Histórico da Página
Configuração da integração do Fluig com o Identity
Este documento tem o objetivo de especificar as configurações necessárias à Integração do produto Fluig com o Identity.
1º passo: Instalação (somente para Fluig SaaS)
No instalador, selecione a opção referente ao Identity – “Habilitar autenticação com Fluig Identity” – com isso, surgirão três novos campos, que deverão ser preenchidos com as informações do seu servidor do Identity.
- URL do Fluig Identity: <URL do Identity>.
- URL da API do Fluig Identity: <URL da API do Identity>.
- Chave de segurança: solicite ao administrador do Identity.
- Domínio da empresa no Identity: domínio cadastrado no fluig Identity.
Se você já instalou o Fluig, sem as configurações do Identity, elas podem ser feitas diretamente no arquivo standalone.xml, localizado na pasta “<RAIZ_INSTALACAO>\jboss\standalone\configuration\”.
Todas as informações sobre o standalone.xml estão nesse mesmo documento, no anexo 1.
2º passo: Criação da Empresa (somente para Fluig SaaS)
Inicie o Fluig, e acesse a URL “http://<HOST>:<PORT>/portal/home?wcmadmin=true”, e faça login com o usuário Administrador do WCM (Login: “wcmadmin”, senha “adm”).
Crie a empresa normalmente – consulte o “Manual de Instalação e Conversão para Fluig” e atente-se ao e-mail e à senha do usuário administrador da empresa criada, pois essa informação será utilizada no login do Identity.
3º passo: Download e inserção do certificado
Acesse o Identity, e faça login com o administrador da empresa.
Acesse o painel administrativo do Identity (botão caixa de ferramentas, no lado direito superior da tela, entre o botão do launch pad e o botão de perfil).
Selecione a opção “Configuration”, e faça o download do certificado no link “Download x.509 Certificate”
Salve esse certificado dentro do seu servidor Fluig – em uma pasta à sua escolha.
4º passo: Configuração do Aplicativo
Acesse o painel administrativo do Identity (botão caixa de ferramentas, no lado direito superior da tela).
Selecione a opção “Aplicativos”, e selecione a aplicação Fluig
Selecione a opção “Configurações”
Selecione a opção editar, e modifique o campo "Domínio". Fluig para o seu domínio completo (http://<HOST>:<PORT>/portal/idp)
5º passo: Configuração da URL SSO do aplicativo
Acesse o Identity, com um usuário administrador da companhia, posicione o cursor sobre a guia de gerenciamento no canto superior direito da tela e clique sobre o ícone "Aplicativos":
Busque pelo aplicativo "Fluig" e clique sobre seu nome:
Copie o valor disponível na propriedade URL SSO:
Abra o arquivo standalone.xml, disponível em <instalacao_fluig>\<jboss>\standalone\configuration\.
Note que <jboss> é "jboss-as-7.2.0.Final" no Fluig 1.0 e "jboss" da versão 1.1 em diante.
Altere a propriedade totvs/idp/idpdestination, inserindo o valor copiado da URL SSO do aplicativo:
6º passo: Configuração do certificado instalado
Abra o standalone.xml e configure o caminho do certificado que você salvou no passo 3 na propriedade totvs/idp/certificateFile.
Configure também a propriedade ignoreSSLValidation, se necessário. No anexo 1 explicamos para que ela serve.
A partir desse momento, a integração está concluída. O usuário deve conseguir acessar o fluig, utilizando a autenticação do Identity.
