Configurando o Auth0
Auth0 é um provedor de identidade (IdP) que oferece suporte a vários protocolos de autenticação, incluindo autenticação SAML Single Sign-On (SSO). App Builder integra-se com o Auth0 como um Provedor de Serviços (SP). Cada App Builder instância deve ser integrada individualmente com Auth0 e vice-versa. Há três tarefas principais envolvidas:
- Registrar App Builder como um cliente Auth0.
- Configure o Auth0 como an App Builder provedor de Segurança.
- Mapa App Builder usuários para identidades Auth0.
Presume-se que sua organização já tenha uma conta Auth0 existente.
As instruções abaixo se referirão às seguintes propriedades:
Exemplo | Notas | |
---|---|---|
App Builder URL do aplicativo | https://example.com/App Builder/ | A URL de onde App Builder é hospedado. Inclui a barra final. |
Nome do Provedor de Segurança | Auth0 | Cada App Builder o provedor de segurança recebe um nome lógico. Este nome é usado no URL do Assertion Consumer Service (ACS). |
URL do Serviço de Asserção ao Consumidor | https://example.com/App Builder/signin-Auth0 | App Builder provisiona automaticamente uma URL do Assertion Consumer Service (ACS) para provedores de segurança SAML Single Sign-On (SSO). Auth0 se refere à URL do ACS como " URL de retorno de chamada". Observe que o Nome do Provedor de Segurança Auth0 aparece na URL do ACS. |
Registrar App Builder como um Cliente Auth0
Para registrar App Builder como um cliente Auth0, comece entrando no painel Auth0 como um Administrador do Painel.
-
Selecione o link do menu Clientes.
-
Clique no botão Criar cliente.
-
Forneça o Nome do cliente.
- Para o Tipo de cliente, escolha Aplicativos da Web regulares.
- Clique no botão Criar.
- Clique na aba Addons.
-
Selecione a opção SAML2 Web App.
-
Para o URL de retorno de chamada do aplicativo, forneça o URL do serviço de consumidor de asserção.
Example: https://example.com/App Builder/signin-Auth0
-
Clique na aba Uso.
-
Observe a URL de metadados do provedor de identidade, ou seja, clique com o botão direito do mouse no link Download e escolha Copiar endereço do link.
https://example.auth0.com/samlp/metadata/aBcDeFgHiJkLmNoPqRsTuVwXyZ
-
Clique no botão Salvar.
Observe que o logon único (SSO) não é habilitado por padrão. Se você precisar de logon único:
-
Clique na aba Configurações.
-
Habilite a opção Usar Auth0 em vez do IdP para fazer logon único.
-
Clique no botão Salvar.
Configurar Auth0 Como an App Builder provedor de Segurança
Para configurar o Auth0 como an App Builder provedor de segurança, comece fazendo login App Builder como administrador.
- Navegue até o IDE
- Selecione o botão Provedores de segurança
- No painel Autenticação da fonte de dados, clique no botão + Autenticação da fonte de dados
-
Forneça o seguinte:
-
Nome: {Nome do Provedor de Segurança}
Exemplo: Auth0
-
Tipo: SAML
-
Prioridade: Um inteiro exclusivo entre 10 e 100. Observe que esse valor deve ser único.
Exemplo: 50
-
Habilitado: Verificar
- Provisionamento de usuário: marque para habilitar o provisionamento de usuário just-in-time
- Suprimentos de associação ao grupo: Verifique se o Auth0 foi configurado para passar a associação ao grupo de usuários.
- Redirecionamento em caso de desafio: se estiver habilitado, o cliente da web ignorará o formulário de login, redirecionando o usuário para o provedor OAuth
- Mostrar no formulário de login: Verificar
-
-
Clique no botão Salvar
- No painel Propriedades, clique no botão + Propriedade
- Na lista de seleção de parâmetros, selecione MetadataEndpoint
-
Para o Valor, forneça o link {Metadados do Provedor de Identidade} (veja acima).
Example: https://example.auth0.com/samlp/metadata/aBcDeFgHiJkLmNoPqRsTuVwXyZ
-
Clique no ícone Salvar (Verificar)
Mapa App Builder usuários para Identidades Auth0
Com Provisionamento de Usuário
Se você habilitou o provisionamento de usuários conforme descrito acima e tentar fazer login, você poderá ser redirecionado de volta para o App Builder formulário de login com a seguinte mensagem:
A conta do usuário (
arthur.dent@example.com
) não recebeu acesso a um aplicativo.
Embora App Builder conseguiu provisionar o usuário com sucesso, o usuário não tem acesso a nenhum App Builder aplicativos por padrão. Supondo que o usuário Auth0 tenha sido adicionado a um ou mais grupos e que a Associação ao Grupo de Suprimentos esteja habilitada (conforme descrito acima), você precisará mapear os grupos de segurança Auth0 para App Builder grupos de segurança.
Para mapear grupos de segurança Auth0 para App Builder grupos de segurança, comece fazendo login em App Builder como administrador.
- Navegue até o IDE
- Selecione o botão Gerenciamento de usuários
- Clique na aba Identidades
- No painel Provedores, localize e selecione o provedor de segurança Auth0
- No painel Provider Groups, localize um grupo Auth0 que você gostaria de mapear e clique no ícone Edit (Lápis). Se ele não aparecer, clique em + Group e configure um registro adequadamente.
- Selecione o App Builder security Grupo para o qual o grupo Auth0 será mapeado
- Clique no botão Salvar
Consulte a seção sobre mapeamento de identidade e grupo para obter mais informações.
Sem Provisionamento de Usuário
Se você não habilitou o provisionamento de usuário, a autenticação terá falhado com uma mensagem semelhante à seguinte:
Embora você tenha autenticado com sucesso com Auth0, a conta
arthur.dent@example.com
(auth0|aBcDeFgHiJkLmNoPqRsTuVwZyZ
) não está associado a uma conta local.
Na mensagem acima, arthur.dent@example.com
é o nome do usuário (chamado de "nome" na autenticação de claims). A parte entre parênteses é o identificador exclusivo (chamado de "identificador de nome" na autenticação de claims). Você precisará dessas duas informações para a próxima etapa.
Para mapear an App Builder conta de usuário para uma identidade Auth0, comece fazendo login App Builder como administrador:
- Navegue até o IDE
- Selecione o botão Gerenciamento de usuários
- Selecione Usuários no menu
- No painel Usuários, localize e selecione o usuário que você gostaria de mapear
- No painel Identidades, clique no botão + Identidade
-
Forneça o seguinte:
- Provedor: Auth0 (ou o nome escolhido na seção anterior)
- Nome: O nome de usuário Auth0 (veja acima)
- Identificador: O identificador de nome Auth0 (veja acima)
-
Clique no ícone Salvar (Verificar)
Solução de Problemas
O usuário é redirecionado de volta para a página de login após efetuar login.
-
Se Provisionamento foi habilitado, então o usuário pode ter sido criado, mas não atribuído a nenhum grupo ou os grupos aos quais o usuário foi atribuído não receberam acesso a nenhum App Builder aplicativos. O único grupo atribuído a novos usuários por padrão (ou seja, tem a opção Conceder na criação de usuário habilitada) é o grupo Usuários. Este grupo não tem acesso concedido a nenhum aplicativo por padrão.
- Se a opção Associação ao grupo de suprimentos tiver sido habilitada, App Builder terá registrado todos os grupos Auth0 passados por meio de uma asserção SAML. Entre como administrador e mapeie os grupos Auth0 para App Builder grupos de segurança.
- Se a opção Supplies Group Membership não tiver sido habilitada, o provedor de segurança Auth0 não terá nenhum grupo. Entre como administrador e defina um ou mais grupos de provedores Auth0 com a opção Grant On Identity Create habilitada e mapeie os grupos de provedores para App Builder grupos de segurança.
-
Se o provedor de segurança Exigir HTTPS não tiver sido habilitado, o usuário poderá iniciar o processo SAML SSO de uma URL não segura (por exemplo,
http://example.com/
). No entanto, o Auth0 pode retornar o usuário ao URL seguro do Assertion Consumer Service (ACS) (https://example.com/signin-Auth0
). App Builder autentica o usuário no contexto da URL segura antes de retornar o usuário para a URL não segura. Na verdade, o usuário tem duas sessões separadas. Para resolver esse problema, habilite o provedor de segurança Require HTTPS.