Ir para o conteúdo

Transforme as suas conexões em um bônus de fim de ano com o nosso novo Programa de Indicação de Clientes! Saiba mais

Esta documentação é para a versão 4 e posterior do App Builder, o novo nome do Vinyl. Acesse a documentação do Vinyl aqui.

Configurando os Serviços de Federação do Active Directory usando o logon único SAML no Jitterbit App Builder

O App Builder pode ser integrado ao Active Directory Federation Services (AD FS) usando o protocolo SAML Single Sign-On (SSO). O protocolo SAML SSO define as seguintes funções operacionais:

Ator Papel
App Builder Provedor de serviços (SP)
AD FS Provedor de identidade (IdP) / Serviço de token de segurança (STS)
Usuário Navegador

A configuração envolve os seguintes procedimentos:

  1. Crie um provedor de segurança do App Builder para o AD FS
  2. Crie uma AD FS Relying Party Trust para o App Builder

Requisitos

Para prosseguir, você precisará do seguinte:

  • Acesso de administrador ao AD FS.
  • Acesso de administrador ao App Builder.
  • O App Builder precisará se conectar ao AD FS via HTTPS para recuperar o documento de metadados. O AD FS deve usar um certificado TLS com uma raiz confiável: o App Builder não poderá recuperar o documento de metadados se o certificado não for confiável ou inválido.
  • O App Builder precisará estar disponível via HTTPS. O provedor de segurança Require HTTPS deve ser habilitado (ou outras medidas devem ser tomadas para garantir que o App Builder seja acessível somente via HTTPS).
  • As máquinas cliente precisarão ser configuradas para confiar no AD FS. Caso contrário, o AD FS solicitará que o usuário faça login.

As instruções abaixo farão referência às seguintes propriedades:

Exemplo Notas
URL do App Builder https://example.com/App Builder/ O App Builder deve ser acessível via HTTPS. A URL deve incluir a barra final. O caminho diferencia maiúsculas de minúsculas.
Nome do Provedor ADFS Cada provedor de segurança do App Builder recebe um nome lógico. Como o nome do provedor aparecerá na URL do Assertion Consumer Service (veja abaixo), evite espaços, pontuação e caracteres especiais.
URL do Assertion Consumer Service https://example.com/App Builder/signin-Okta O App Builder provisiona automaticamente um endpoint do Assertion Consumer Service (ACS) para provedores de segurança SAML Single Sign-On (SSO). O AD FS se refere à URL do ACS como " URL do serviço SSO SAML 2.0 da parte confiável". Observe que o Nome do Provedor aparece na URL.
URI do público https://example.com/App Builder/ Embora o URI do público seja arbitrário, o AD FS e o App Builder devem usar o mesmo valor. Considere usar o URL do App Builder.
URL do documento de metadados da federação https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml A URL do documento de metadados da federação pode ser recuperada do AD FS. Para fazer isso, inicie o console de gerenciamento do AD FS. Selecione AD FS → Serviço → Endpoints. Localize o endpoint do tipo Metadados da federação.

Crie um provedor de segurança do App Builder para AD FS

Para criar o provedor de segurança, comece entrando no App Builder como administrador:

  1. Navegue até o IDE
  2. Selecione o botão Provedores de segurança
  3. No painel Autenticação do usuário, clique no botão + Autenticação do usuário

  4. Forneça o seguinte:

    • Nome: Security Provider Name (veja acima) Exemplo: ADFS
    • Tipo: * SAML*
    • Habilitado: Verificar
    • Provisionamento de usuário: marque para habilitar o provisionamento de usuário Just-in-Time (JIT)
    • Suprimentos Associação ao Grupo: Verifique se o AD FS foi configurado para passar associação ao grupo de usuários
    • Mostrar no formulário de login: Verificar

  5. Clique no botão Salvar

  6. No painel Propriedades, clique em + Propriedade

  7. Forneça o seguinte:

    • Parâmetro: MetadataEndpoint

    • Valor: Federation Metadata Document URL(veja acima).\

      Exemplo: https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml

  8. Clique no ícone Salvar (Verificar)

  9. No painel Propriedades, clique em + Propriedade

  10. Forneça o seguinte:

    • Parâmetro: Público

    • Valor: Audience URI(veja acima).