Anexo 1 - Configurações no standalone.xml do Fluig: Âncoraidp idp
idp | |
idp |
Informações | ||
---|---|---|
| ||
É necessário adicionar o parâmetro "java:global/totvs/idp/domain" no arquivo standalone.xml ao atualizar para o Fluig 1.1.1 (nas versões 1.1.0 ou inferiores); |
Segue abaixo o detalhamento das configurações do Identity no standalone.xml, caso seja necessário:
Bloco de código | ||
---|---|---|
| ||
<simple name="java:global/totvs/idp/enabled" value="true"/> <simple name="java:global/totvs/idp/ignoreSSLValidation" value="true"/> <simple name="java:global/totvs/idp/justInTimeProvisioning" value="true"/> <simple name="java:global/totvs/idp/clockSkew" value="60"/> <simple name="java:global/totvs/idp/spIssuerName" value="TotvsLabs"/> <simple name="java:global/totvs/idp/providerName" value="TotvsLabs"/> <simple name="java:global/totvs/idp/spProtocolBinding" value="HttpPost"/> <simple name="java:global/totvs/idp/idpProtocolBinding" value="HttpPost"/> <simple name="java:global/totvs/idp/acsURL" value="http://<HOST_FLUIG>:<PORTA>/portal/idp/ACS"/> <simple name="java:global/totvs/idp/idpDestination" value="https://<IP_CLOUDPASS>/cloudpass/SPInitPost/receiveSSORequest"/> <simple name="java:global/totvs/idp/homePageURL" value="https://<HOST>/cloudpass/"/> <simple name="java:global/totvs/idp/apiURL" value="https://<HOST>/"/> <simple name="java:global/totvs/idp/certificateFile" value="C:/fluig2/identity/certificateName.crt"/> <simple name="java:global/totvs/idp/nameIdFormat" value="transient"/> <simple name="java:global/totvs/idp/idpIssuerName" value="TotvsLabs"/> <simple name="java:global/totvs/idp/idpCertIssuerName" value="TotvsLabs"/> <simple name="java:global/totvs/idp/authorization" value="<CHAVE_DE_AUTORIZACAO>"/> <simple name="java:global/totvs/idp/domain" value="<DOMINIO_UTILIZADO_NO_IDENTITY>"/> |
global/totvs/idp/enabled
Habilita/Desabilita a integração com o Identity;
totvs/idp/ignoreSSLValidation
Permite que o servidor do Identity tenha um certificado inválido (utilizado para ambientes locais e de testes)
totvs/idp/justInTimeProvisioning
Funcionalidade utilizada para criar automaticamente usuários no Fluig, quando usuários foram importados do Active Directory para dentro do Identity.
Se estiver com o valor “true”, permite que um usuário que não existe no Fluig, mas existe no Identity, seja criado automaticamente (Provisionado).
Nota | ||
---|---|---|
| ||
Quando esta propriedade estiver com valor "true", os usuários ainda não cadastrados no Fluig ao efetuarem o login, serão cadastrados automaticamente com uma matrícula gerada com base no seu e-mail. Isso fará com que integrações com outros sistemas não tenham mapeamento direto para fazer o relacionamento dos usuários, e o valor da matrícula não poderá ser alterado em hipótese alguma no futuro. Portanto, se houver a necessidade de mapear usuários com outros sistemas através da matrícula, a recomendação é desligar a função de auto-provisionamento (alterar o valor desta propriedade para false) e criar os usuários no Fluig com a matrícula necessária. |
totvs/idp/clockSkew
Configura a variação (em segundos) permitida entre o servidor do Identity e o servidor do Fluig (data/hora dos servidores). Essa informação é utilizada para validar a troca de informações com SAML. Se o horários dos servidores estiver com uma variação maior que o configurado nesta propriedade, ocorre uma exceção.
totvs/idp/acsURL
Endereço para receber os dados via SAML no Fluig Sempre é apresentado no seguinte formato: “http(s)://<IP>:<porta>/portal/ACS”
totvs/idp/idpDestination
URL do Identity. O usuário será redirecionado para essa URL quando não estiver com a sessão ativa. Usualmente “https://<endereço Identity>/SPInitPost/receiveSSORequest”
totvs/idp/homePageURL
Endereço da página incial do Identity. O usuário é redirecionado para esse endereço ao fazer logoff do Fluig.
totvs/idp/apiURL
URL da API do Identity
totvs/idp/certificateFile
Caminho do certificado de segurança disponibilizado pelo Identity.
Para fazer o download do certificado, acesse “https://<Endereço do Identity>/configuration/index” e clique em "Download x.509 Certificate"
totvs/idp/authorization
Chave de autenticação para acesso às APIs.
Disponibilizada pelo Identity.
global/totvs/idp/domain
Domínio do contexto utilizado no Fluig Identity.
As outras configurações não devem ser alteradas.