Ir para o conteúdo

Configurando os Serviços de Federação do Active Directory usando SSO SAML no Jitterbit App Builder

O App Builder pode se integrar aos Serviços de Federação do Active Directory (AD FS) usando o protocolo SAML Single Sign-On (SSO). O protocolo SAML SSO define os seguintes papéis operacionais:

Ator Papel
App Builder Provedor de Serviço (SP)
AD FS Provedor de Identidade (IdP) / Serviço de Token de Segurança (STS)
Usuário Navegador

A configuração envolve os seguintes procedimentos:

  1. Criar um provedor de segurança do App Builder para o AD FS
  2. Criar uma Confiança de Parte Confiável do AD FS para o App Builder

Requisitos

Para prosseguir, você precisará do seguinte:

  • Acesso de administrador ao AD FS.
  • Acesso de administrador ao App Builder.
  • O App Builder precisará se conectar ao AD FS via HTTPS para recuperar o documento de metadados. O AD FS deve usar um certificado TLS com uma raiz confiável: o App Builder não conseguirá recuperar o documento de metadados se o certificado não for confiável ou estiver de outra forma inválido.
  • O App Builder precisará estar disponível via HTTPS. O provedor de segurança "Requer HTTPS" deve estar habilitado (ou outras medidas devem ser tomadas para garantir que o App Builder seja acessível apenas via HTTPS).
  • As máquinas clientes precisarão ser configuradas para confiar no AD FS. Caso contrário, o AD FS solicitará que o usuário faça login.

As instruções abaixo se referirão às seguintes propriedades:

Exemplo Notas
URL do App Builder https://example.com/Vinyl/ O App Builder deve ser acessível via HTTPS. A URL deve incluir a barra final. O caminho é sensível a maiúsculas e minúsculas.
Nome do Provedor ADFS Cada provedor de segurança do App Builder recebe um nome lógico. Como o nome do provedor aparecerá na URL do Serviço de Consumidor de Assertiva (veja abaixo), evite espaços, pontuação e caracteres especiais.
URL do Serviço de Consumidor de Assertiva https://example.com/Vinyl/signin-Okta O App Builder provisiona automaticamente um endpoint de Serviço de Consumidor de Assertiva (ACS) para provedores de segurança SAML Single Sign-On (SSO). O AD FS se refere à URL ACS como a "URL do serviço SSO SAML 2.0 da parte confiável". Observe que o Nome do Provedor aparece na URL.
URI do Público https://example.com/Vinyl/ Embora o URI do público seja arbitrário, o AD FS e o App Builder devem usar o mesmo valor. Considere usar a URL do App Builder.
URL do Documento de Metadados de Federação https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml A URL do Documento de Metadados de Federação pode ser recuperada do AD FS. Para fazer isso, inicie o console de gerenciamento do AD FS. Selecione AD FS → Serviço → Endpoints. Localize o endpoint do Tipo Metadados de Federação.

Criar um provedor de segurança do App Builder para AD FS

Para criar o provedor de segurança, comece fazendo login no App Builder como administrador:

  1. Navegue até o IDE
  2. Selecione o botão Security Providers
  3. No painel User Authentication, clique no botão + User Authentication
  4. Forneça o seguinte:

    • Name: Nome do Provedor de Segurança (veja acima) Exemplo: ADFS
    • Type: SAML
    • Enabled: Marcar
    • User Provisioning: Marcar para habilitar o provisionamento de usuários Just-in-Time (JIT)
    • Supplies Group Membership: Marcar se o AD FS foi configurado para passar a associação de grupos de usuários
    • Show On Login Form: Marcar
  5. Clique no botão Save

  6. No painel Properties, clique em + Property
  7. Forneça o seguinte:

    • Parameter: MetadataEndpoint
    • Value: URL do Documento de Metadados de Federação (veja acima).

      Exemplo: https://fs.example.com/FederationMetadata/2007-06/FederationMetadata.xml

  8. Clique no ícone Save (Marcar)

  9. No painel Properties, clique em + Property
  10. Forneça o seguinte:

    • Parameter: Audience
    • Value: URI do Público (veja acima).

      Exemplo: https://example.com/Vinyl/

  11. Clique no ícone Save (Marcar)

Além disso, quaisquer declarações mapeadas no AD FS precisarão ser mapeadas no App Builder. Por exemplo, para mapear a declaração de email:

  1. No painel Claim, clique em + Claim
  2. Forneça o seguinte:

    • Identifier: Nome do tipo de declaração.

      Exemplo: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

    • Usage: Uso do tipo de declaração.

      Exemplo: Endereço de Email

  3. Clique no ícone Save (Marcar)

Criar uma confiança de parte confiável do AD FS para o App Builder

Cada instância do App Builder deve ser registrada no AD FS como uma confiança de parte confiável. Os detalhes completos sobre como criar, configurar e manter as confianças de parte confiável estão fora do escopo deste documento. Para informações adicionais sobre como criar uma confiança de parte confiável do AD FS, consulte o seguinte artigo do TechNet:

https://technet.microsoft.com/en-ca/library/dd807108.aspx

Criar uma confiança de parte confiável requer as seguintes informações:

  • URL do serviço SSO SAML 2.0 da parte confiável: Corresponde à Assertion Consumer Service URL.

    Exemplo: https://example.com/Vinyl/signin-ADFS

  • Identificador da confiança da parte confiável: Corresponde à propriedade Audience URI.

    Exemplo: https://example.com/Vinyl/

Você também pode fornecer mapeamentos de reivindicações opcionais. O seguinte artigo do TechNet descreve como criar regras de reivindicação de confiança de parte confiável do AD FS:

https://technet.microsoft.com/en-us/library/dd807115.aspx

As reivindicações comumente mapeadas incluem:

  • Endereço de Email - http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  • Membro de Grupo - http://schemas.xmlsoap.org/claims/Group

Veja Reivindicações para informações adicionais sobre reivindicações.

Solução de Problemas

Execute o seguinte comando PowerShell a partir do servidor AD FS para imprimir as configurações de confiança da parte confiável:

> Get-ADFSRelyingPartyTrust -Identifier https://example.com/Vinyl/signin-ADFS

O argumento Identifier corresponde à Assertion Consumer Service URL (conforme descrito acima).

Membro de grupo ausente

Por padrão, o ADFS não inclui reivindicações de grupo nas afirmações SAML. Os administradores devem criar uma ou mais regras de reivindicação para incluir a associação de grupo. É possível criar uma única regra de reivindicação que inclua toda a associação de grupo. No entanto, usando a regra "Reivindicação de Grupo" integrada do ADFS, uma regra separada é necessária para cada grupo.

O seguinte artigo descreve como incluir a associação de grupo que corresponda a uma expressão regular (por exemplo, grupos que começam com "App Builder"):

http://social.technet.microsoft.com/wiki/contents/articles/8008.ad-fs-2-0-selectively-send-group-membership-s-as-a-claim.aspx

O seguinte artigo descreve como usar expressões regulares em regras de transformação de reivindicações:

http://social.technet.microsoft.com/wiki/contents/articles/16161.ad-fs-2-0-using-regex-in-the-claims-rule-language.aspx

Erro "The AudienceRestrictionCondition was not valid because the specified Audience is not present in AudienceUris."

Esse erro indica que a URI do público não corresponde. Certifique-se de que a propriedade Audience foi definida explicitamente. Se não estiver definida, ela será padrão para a URL atual, que pode variar por usuário. O valor é sensível a maiúsculas e minúsculas.