      Exemplo: https://example.com/App Builder/

  11. Clique no ícone Salvar (Verificar)

Além disso, quaisquer declarações mapeadas no AD FS precisarão ser mapeadas no App Builder. Por exemplo, para mapear a declaração de email:

  1. No painel Reivindicação, clique em + Reivindicação

  2. Forneça o seguinte:

    • Identificador: Nome do tipo de reivindicação.

      Exemplo: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Uso: Uso do tipo de declaração.

      Exemplo: * Endereço de Email *

  3. Clique no ícone Salvar (Verificar)

Crie uma confiança de terceira parte confiável do AD FS para o App Builder

Cada instância do App Builder deve ser registrada no AD FS como um trust de terceira parte confiável. Os detalhes completos de criação, configuração e manutenção de trusts de terceira parte confiável estão fora do escopo deste documento. Para obter informações adicionais descrevendo como criar um trust de terceira parte confiável do AD FS, consulte o seguinte artigo do TechNet:

https://technet.microsoft.com/en-ca/library/dd807108.aspx

A criação de um trust de parte confiável requer as seguintes informações:

  • URL do serviço SSO SAML 2.0 da parte confiável: Corresponde ao Assertion Consumer Service URL.

    Exemplo: https://example.com/App Builder/signin-ADFS

  • Identificador de confiança da parte confiável: Corresponde ao Audience URIpropriedade.

    Exemplo: https://example.com/App Builder/

Você também pode fornecer mapeamentos de reivindicação opcionais. O seguinte artigo do TechNet descreve como criar regras de reivindicação de confiança de terceira parte confiável do AD FS:

https://technet.microsoft.com/en-us/library/dd807115.aspx

As reivindicações comumente mapeadas incluem:

  • Endereço de Email - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Associação de Grupo - http://schemas.xmlsoap.org/claims/Group

Veja Reivindicações para obter informações adicionais sobre reivindicações.

Solução de problemas

Execute o seguinte comando do PowerShell no servidor AD FS para imprimir as configurações de confiança da parte confiável:

> Get-ADFSRelyingPartyTrust -Identifier https://example.com/App Builder/signin-ADFS

O argumento Identificador corresponde ao Assertion Consumer Service URL(conforme descrito acima).

Associação de grupo ausente

Por padrão, o ADFS não inclui declarações de grupo em asserções SAML. Os administradores devem criar uma ou mais regras de declaração para incluir associação de grupo. É possível criar uma única regra de declaração que inclua todas as associações de grupo. No entanto, usando a regra interna "Reivindicação de Grupo" do ADFS, uma regra separada é necessária para cada grupo.

O artigo a seguir descreve como incluir associação de grupo correspondente a uma expressão regular (por exemplo, grupos que começam com "App Builder"):

http://social.technet.microsoft.com/wiki/contents/articles/8008.ad-fs-2-0-selectively-send-group-membership-s-as-a-claim.aspx

O artigo a seguir descreve como usar expressões regulares em regras de transformação de declarações:

http://social.technet.microsoft.com/wiki/contents/articles/16161.ad-fs-2-0-using-regex-in-the-claims-rule-language.aspx

Erro "A AudienceRestrictionCondition não era válida porque o público especificado não está presente em AudienceUris."

Este erro indica que o URI do público não corresponde. Certifique-se de que a propriedade Audience tenha sido definida explicitamente. Se não for definida, o padrão será o URL atual, que pode variar de acordo com o usuário. O valor diferencia maiúsculas de minúsculas.