Configurar¶
Introdução¶
Para habilitar e configurar o SSO, você deve fazer o seguinte:
-
(Opcional) Adicione usuários à Lista de bypass SSO.
Essas etapas são explicadas nas seções a seguir.
1. Habilitar SSO¶
Para ativar o SSO, siga estas etapas:
-
No Management Console Organizations página, selecione uma organização e, em seguida, selecione a aba Gerenciamento de usuários:
-
Clique no botão Habilitar SSO para habilitar o SSO para todos os membros da organização (exceto aqueles listados em Ignorar SSO).
Quando Habilitar SSO está ativo, o protocolo SSO menu e o botão Configurar SSO tornam-se visíveis:
2. Protocolo SSO¶
Para definir o protocolo SSO, clique no menu sob o botão Ativar SSO e selecione uma destas opções:
-
Nenhum: (Padrão) Os usuários fazem login com suas credenciais do Harmony. Quando Nenhum é selecionado, não há mais nada para configurar.
-
OAuth 2.0: Os usuários fazem login com o protocolo OAuth 2.0 do provedor de identidade.
-
SAML 2.0: Os usuários fazem login com o protocolo SAML 2.0 do provedor de identidade.
Quando OAuth 2.0 ou SAML 2.0 estiver selecionado, clique em Configurar SSO para abrir uma gaveta de configuração para o protocolo.
3. Configurar SSO¶
Para habilitar o SSO no Harmony, você deve configurar dois aplicativos cliente Jitterbit:
-
WMC: Este cliente fornece autenticação SSO por meio do portal Harmony para todos os aplicativos da web Harmony. (WMC é o antigo nome do Management Console.)
-
Studio: Este cliente fornece autenticação SSO para o Design Studio. (Não é obrigatório para clientes BMC.)
Importante
Você deve configurar ambos os aplicativos clientes, mesmo que não pretenda usar todos eles. (Para BMC, apenas WMC é necessário.)
Para o OAuth 2.0, a configuração envolve o seguinte:
-
No seu provedor de identidade, obtenha o ID do cliente e o segredo do cliente para ambos os aplicativos clientes Jitterbit.
-
Na página Organizações do Management Console, copie e cole esses valores nos campos relevantes conforme descrito abaixo.
Para SAML 2.0, a configuração envolve o seguinte:
-
No seu provedor de identidade, baixe arquivos de metadados para ambos os aplicativos clientes Jitterbit.
-
Na página Organizações do Management Console, copie e cole o conteúdo desses arquivos nos campos relevantes conforme descrito abaixo.
OAuth 2.0¶
Para configurar um provedor de identidade OAuth 2.0, siga estas etapas:
-
Configure seu identity provider para obter o ID do cliente e o segredo do cliente para os aplicativos cliente WMC e Studio Jitterbit.
-
Na gaveta Configurar SSO OAuth 2.0, abra o menu Provedor OAuth e selecione Google, Salesforce, Autodesk ou BMC (somente para clientes BMC). O conteúdo do painel depende da sua seleção:
Para Google, Salesforce ou Autodesk:
Para BMC:
-
Se OAuth Provider for Google, Salesforce ou Autodesk, haverá seções separadas para WMC e Studio. Defina os seguintes valores para ambos aplicativos cliente Jitterbit:
-
ID do cliente: Insira o ID do cliente do seu provedor de identidade.
-
Segredo do cliente: Insira o segredo do cliente do seu provedor de identidade.
(Para clientes BMC) Se OAuth Provider for BMC, há uma seção apenas para WMC. Defina os seguintes valores:
-
Ativar URL de SSO: Quando selecionado, os campos URL de SSO e Adicionar usuário automaticamente são exibidos:
-
URL SSO: Exibe uma URL específica da organização que é usada para identificar a organização no BMC Helix iPaaS. Este link é usado na BMC Helix Platform como um ficha para o BMC Helix iPaaS ou como um link clicável.
