Linha RM

Atalhos

Páginas filhas
  • Integração do RM com ADFS via SAML

Versões comparadas

Versão antiga 12

changes.mady.by.user Diogo Damiani Ferreira

Gravado em

comparado com

Nova versão Atual

changes.mady.by.user Thales Xavier de Almeida Nogueira

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

Índice

      

Índice
exclude.*ndice:

Objetivo

totvsObjetivo

       Este documento é demonstra como integrar o sistema RM com o AD FS como provedor de Identidade.

Introdução

          O AD FS,      O ADFS (Active Diretory Federation Services, ) permite o compartilhamento da informação de identidade em um ampla variedade de aplicativos utilizando o padrão SAML que é suportado na linha RM.

Configurando o Aplicativo Confiável no

AD FS

ADFS

           Abaixo são demonstrados os passos para a criação da entidade confiável para a Linha RM dentro do AD FSADFS.

Passo a Passo
Informações
iconfalse
Deck of Cards
id
Passo 1Passo 1id 3 4Passo 5 5id 6id 7id

  

Image Removed

  

Image Removed

  Selecione a caixa de seleção para abrir a edição de regras

Image Removed

Configurando o Aplicativo Confiável no ADFS
Card
idtitle
label
Passo 1
1º Passo:

Ao acessar a configuração do AD FS, selecione "Add Relying Party Trust" para acesso ao assistente de configuração.

Image Removed

Acione o botão "Start".

Card
idPasso 2
labelPasso 2
titlePasso 2

Image Added

Card
label2º Passo:

Selecione a opção "Enter data about the relying party manually" para inserir os dados sobre a Linha RM.

Image Removed

Image Added

Acione o botão "Next".

Card
Passo 3
labelPasso
titlePasso 3
:

Informe

 Informe

um nome para identificar o aplicativo.

Image Removed

Image Added

Card
idPasso 4
 
labelPasso
titlePasso 4
:

Selecione a opção: "AD FS profile".

Image Removed

Image Added

Card
id 
labelPasso
titlePasso 5
:

Neste ponto, acione "Next".

Image Modified

Card
Passo 6
labelPasso
titlePasso 6
:

Neste passo, deve-se informar a URL do serviço responsável por processar o SingleSignOn do RM:
https://<Endereço do Host>/RMCloudPass/SSOSaml2

O AD FS exige que este serviço esteja exposto via SSL. Mais detalhes sobre como configurar o RM Host para expor serviços via SSL em: Habilitar SSL/TLS no Host

Image Removed

Image Added

Card
Passo 7 
labelPasso
titlePasso 7
:

Selecione a opção: "I do not want to configure multifactor".

.."

Image Removed

Image Added

Card
label
Passo 8
labelPasso 8
titlePasso 8
Card
idPasso 9
labelPasso 9
titlePasso 9
Card
idPasso 10
labelPasso 10
titlePasso 10
8º Passo:

Escolha a opção "Permit all users to access thie relying party".

Image Added

Card
label9º Passo:

Neste ponto, acione "Next".

Image Added

Card
label10º Passo:

Selecione a caixa de seleção para abrir a edição de regras.

Image Added

Configurando as Regras de Declaração (RM Portal)

Informações
iconfalse
id
Deck of Cards
idConfigurando o Aplicativo Confiável no ADFS
Card
label1º Passo:

Selecione a opção: "Add rule".

Image Added

Card
label2º Passo:

Selecione a opção: "Send LDAP Attributes as Claims".

Image Added

Card
label3º Passo:

Defina um nome para a regra e selecione o mapeamento conforme a imagem abaixo. O mapeamento para o SSO no RM é feito pelo e-mail do usuário.

Image Added

Card
idPasso 11
labelPasso 11
titlePasso 11
 
Card
label4º Passo:

Selecione a opção: "Add rule".

Image Added

Card
label5º Passo:

Selecione a opção: "Tranform an Incoming Claim".

."Image Removed

Image Added

Card
label6º Passo:

Defina um nome para a regra e selecione os parâmetros conforme a imagem abaixo.

Image Added

Card
labelPasso:

Para o Portal CorporeRM não é necessário configurar o RelaySate.

Mas, para usar o portal FrameHTML, é necessário configurá-lo, de acordo com a regra abaixo, no seguinte formato:

state|loginPage|returnUrl
Ex: webapi|http://localhost:8090/RM/Login/Login.aspx|/web/app/RH/PortalMeuRH/

obs1: state para FrameHTML deve ser exclusivamente webapi.
obs2: até a versão 12.1.29 continua necessário mandar o ExecutablePath na requisição Saml.

Configurando as Regras de Declaração (MDI - RM.exe)

Informações
iconfalse
id 13idPasso 14idPasso 15idPasso 16
Deck of Cards
idConfigurando o Aplicativo Confiável no ADFS
Card
label
Passo 12
titlePasso 12
1º Passo:

Selecione a opção: "Add rule".

