Configurando o App Builder como um provedor de identidade no Jitterbit App Builder
O App Builder pode servir tanto como um SAML Service Provider (SP) quanto como um SAML Identity Provider (IdP). Isso permite que uma instância do Viny (o IdP) autentique usuários em nome de outra instância (o SP).
Há quatro tarefas principais envolvidas:
- Gere um certificado de assinatura.
- Crie um provedor de segurança SAML IdP.
- Crie um provedor de segurança SAML SP.
- Teste
Estas instruções fazem as seguintes suposições:
- Você tem pelo menos duas instâncias do App Builder.
- Você tem acesso de administrador a cada instância do App Builder.
As instruções abaixo farão referência às seguintes propriedades:
| Exemplo | Notas | |
|---|---|---|
| URL do IdP do App Builder | https://idp.example.com/App Builder/ | A URL raiz do aplicativo da instância do App Builder que serve como IdP. Inclui a barra final. |
| URL do App Builder SP | https://sp.example.com/App Builder/ | A URL raiz do aplicativo da instância do App Builder que serve como SP. Inclui a barra final. |
| Nome do Provedor de Segurança IdP | App BuilderIdP | Cada provedor de segurança do App Builder recebe um nome lógico. Esse nome é usado no Request Redirect Endpoint (veja abaixo). |
| Nome do Provedor de Segurança SP | App BuilderSP | Cada provedor de segurança do App Builder recebe um nome lógico. Esse nome é usado na URL do Assertion Consumer Service (ACS) (veja abaixo). Esse é o nome que os usuários verão no formulário de login. |
| Request Redirect Endpoint | https://idp.example.com/App Builder/signin-App BuilderIdP | O App Builder provisiona automaticamente um Request Redirect Endpoint para provedores de segurança SAML IdP. Observe que o IdP Security Provider Name (acima) aparece no Request Redirect Endpoint. |
| URL do Assertion Consumer Service | https://sp.example.com/App Builder/signin-App BuilderSP | O App Builder provisiona automaticamente um endpoint do Assertion Consumer Service (ACS) para provedores de segurança SAML SP. Observe que o SP Security Provider Name aparece no endpoint do ACS. |
Gerar um certificado de assinatura
No SAML Single Sign-On (SSO), a confiança é estabelecida por meio de certificados de assinatura. O processo para adquirir um certificado está fora do escopo deste documento. No entanto, para fins ilustrativos, os comandos a seguir demonstram como gerar um certificado compatível usando o utilitário de linha de comando OpenSSL.
O comando a seguir gera uma chave privada codificada em PEM (key.pem) e certificado autoassinado (cert.pem):
$ openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -nodes -days 1095 -subj "/CN=idp.example.com/O=App BuilderIdP"
Você precisará do conteúdo do cert.pem arquivo para configurar o provedor de segurança do App Builder SP.
O comando a seguir gera um arquivo PKCS#12 (cert.pfx) contendo a chave privada e o certificado:
$ openssl pkcs12 -export -in cert.pem -inkey key.pem -out cert.pfx
Você será solicitado a fornecer uma senha. Você precisará da senha para configurar o provedor de segurança App Builder IdP.
Por fim, o comando a seguir codifica o arquivo PKCS#12 em base64:
$ openssl base64 -in cert.pfx -out cert.txt -A
Você precisará do conteúdo do cert.txt arquivo para configurar o provedor de segurança IdP do App Builder .
Crie um provedor de segurança SAML IdP
Para criar um provedor de segurança SAML IdP, comece entrando na instância do App Builder que servirá como IdP.
- Navegue até o IDE
- Clique no botão Provedores de segurança
- No painel Autenticação do usuário, clique no botão + Autenticação do usuário
-
Forneça o seguinte:
- Nome: Nome do provedor de segurança IdP, por exemplo
App BuilderIdP - Tipo: Provedor de identidade SAML
- Nome: Nome do provedor de segurança IdP, por exemplo
-
Clique no botão Salvar
-
No painel Propriedades, clique no botão + Propriedade para adicionar cada uma das seguintes propriedades:
- AssertionConsumerService: URL do serviço do consumidor de asserção, por exemplo
https://sp.example.com/App Builder/signin-App BuilderSP. - Público: URL do SP do App Builder, por exemplo
https://sp.example.com/App Builder/. - Emissor: URL do IdP do App Builder, por exemplo
https://idp.example.com/App Builder/. - Destinatário: URL do serviço de consumidor de asserção, por exemplo
https://sp.example.com/App Builder/signin-App BuilderSP. - SigningCertificate: arquivo PKCS#12 codificado em base64 (consulte Gerar um certificado de assinatura).
- SigningCertificatePassword: senha do certificado de assinatura (consulte Gerar um certificado de assinatura).
