Índice

Objetivo

       Este documento demonstra como integrar o sistema RM com o AD FS como provedor de Identidade.

Introdução

            O AD FS,    O ADFS (Active Diretory Federation Services, ) permite o compartilhamento da informação de identidade em um ampla variedade de aplicativos utilizando o padrão SAML que é suportado na linha RM.

<link rel="stylesheet" href="/download/attachments/419548451/TotvsApiDoc.css?version=18&modificationDate=1545415351680&api=v2">
<script src="/download/attachments/419548451/TotvsApiDoc.min.js?version=1&modificationDate=1545939893691&api=v2"></script>
<script src="/download/attachments/419548451/TotvsApiDocCustom_Auto.js?version=51&modificationDate=1546542702197&api=v2"></script>
<script src="/download/attachments/486180568/Totvs_CheckListCompare.js?version=8&modificationDate=1558712398565&api=v2"></script>
<style>
.checklistManual {
	-moz-box-shadow:inset 0px 1px 0px 0px #cf866c;
	-webkit-box-shadow:inset 0px 1px 0px 0px #cf866c;
	box-shadow:inset 0px 1px 0px 0px #cf866c;
	background:-webkit-gradient(linear, left top, left bottom, color-stop(0.05, #d0451b), color-stop(1, #bc3315));
	background:-moz-linear-gradient(top, #d0451b 5%, #bc3315 100%);
	background:-webkit-linear-gradient(top, #d0451b 5%, #bc3315 100%);
	background:-o-linear-gradient(top, #d0451b 5%, #bc3315 100%);
	background:-ms-linear-gradient(top, #d0451b 5%, #bc3315 100%);
	background:linear-gradient(to bottom, #d0451b 5%, #bc3315 100%);
	filter:progid:DXImageTransform.Microsoft.gradient(startColorstr='#d0451b', endColorstr='#bc3315',GradientType=0);
	background-color:#d0451b;
	-moz-border-radius:3px;
	-webkit-border-radius:3px;
	border-radius:3px;
	border:1px solid #942911;
	display:inline-block;
	cursor:pointer;
	color:#ffffff;
	font-family:Arial;
	font-size:13px;
	padding:6px 24px;
	text-decoration:none;
	text-shadow:0px 1px 0px #854629;
}

.checklistAutomatizado {
	-moz-box-shadow:inset 0px 1px 0px 0px #54a3f7;
	-webkit-box-shadow:inset 0px 1px 0px 0px #54a3f7;
	box-shadow:inset 0px 1px 0px 0px #54a3f7;
	background:-webkit-gradient(linear, left top, left bottom, color-stop(0.05, #007dc1), color-stop(1, #0061a7));
	background:-moz-linear-gradient(top, #007dc1 5%, #0061a7 100%);
	background:-webkit-linear-gradient(top, #007dc1 5%, #0061a7 100%);
	background:-o-linear-gradient(top, #007dc1 5%, #0061a7 100%);
	background:-ms-linear-gradient(top, #007dc1 5%, #0061a7 100%);
	background:linear-gradient(to bottom, #007dc1 5%, #0061a7 100%);
	filter:progid:DXImageTransform.Microsoft.gradient(startColorstr='#007dc1', endColorstr='#0061a7',GradientType=0);
	background-color:#007dc1;
	-moz-border-radius:3px;
	-webkit-border-radius:3px;
	border-radius:3px;
	border:1px solid #124d77;
	display:inline-block;
	cursor:pointer;
	color:#ffffff;
	font-family:Arial;
	font-size:13px;
	padding:6px 24px;
	text-decoration:none;
	text-shadow:0px 1px 0px #154682;
}

</style>
<script>
$(window).load(function(){
Totvs_CheckListCompare_Load();
});
</script>

<div id="container1" class="TotvsApiDoc-wrapper" style="position: relative;">	</div>

Configurando

o

Aplicativo

Confiável

Configurando o Aplicativo Confiável no AD FSno ADFS

         Abaixo Abaixo são demonstrados os passos para a criação da entidade confiável para a Linha RM dentro do AD FS.

ADFS.

<div class="img-zoom-container">
<div class="img-div">

Image Removed

</div>
<div class="img-div-description">
Passo 1
</div>
</div>

Passo 2

<div class="img-zoom-container">
<div class="img-div">

Image Removed

<div class="img-zoom-container">
<div class="img-div">

</div>
<div class="img-div-description">
Passo 3 - Identificação do Aplicativo
</div>
</div>

</div>

Deck of Cards
id Passo a Passo
5id 6Passo 7id    Image Removed    Image Removed   Selecione a caixa de seleção para abrir a edição de regras Image Removed Card id Passo 4 label Passo 4 title Passo 4   Card label 4º Passo: Selecione a opção: "AD FS profile". Image Removed Image Added Card id Passo 5   label 5º Passo title Passo 5 : Neste ponto, acione "Next". Image Modified Card Passo 6 label 6º Passo title Passo 6 : Neste passo, deve-se informar a URL do serviço responsável por processar o SingleSignOn do RM: https://<Endereço do Host>/RMCloudPass/SSOSaml2 O AD FS exige que este serviço esteja exposto via SSL. Mais detalhes sobre como configurar o RM Host para expor serviços via SSL em: Habilitar SSL/TLS no Host Image Removed Image Added Card id title Passo 7   label Passo 7 7º Passo: Selecione a opção: "I do not want to configure multifactor". .."Image Removed Image Added Card label Passo 8 label Passo 8 title Passo 8 Card id Passo 9 label Passo 9 title Passo 9 Card id Passo 10 label Passo 10 title Passo 10 8º Passo: Escolha a opção "Permit all users to access thie relying party". Image Added Card label 9º Passo: Neste ponto, acione "Next". Image Added Card label 10º Passo: Selecione a caixa de seleção para abrir a edição de regras. Image Added

