Versões comparadas

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

Índice


      

Índice
exclude.*ndice:

Objetivo


       Este documento demonstra como integrar o sistema RM com o Azure AD como provedor de Identidade.

Introdução


       O Azure AD (Azure Active Diretory) permite o compartilhamento da informação de identidade em um ampla variedade de aplicativos utilizando o padrão SAML que é suportado na linha RM.

Configurando o Azure AD

Informações
iconfalse

Nessa etapa, iremos realizar as configurações iniciais para a integração entre RM e Azure AD

Informações

Este passo-a-passo será todo instruído utilizando o Azure AD no idioma Inglês, porém os passos são os mesmos, independente do idioma

Deck of Cards
idConfigurando o Aplicativo Confiável no Azure AD
Card
label1º Passo - Enterprise Applications:

Antes de mais nada, precisaremos de um "Enterprise Application", pois esta é a aplicação que receberá todas as configurações referentes à integração.

Ao acessar o portal do Azure, selecionamos o serviço "Enterprise Application" para acesso ao assistente de configuração.

card
Card
label2º Passo - Criando uma nova aplicação:
  • Clique em 'New application'

  • Clique em 'Create your own application' para criar uma nova aplicação.  Preencha o Nome do Aplicativo e clique em 'Create'

  •  Após a criação, você deve será redirecionado para a página do aplicativo criado. 


Aviso
title
label3º Passo - Permitindo o acesso à aplicação: para os usuários do AzureAD

Agora iremos selecionar os usuários e grupos que terão permissão para acessar nossa aplicação e consequentemente o RM via integração SAML (Azure AD). Para fazer isso, selecionamos a opção "Assign users and groups". Nessa aba, clique em "New user/group" e adicione todos os usuários que poderão entrar utilizando o Azure AD no RM.

Image Removed

Após realizar as configurações comuns tanto ao RM Portal (Corpore.Net) quanto à MDI (RM.exe), iremos agora realizar as configurações definidas para cada caso

Configurando as Regras de Declaração (MDI - RM.exe)
Atenção

Caso deseje utilizar a integração SSO do RM.exe e do Portal Corpore.Net, deverão ser criados 2 aplicativos, 1 para o RM.exe e outro para o Portal Corpore.Net


Configurando 'Single Sign On' do Azure AD com o Aplicativo  'MDI - RM.exe'


Informações
iconfalse
Deck of Cards
idConfigurando o Aplicativo Confiável no Azure AD
Card
label4º Passo: Definindo o Single Sign On (SSO)

Agora iremos configurar o SSO (Single Sign On), permitindo a comunicação entre Azure AD e RM pelo lado do Azure AD (Mais abaixo está descrita a forma de realizar essa configuração pelo RM).

  • Selecionamos então a opção "Set up single sign on"
Image Removed




  • Selecionamos a integração por meio de SAML:

Image Removed



  • E somos direcionados a aba de configuração do Single Sign On via SAML. Nesta tela, iremos configurar os campos conforme descrito abaixo:
    • Identifier (Entity ID): O Identifier é basicamente a URL para qual o SAML será apontado e tentará fazer a conexão e login. Esta URL é construída da seguinte forma: https://<host>:<port>/RMCloudPass/SSOSaml2
    • Reply URL (ACS): A Reply URL leva exatamente a mesma configuração do Identifier, sendo construída da seguinte forma: https://<host>:<port>/RMCloudPass/SSOSaml2
Image Removed



  • Na etapa "User Attributes & Claims" iremos adicionar dois novos parâmetros, ExecutablePath e RelayState
    • ExecutablePath: Este campo deve receber o caminho completo de onde seu RM.exe está contido, como por exemplo: C:\totvs\CorporeRM\RM.Net\RM.exe
    • RelayState: O RelayState deve receber o texto: samlexecutable

Image Removed



Aviso
titleRelayState

Caso o RelayState esteja preenchido com quaisquer caracteres que não o exato texto samlexecutable, ao tentar acessar o RM via SAML, a seguinte mensagem será disparada pela rotina de Login:Image Removed