- AssertionConsumerService: URL do serviço do consumidor de asserção, por exemplo
-
No painel Claims, clique no botão + Claim para mapear cada uma das seguintes propriedades:
- Name:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name - Grupo:
http://schemas.xmlsoap.org/claims/Group
- Name:
-
No painel Provedor, clique no botão Editar
- Marque a opção Habilitado
- Clique no botão Salvar
As etapas acima incluem uma reivindicação de grupo. A reivindicação de grupo é usada para passar a associação de grupo para o SP. No entanto, os grupos não são passados por padrão. Para passar um grupo, você deve adicioná-lo ao provedor de segurança IdP. Por exemplo:
- Navegue até o IDE
- Clique no botão Gerenciamento de usuários
- Clique no botão Identidades
- Selecione o provedor de segurança IdP, por exemplo.
App BuilderIdP - No painel Grupos de Provedores, clique no botão + Grupo
- Forneça um Nome, por exemplo.
Administrators - Selecione o Grupo, por exemplo
Administrators - Clique no botão Salvar
Crie um provedor de segurança SAML SP
Para criar um provedor de segurança SAML SP, comece entrando na instância do App Builder que servirá como SP.
- Navegue até o IDE
- Clique no botão Provedores de segurança
- No painel Autenticação do usuário, clique no botão + Autenticação do usuário
-
Forneça o seguinte:
- Nome: Nome do Provedor de Segurança SP, por exemplo
App BuilderSP. - Tipo: SAML
- Provisionamento de usuários: marque para habilitar o provisionamento de usuários.
- Mostrar no formulário de login: marque para mostrar o provedor de autenticação no formulário de login.
- Nome: Nome do Provedor de Segurança SP, por exemplo
-
Clique no botão Salvar
-
No painel Propriedades, clique no botão + Propriedade para adicionar cada uma das seguintes propriedades:
- Público: URL do SP do App Builder, por exemplo
https://sp.example.com/App Builder/. - Emissor: URL do IdP do App Builder, por exemplo
https://idp.example.com/App Builder/. - Destinatário: URL do serviço de consumidor de asserção, por exemplo
https://sp.example.com/App Builder/signin-App BuilderSP. - RequestRedirectEndpoint: Solicitar Endpoint de redirecionamento, por exemplo
https://idp.example.com/App Builder/signin-App BuilderIdP. - SigningCertificate: certificado codificado em PEM (consulte Gerar um certificado de assinatura).
- Público: URL do SP do App Builder, por exemplo
-
No painel Claims, clique no botão + Claim para mapear cada uma das seguintes propriedades:
- Name:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name - Grupo:
http://schemas.xmlsoap.org/claims/Group
- Name:
-
No painel Provedor, clique no botão Editar
- Marque a opção Habilitado
- Clique no botão Salvar
As etapas acima incluem uma reivindicação de grupo. A reivindicação de grupo é usada para mapear reivindicações para grupos de provedores de segurança. No entanto, os grupos de provedores de segurança não são mapeados para grupos de segurança do App Builder por padrão. Para mapear um grupo de provedores de segurança para um grupo de segurança do App Builder:
- Navegue até o IDE
- Clique no botão Gerenciamento de usuários
- Clique no botão Identidades
- Selecione o provedor de segurança SP, por exemplo
App BuilderSP - No painel Grupos de Provedores, clique no botão + Grupo
- Forneça um Nome, por exemplo.
Administrators - Selecione o Grupo, por exemplo
Administrators - Clique no botão Salvar
Teste
Para testar, comece abrindo um navegador no modo anônimo/privado.
- Navegue até a URL do App Builder SP, por exemplo
https://sp.example.com/App Builder/. - No formulário de login, clique na opção para entrar com o App Builder SP, por exemplo
App BuilderSP. Você será redirecionado para o formulário de login do App Builder IdP. - Entre na instância do App Builder IdP. Você será redirecionado de volta para o App Builder SP.
Se o teste for bem-sucedido, você será conectado à instância do App Builder SP.
Solução de problemas
Opção "entrar com..." ausente no formulário de login
Se a opção "Entrar com..." estiver faltando no formulário de login, o provedor de segurança do App Builder SP não está habilitado ou a opção Mostrar no formulário de login não foi marcada.
Erro 404 não encontrado após clicar em "entrar com..."
Se você receber um 404 Not Found erro após clicar no botão "Entrar com..." no formulário de login, isso pode indicar que o Provedor de Segurança IdP do App Builder não está habilitado, está com o nome errado ou está configurado incorretamente. Para evitar a interrupção do serviço, o App Builder desabilitará o provedor de segurança no tempo de execução se detectar uma configuração incorreta.