Linha RM

Atalhos

Páginas filhas
  • Integração do RM com ADFS via SAML

Versões comparadas

Versão antiga 72

changes.mady.by.user Karina Dos Santos Costa

Gravado em

comparado com

Nova versão 73

changes.mady.by.user Karina Dos Santos Costa

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

Objetivo

       Este documento demonstra como integrar o sistema RM com o AD FS como provedor de Identidade.

Introdução

          O AD FS, ADFS (Active Diretory Federation Services, ) permite o compartilhamento da informação de identidade em um ampla variedade de aplicativos utilizando o padrão SAML que é suportado na linha RM.

Configurando o Aplicativo Confiável no AD FSADFS

 Abaixo são demonstrados os passos para a criação da entidade confiável para a Linha RM dentro do AD FS.

Passo 1

ADFS.

Informações
iconfalse
Deck of Cards
idConfigurando o Aplicativo Confiável no ADFS
Card
label1º Passo:

Ao acessar a configuração do AD FS, selecione "Add Relying Party Trust" para acesso ao assistente de configuração.

Image Added

Card
Image Removed
labelPasso
2
:

Selecione a opção "Enter data about the relying party manually" para inserir os dados sobre a Linha RM.

Image Removed

Image Added

Acione o botão "Next".

Card
labelPasso
3
:

Informe um nome para identificar o aplicativo.

Image Removed

Image Added

Card
labelPasso
4
:

Selecione a opção: "AD FS profile".

Image Added

Card
Image Removed
labelPasso
5
:

Neste ponto, acione "Next".

Image Modified

Card
labelPasso
6
:

Neste passo, deve-se informar a URL do serviço responsável por processar o SingleSignOn do RM:
https://<Endereço do Host>/RMCloudPass/SSOSaml2

O AD FS exige que este serviço esteja exposto via SSL. Mais detalhes sobre como configurar o RM Host para expor serviços via SSL em: Habilitar SSL/TLS no Host

Image Added

Card
Image Removed
labelPasso
7
:

Selecione a opção: "I do not want to configure multifactor

..."

".

Image Added

Card
label8º Passo:

Image Removed

Passo 8

Escolha a opção "Permit all users to access thie relying party".

Image Added

Card
Image Removed
labelPasso
9
:

Neste ponto, acione "Next"

Image Removed

Passo 10

.

Image Added

Card
label10º Passo:

Selecione a caixa de seleção para abrir a edição de regras.

Image Modified

Configurando as Regras de Declaração (RM Portal)

Passo 1

Selecione a opção: "Add rule..."

Passo 2

Selecione a opção: "Send LDAP Attributes as Claims"

Passo 3

Defina um nome para a regra e selecione o mapeamento conforme a imagem abaixo. O mapeamento para o SSO no RM é feito pelo e-mail do usuário.

Passo 4

Selecione a opção: "Add rule..."

Passo 5

Selecione a opção: "Tranform an Incoming Claim"

Passo 6

Defina um nome para a regra e selecione os parâmetros conforme a imagem abaixo.

Configurando as Regras de Declaração (MDI - RM.exe)

Passo 1

Selecione a opção: "Add rule..."

Passo 2

Selecione a opção: "Send LDAP Attributes as Claims"

Passo 3

Defina um nome para a regra e selecione o mapeamento conforme a imagem abaixo. O mapeamento para o SSO no RM é feito pelo e-mail do usuário.

Passo 4

Selecione a opção: "Add rule..."

Passo 5

Selecione a opção: "Tranform an Incoming Claim"

Passo 6

Defina um nome para a regra e selecione os parâmetros conforme a imagem abaixo.

Passo 7

Selecione a opção: "Add rule..."

Passo 8

Selecione a opção "Send Claims Using a Custom Rule"

 

Passo 9

Defina um nome para a regra e escreva a regra de declaração customizada conforme a imagem abaixo:


Bloco de código
languagec#
titleRelayState
linenumberstrue
=> issue(Type = "RelayState", Value = "samlexecutable");

Passo 10

Selecione a opção: "Add rule..."

Passo 11

Selecione a opção "Send Claims Using a Custom Rule"

 

Passo 12

Defina um nome para a regra e escreva a regra de declaração customizada conforme a imagem abaixo:


Bloco de código
languagec#
titleRelayState
linenumberstrue
=> issue(Type = "ExecutablePath", Value = "C:\totvs\CorporeRM\RM.Net\RM.exe");

Integração SAML no RM

Metadado do ADFS

Abaixo temos um exemplo do metadados SAML que deve ser importado no RM:

Bloco de código
languagexml
firstline1
titleMetadata
linenumberstrue
<?xml version="1.0" encoding="UTF-8"?>
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://<URI do Portal Corpore .NET>" ID="_32a417e2-1378-405d-8757-94bcba2db823">
<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<KeyDescriptor use="signing">
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<X509Data>
	<X509Certificate><Conteúdo do Certificado Proveniente do Arquivo Metadata></X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>
<SingleSignOnService Location="https://<Servidor AD FS>/adfs/ls/idpinitiatedsignon.aspx?loginToRp=<Identificador do RP>" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/>
<SingleSignOnService Location="https://<Servidor AD FS>/adfs/ls/idpinitiatedsignon.aspx?loginToRp=Totvs" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>
<SingleLogoutService Location="https://<Servidor AD FS>/adfs/ls/?wa=wsignout1.0" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>
<SingleLogoutService Location="https://<Servidor AD FS>/adfs/ls/?wa=wsignout1.0" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" />
</IDPSSODescriptor>
</EntityDescriptor>


Repare que as URI's devem estar configuradas de acordo com seu ambiente.

Aviso
titleAtenção
  • O atributo entityID do elemento EntityDescriptor deve estar definido com a URL do Portal Corpore.NET.
  • A tag X509Certificate deve ser preenchida com o certificado em base64 proveninente do arquivo de metadata, disponível em https://<Servidor AD FS>/FederationMetadata/2007-06/FederationMetadata.xml
  • Nas URI's de SingleSignOnService, o parâmetros LoginToRp deve receber o nome da Relying Party configurado no Passo 3 do Item "Configurando o aplicativo confiável no AD FS".

Importando o metadado do AD FS no RM

 Após obter o metadados personalizado, ele deve ser importado no RM em: Ambiente → Parâmetros → Parâmetros Globais → Integração SAML

Caso queira integrar o ADFS com a MDI, via SAML, adicionar o metadado no campo "Metadata Identity Provider - RM.exe"


Caso queira integrar o ADFS com o Portal, via SAML, adicionar o metadado no campo "Metadata Identity Provider - Portal"

Informações
titleObservação

Existe a possibilidade de integrar o ADFS com a MDI e o Portal de forma simultânea, basta adicionar o metadado nos campos "Metadata Identity Provider - RM.exe" e "Metadata Identity Provider - Portal".

Informações
iconfalse
Informações
iconfalse

Produto: Framework

Informações
iconfalse

Versão: 12.1.18 e superiores

Informações
iconfalse

Processo: Integração SAML

Informações
iconfalse
Informações
iconfalse

Status: Finalizado

Informações
iconfalse

Data:  

Informações
iconfalse

Autores:

Carlos Roberto Pereira Garcia

Carlos Philippe de Farias Marques

Diogo Damiani Ferreira

Stella Gleyse Macedo Vilaca