corresponde à
Assertion Consumer Service URL
.Exemplo:
https://example.com/Vinyl/signin-ADFS
-
Identificador da confiança da parte confiável: Corresponde à propriedade
Audience URI
.Exemplo:
https://example.com/Vinyl/
Você também pode fornecer mapeamentos de reivindicações opcionais. O seguinte artigo do TechNet descreve como criar regras de reivindicação de confiança de parte confiável do AD FS:
https://technet.microsoft.com/en-us/library/dd807115.aspx
As reivindicações comumente mapeadas incluem:
- Endereço de Email -
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
- Membro de Grupo -
http://schemas.xmlsoap.org/claims/Group
Veja Reivindicações para informações adicionais sobre reivindicações.
Solução de Problemas
Imprimir configurações de confiança da parte confiável do AD FS
Execute o seguinte comando PowerShell a partir do servidor AD FS para imprimir as configurações de confiança da parte confiável:
> Get-ADFSRelyingPartyTrust -Identifier https://example.com/Vinyl/signin-ADFS
O argumento Identifier corresponde à Assertion Consumer Service URL
(conforme descrito acima).
Membro de grupo ausente
Por padrão, o ADFS não inclui reivindicações de grupo nas afirmações SAML. Os administradores devem criar uma ou mais regras de reivindicação para incluir a associação de grupo. É possível criar uma única regra de reivindicação que inclua toda a associação de grupo. No entanto, usando a regra "Reivindicação de Grupo" integrada do ADFS, uma regra separada é necessária para cada grupo.
O seguinte artigo descreve como incluir a associação de grupo que corresponda a uma expressão regular (por exemplo, grupos que começam com "App Builder"):
O seguinte artigo descreve como usar expressões regulares em regras de transformação de reivindicações:
Erro "The AudienceRestrictionCondition was not valid because the specified Audience is not present in AudienceUris."
Esse erro indica que a URI do público não corresponde. Certifique-se de que a propriedade Audience foi definida explicitamente. Se não estiver definida, ela será padrão para a URL atual, que pode variar por usuário. O valor é sensível a maiúsculas e minúsculas.