Configurando as Regras de Declaração (RM Portal)

Informações
icon false
id Deck of Cards id Configurando o Aplicativo Confiável no ADFS Card label 1º Passo: Selecione a opção: "Add rule". Image Added Card label 2º Passo: Selecione a opção: "Send LDAP Attributes as Claims". Image Added Card label 3º Passo: Defina um nome para a regra e selecione o mapeamento conforme a imagem abaixo. O mapeamento para o SSO no RM é feito pelo e-mail do usuário. Image Added Card id Passo 11 label Passo 11 title Passo 11   Card label 4º Passo: Selecione a opção: "Add rule". Image Added Card label 5º Passo: Selecione a opção: "Tranform an Incoming Claim". ."Image Removed Image Added Card label 6º Passo: Defina um nome para a regra e selecione os parâmetros conforme a imagem abaixo. Image Added Card label 7º Passo: Para o Portal CorporeRM não é necessário configurar o RelaySate. Mas, para usar o portal FrameHTML, é necessário configurá-lo, de acordo com a regra abaixo, no seguinte formato: state|loginPage|returnUrl Ex: webapi|http://localhost:8090/RM/Login/Login.aspx|/web/app/RH/PortalMeuRH/ obs1: state para FrameHTML deve ser exclusivamente webapi. obs2: até a versão 12.1.29 continua necessário mandar o ExecutablePath na requisição Saml.

Configurando as Regras de Declaração (MDI - RM.exe)

Informações
icon false
Passo 13idPasso 14idPasso 15idPasso 16 Deck of Cards id Configurando o Aplicativo Confiável no ADFS Card label Passo 12 title Passo 12 1º Passo: Selecione a opção: "Add rule". Image Added   Card label 2º Passo: Selecione a opção: "Send LDAP Attributes as Claims". Image Removed Image Added Card id Passo 13 label Passo 13 title 3º Passo: Defina um nome para a regra e selecione o mapeamento conforme a imagem abaixo. O mapeamento para o SSO no RM é feito pelo e-mail do usuário. Image Added Card label 4º Passo: Selecione a opção: "Add rule". Image Removed Image Added Card label 5º Passo: Selecione a opção: "Tranform an Incoming Claim". Image Added Card label Passo 14 title Passo 14 6º Passo: Defina um nome para a regra e selecione os parâmetros conforme a imagem abaixo. Image Added    Card label 7º Passo: Selecione a opção: "Add rule". .."Image Removed Image Added Card label 8º Passo: Selecione a opção "Send Claims Using a Custom Rule". Image Added Card label Passo 15 title Passo 15 9º Passo: Defina um nome para a regra e escreva a regra de declaração customizada conforme a imagem abaixo: Image Added Bloco de código language c# title RelayState linenumbers true => issue(Type = "RelayState", Value = "samlexecutable");   Card label 10º Passo: Selecione a opção: " Tranform an Incoming Claim"Image Removed Add rule". Image Added Card label Passo 16 label Passo 16 11º Passo: Selecione a opção "Send Claims Using a Custom Rule". Image Added Card label 12º Passo: title Defina um nome para a regra e selecione os parâmetros escreva a regra de declaração customizada conforme a imagem abaixo: Image Added Bloco de código language c# title RelayState linenumbers true => issue(Type = "ExecutablePath", Value = "C:\totvs\CorporeRM\RM. Image Removed Net\RM.exe");

Integração SAML no RM

• Metadado do

• ADFS

                Abaixo temos um exemplo do metadados SAML que deve ser importado no RM:

<?xml version="1.0" encoding="UTF-8"?>
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://<URI do Portal Corpore .NET>" ID="_32a417e2-1378-405d-8757-94bcba2db823">
<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<KeyDescriptor use="signing">
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<X509Data>
	<X509Certificate>MIIC4DCCAcigAwIBAg...<<X509Certificate><Conteúdo do Certificado Proveniente do Arquivo Metadata></X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>
<SingleSignOnService Location="https://<Servidor AD FS>/adfs/ls/idpinitiatedsignon.aspx?loginToRp=<Identificador do RP>" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/>
<SingleSignOnService Location="https://<Servidor AD FS>/adfs/ls/idpinitiatedsignon.aspx?loginToRp=Totvs<Identificador do RP>" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>
<SingleLogoutService Location="https://<Servidor AD FS>/adfs/ls/?wa=wsignout1.0" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>
<SingleLogoutService Location="https://<Servidor AD FS>/adfs/ls/?wa=wsignout1.0" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" />
</IDPSSODescriptor>
</EntityDescriptor>

Repare  Repare que as URI's devem estar configuradas de acordo com seu ambiente.

• Importando o metadado do AD FS no RM

                Após obter o metadados personalizado, ele deve ser importado no RM em: Ambiente → Parâmetros → Parâmetros Globais → Integração SAML

          Caso queira integrar o ADFS com a MDI, via SAML, adicionar o metadado no campo "Metadata Identity Provider - RM.exe"

Image Removed

Image Added

          Caso queira integrar o ADFS com o Portal, via SAML, adicionar o metadado no campo "Metadata Identity Provider - Portal".

Image Added