Image Added

 
Card
label2º Passo:

Selecione a opção: "Send LDAP Attributes as Claims".

Image Removed

Image Added

Card
Passo 13
labelPasso
titlePasso 13
:

Defina um nome para a regra e selecione o mapeamento conforme a imagem abaixo. O mapeamento para o SSO no RM é feito pelo e-mail do usuário.

Image Added

Card
label4º Passo:

Selecione a opção: "Add rule".

Image Removed

Image Added

Card
label
5º Passo:

Selecione a opção: "Tranform an Incoming Claim".

Image Added

Card
label
Passo 14
titlePasso 14
6º Passo:

Defina um nome para a regra e selecione os parâmetros conforme a imagem abaixo.

Image Added

  
Card
label7º Passo:

Selecione a opção: "Add rule

..

".

"

Image Removed

Image Added

Card
label
8º Passo:

Selecione a opção "Send Claims Using a Custom Rule".

Image Added

Card
label
Passo 15
titlePasso 15
9º Passo:

Defina um nome para a regra e escreva a regra de declaração customizada conforme a imagem abaixo:

Image Added

Bloco de código
languagec#
titleRelayState
linenumberstrue
=> issue(Type = "RelayState", Value = "samlexecutable");
 
Card
label10º Passo:

Selecione a opção: "

Tranform an Incoming Claim"Image Removed

Add rule".

Image Added

Card
label
Passo 16
labelPasso 16
11º Passo:

Selecione a opção "Send Claims Using a Custom Rule".

Image Added

Card
label12º Passo:
title

Defina um nome para a regra e

selecione os parâmetros

escreva a regra de declaração customizada conforme a imagem abaixo:

Image Added

Bloco de código
languagec#
titleRelayState
linenumberstrue
=> issue(Type = "ExecutablePath", Value = "C:\totvs\CorporeRM\RM.Net\RM.
Image Removed
exe");

Integração SAML no RM

  • Metadado do
AD FS
  • ADFS

                  Abaixo temos um exemplo do metadados SAML que deve ser importado no RM:

Bloco de código
languagexml
firstline1
titleMetadata
linenumberstrue
<?xml version="1.0" encoding="UTF-8"?>
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://<URI do Portal Corpore .NET>" ID="_32a417e2-1378-405d-8757-94bcba2db823">
<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<KeyDescriptor use="signing">
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<X509Data>
	<X509Certificate>MIIC4DCCAcigAwIBAg...<<X509Certificate><Conteúdo do Certificado Proveniente do Arquivo Metadata></X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>
<SingleSignOnService Location="https://<Servidor AD FS>/adfs/ls/idpinitiatedsignon.aspx?loginToRp=<Identificador do RP>" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/>
<SingleSignOnService Location="https://<Servidor AD FS>/adfs/ls/idpinitiatedsignon.aspx?loginToRp=Totvs<Identificador do RP>" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>
<SingleLogoutService Location="https://<Servidor AD FS>/adfs/ls/?wa=wsignout1.0" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>
<SingleLogoutService Location="https://<Servidor AD FS>/adfs/ls/?wa=wsignout1.0" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" />
</IDPSSODescriptor>
</EntityDescriptor>


Repare  Repare que as URI's devem estar configuradas de acordo com seu ambiente.

Aviso
titleAtenção
  • O atributo entityID do elemento EntityDescriptor deve estar definido com a URL do Portal Corpore.NET.
  • A tag X509Certificate deve ser preenchida com o certificado em base64 proveninente do arquivo de metadata, disponível em https://<Servidor AD FS>/FederationMetadata/2007-06/FederationMetadata.xml
  • Nas URI's de SingleSignOnService, o parâmetros LoginToRp deve receber o nome da Relying Party configurado no Passo 3 do Item "Configurando o aplicativo confiável no AD FS".
  • Importando o metadado do AD FS no RM

                Após obter o metadados personalizado, ele deve ser importado no RM em: Ambiente → Parâmetros → Parâmetros Globais → Integração SAML

Image Removed

          Caso queira integrar o ADFS com a MDI, via SAML, adicionar o metadado no campo "Metadata Identity Provider - RM.exe"

Image Added

          Caso queira integrar o ADFS com o Portal, via SAML, adicionar o metadado no campo "Metadata Identity Provider - Portal".

Image Added

Informações
titleObservação

Existe a possibilidade de integrar o ADFS com a MDI e o Portal de forma simultânea, basta adicionar o metadado nos campos "Metadata Identity Provider - RM.exe" e "Metadata Identity Provider - Portal".

Aviso
titleAtenção

Até o momento, a integração com o AD FS foi homologada somente com o Portal Corpore.NET

Informações
iconfalse
Informações
iconfalse

Produto: Framework

Informações
iconfalse

Versão: 12.1.18 e superiores

Informações
iconfalse

Processo: Integração SAML

Informações
iconfalse
Informações
iconfalse

Status: Finalizado

Informações
iconfalse

Data:  

Informações
iconfalse

Autores:

Diogo Damiani Ferreira