-
Adicionar usuário automaticamente: Selecione para adicionar automaticamente usuários à organização se eles não forem membros existentes na organização. Quando selecionado, o campo Função Padrão é exibido:
- Função padrão: Use o menu para selecionar a função padrão role para usuários que são adicionados automaticamente à organização (obrigatório quando Adicionar usuário automaticamente é selecionado).
-
ID do cliente: Insira o ID do cliente BMC.
-
Segredo do cliente: Insira o segredo do cliente BMC.
-
Subdomínio: Insira o subdomínio do cliente BMC para identificar o locatário.
-
URL de informações do usuário personalizado: Insira o URL a ser usado para verificar o endereço email do cliente BMC. O URL fornecido deve ser uma solicitação GET e também deve usar o mesmo token recebido do endpoint do token OAuth.
-
-
-
Para todos os prestadores, os seguintes campos não podem ser editados e têm carácter meramente informativo:
-
Cliente Harmony: O nome do cliente.
-
URL de redirecionamento: O URL associado ao cliente é fornecido por padrão para cada um.
-
-
Quando configurado, clique no botão Configuração de teste de cada seção para abrir o portal de login do provedor de identidade em uma nova aba. Faça login com suas credenciais e siga as instruções.
Cuidado
Testes de configuração repetidos podem bloquear seu acesso à conta do seu provedor de identidade.
Se o SSO estiver configurado corretamente, você será redirecionado para o Management Console com uma mensagem indicando sucesso. Caso contrário, você será redirecionado para o Management Console com uma mensagem de erro fornecendo mais informações sobre o erro específico.
-
Quando os testes são bem-sucedidos, o botão Salvar é ativado. Clique nele para salvar a configuração e fechar a gaveta.
As alterações nas configurações de SSO entrarão em vigor no próximo login do usuário.
Dica
Para desativar o SSO após ele ter sido ativado, altere a seleção para Nenhum no menu suspenso Ativar SSO. Neste caso, os usuários que já possuem credenciais Harmony poderão novamente utilizá-las para esta organização. Os usuários sem credenciais do Harmony (ou seja, aqueles cuja única organização era a organização SSO) não poderão acessar a organização.
SAML¶
Para configurar um provedor de identidade SAML 2.0, siga estas etapas:
-
Na gaveta Configurar SSO SAML 2.0, defina os seguintes campos:
- Metadados do Provedor de Identidade: Insira os metadados XML obtidos do Azure, Okta ou Salesforce provedor de identidade.
Defina o seguinte para ambos aplicativos cliente Jitterbit:
- Metadados do provedor de serviços: Insira os metadados XML do provedor de serviços.
Os seguintes campos não podem ser editados e são apenas informativos:
-
Cliente Harmony: O cliente.
-
URL ACS: O URL associado ao cliente Harmony.
-
Quando configurado, clique no botão Test Configuration de cada seção para abrir o portal de login do provedor de identidade em uma nova aba. Faça login com suas credenciais e siga as instruções.
Cuidado
Testes de configuração repetidos podem bloquear seu acesso à conta do seu provedor de identidade.
Se o SSO estiver configurado corretamente, você será redirecionado para o Management Console com uma mensagem indicando sucesso. Caso contrário, você será redirecionado para o Management Console com uma mensagem de erro fornecendo mais informações sobre o erro específico.
-
Quando os testes são bem-sucedidos, o botão Salvar é ativado. Clique nele para salvar a configuração e fechar a gaveta.
4. Ignorar SSO¶
Para permitir que um usuário faça login em uma organização habilitada para SSO usando suas credenciais do Harmony, adicione-o à lista Ignorar SSO (e convide-o para a organização se ainda não for membro). Você deve adicionar pelo menos um administrador da organização Harmony para fins de recuperação de desastres.
Para permitir que um usuário ignore o SSO, insira seu endereço email no campo e clique em {{ no such element: dict object['plus'] }} Adicionar. Para remover um usuário, clique em {{ no such element: dict object['trash'] }} Excluir.
Cuidado
Não adicione usuários pertencentes a outra organização Harmony habilitada para SSO, pois eles não poderão ingressar na organização selecionada.