  • Ao final da configuração, você deve possuir configurações parecidas com as demonstradas abaixo:

Card
label5º Passo - Adicionando a URL da aplicação ao XML:
  • Agora precisamos do XML que servirá como arquivo de configuração do RM em um momento posterior. Na terceira aba, de nome SAML Signing Certificate, baixamos o arquivo Federation Metadata XML:



  • Clicamos nos 3 pontinhos/dots e selecionamos Copy Link

  • Agora no XML que baixamos, vamos ao final dele e nas tags SingleSignOnService, definimos a propriedade Location como o link que copiamos no item anterior:


Abaixo temos um código-exemplo de como deve ficar. LEMBRE-SE DE ALTERAR O LOCATION PARA A SUA URL DO MYAPPS

Bloco de código
languagexml
themeRDark
<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://login.microsoftonline.com/7f90057d-3ea0-46fe-b07c-e0568627081b/saml2" />
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://account.activedirectory.windowsazure.com/applications/signin/0f6c78f4-13b2-4ea0-990b-16dfacdff7e9?tenantId=1626c1ab-b9a5-4f3f-9024-41fbe2b13919" />
<SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://account.activedirectory.windowsazure.com/applications/signin/0f6c78f4-13b2-4ea0-990b-16dfacdff7e9?tenantId=1626c1ab-b9a5-4f3f-9024-41fbe2b13919" />


Salvamos o arquivo e podemos passar para a integração com a MDI.

Configurando as Regras de Declaração (RM Portal)


Informações
iconfalse
Deck of Cards
idConfigurando o Aplicativo Confiável no Azure AD
Card
label4º Passo:

Selecione a opção: "2. Set up single sign on". e depois SAML

Card
label5º Passo:

Defina os parâmetros do Aplicativo conforme abaixo.


1 - Basic SAML Configuration


ChaveValor
Reply URL (Assertion Consumer Service URL)http://{host}:{Port}/RMCloudPass/SSOSaml2
Sign on URLhttps://localhost/CorporeRM/login.aspx
Informações
titleAtenção

Caso seja utilizado SSL no ambiente o Reply URL deverá ser preenchido com https.

O Valor para a chave Sign on URL é a URl do Portal Corpore.


2 - Atributos e Claims



ChaveValor
emailaddressuser.mail
Unique User Identifieruser.mail



Informações
titleAtenção

Os Atributos e Claims devem possuir as chaves acima onde a Unique User Identifier sempre com o valor user.mail pois é por ela que será feita o match do usuário entre o Azure AD e o RM.



Aviso
titleAtenção
Para o Portal CorporeRM não é necessário configurar o RelaySate.


3 - SAML Certificado

O XML que será inserido no sistema poderá ser baixado neste link.





Integração SAML no RM


         

Aviso
titleAtenção
  • Quando a configuração for referente à MDI (RM.exe) o XML baixado deve ser alterado e as URI's de SingleSignOnService do aplicativo RM.exe deve ser alterada contemplando o MyApps tal qual demonstrado no 5º Passo da integração com a MDI.
  • Importando o metadado do Azure AD no RM

Após obter o metadados personalizado, ele deve ser importado no RM em: Ambiente → Parâmetros → Parâmetros Globais → Integração SAML

Caso queira integrar o Azure AD com a MDI, via SAML, adicionar o metadado no campo "Metadata Identity Provider - RM.exe"

    

Caso queira integrar o Azure com o Portal, via SAML, adicionar o metadado no campo "Metadata Identity Provider - Portal".




















Informações

Existe a possibilidade de integrar o Azure AD com a MDI e o Portal de forma simultânea, basta adicionar o metadado nos campos "Metadata Identity Provider - RM.exe" e "Metadata Identity Provider - Portal".

Informações
iconfalse
Informações
iconfalse

Produto: Framework

Informações
iconfalse

Versão: 12.1.27 e superiores

Informações
iconfalse

Processo: Integração SAML

Informações
iconfalse
Informações
iconfalse

Status: Finalizado

Informações
iconfalse

Data: