TOTVS Fluig

Atalhos

Árvore de páginas

Versões comparadas

Versão antiga 10

changes.mady.by.user Leoberto Jose Preuss Junior

Gravado em

comparado com

Nova versão 11

changes.mady.by.user Leoberto Jose Preuss Junior

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

...

Índice
maxLevel4
outlinetrue
exclude.*ndice
stylenone

Integração com o

...

Active Directory

O Fluig fluig Identity permite 3 três formas de integração com o Active Directory:-

  • Integração para sincronização de usuários e acesso com credenciais do AD, via SmartSync

...

  • Integração para Single Sign On, via Desktop SSO

...

  • Integração para provisionamento e desprovisionamento de acessos no AD, feito via Administração no

...

  • fluig Identity

Nos 2 dois primeiros casos, utilizamos componentes de apoio, que viabilizam essa integração.

O SmartSync é um componente construído em .NetNET, e que consiste em uma aplicação desktop, onde podemos configurar a conexão entre o Fluig fluig Identity e os domínios do AD com o qual desejamos realizar a integração.

Podemos ter n qualquer número de domínios configurados. Nesta configuração, informamos os dados de conexão:-

  • Servidor do AD

...

  • Base DN

...

  • Usuário para leitura / gravação no AD

...

  • Senha do usuário

...

  • Token de conexão, criado pelo

...

  • fluig Identity

Por conta destas configurações, é importante que o cliente destaque um funcionário com conhecimento da infraestrutura do AD para que possa auxiliar com estas informações.

No caso do Desktop SSO, trata-se de um script, que pode e normalmente é instalado no mesmo servidor do SmartSync. Este script deve ser instalado no IIS e deve ser exposto de forma que o Fluig fluig Identity possa acessá-lo.

Este script será responsável por viabilizar o Single Sign On (SSO) para o Fluig fluig Identity. Desde que o usuário tenha entrado com suas credenciais de rede, no login do Windows, quando ele tentar acessar o Fluig fluig Identity, ou qualquer aplicação que esteja integrada com o Fluig fluig Identity, nenhum usuário e senha será requisitado para o usuário.

Arquitetura

A integração entre o Fluig fluig Identity e o Active Directory deve ser configurada, iniciando pela importação de usuários do AD.

O Fluig fluig Identity possui um componente chamado SmartSync, cujas responsabilidades consistem em:-

  • Executar a importação inicial de usuários do AD

...

  • Permitir que um usuário

...

  • do fluig Identity possa utilizar suas credenciais de rede / AD para autenticação.

...

  • Efetuar a sincronização de dados entre o Active Directory e o

...

  • fluig Identity, incluindo informações da conta de usuários existentes e novas contas que venham a ser criadas no AD.

Como pode ser visto no diagrama abaixo, o SmartSync funciona como um agente entre o Fluig o fluig Identity e o Active Directory do cliente.

...

No caso deste componente estar off-lineoffline, usuários do Fluig fluig Identity possuem uma contingência para continuar com acesso aos seus softwares, que consiste em utilizar uma credencial própria que é informada no momento da ativação do usuário. 

Alguns cenários possíveis:

- Cenário 1 :

  • 1 servidor com SmartSync instalado, provendo sincronização e autenticação com credenciais AD

- Cenário 2:

  • 2 servidores, cada um com o SmartSync instalado, contemplando alta disponibilidade para sincronização e autenticação com credenciais AD

- Cenário 3:

  • 1 servidor com SmartSync e Desktop SSO instalados, provendo sincronização de usuários e Single Sign On para o Fluig Identity, utilizando credenciais AD informadas no login do Windows

- Cenário 4:

  • 3 servidores, onde 2 possuem Smartsync e Desktop SSO instalados, contemplando um ambiente de alta disponibilidade e o terceiro servidor agindo como Load Balancer.

 

Deck of Cards
idcenários
Card
labelCenário 1

 

Image Modified

...

Cenários simples, sem single sign on e sem alta disponibilidade

...

 

...

Este cenário contempla a integração entre Fluig Identity e AD, contemplando sincronização de usuários e autenticação utilizando credenciais do AD. Não contempla alta disponibilidade.

Card

...

labelCenário 2

 

Image Modified

Figura 3 - Cenário contemplando alta disponibilidade de sincronização e autenticação com credencial AD, sem contemplar Single Sign On

 

 

Neste cenário, temos 2 servidores atendendo a sincronização de usuários e a autenticação com credenciais AD.

Se um dos 2 servidores ficar off-line, o outro servidor continua sustentando a sincronização e autenticação dos usuários.

Não há necessidade de load balancer porque o SmartSync possui um comportamento ativo, consumindo uma fila de requisições disponibilizadas pelo Fluig Identity.

Single Sign On não está disponível neste cenário.

...

Card
labelCenário 3

...

 

...

Image Modified

Figura 4 - Cenário onde temos sincronização de usuários e Single Sign On para acesso ao Fluig Identity, sem alta disponibilidade

 

 

Neste cenário temos o SmartSync fornecendo sincronização de usuários e o Desktop SSO fornecendo Single Sign On. Desde que o usuário tenha informado suas credenciais corretamente na tela de login do Windows, ele poderá acessar o Fluig Identity sem entrar com credenciais novamente.

Este cenário não contempla alta disponibilidade. Se o Desktop SSO estiver off-line, o usuário poderá autenticar no Fluig Identity com suas credenciais do AD.

Se o SmartSync estiver off-line, o usuário poderá acessar o Fluig Identity utilizando credenciais que ele informou na ativação da conta. Trata-se de uma credencial de contingência.

...

Card

...

labelCenário 4

...

Image Modified

Figura 5 - cenário onde temos sincronização de usuários e Single Sign On, com alta disponibilidade

 

 

Neste cenário temos o SmartSync fornecendo sincronização de usuários e o Desktop SSO fornecendo Single Sign On. Desde que o usuário tenha informado suas credenciais corretamente na tela de login do Windows, ele poderá acessar o Fluig Identity sem entrar com credenciais novamente.

Este cenário contempla alta disponibilidade. Se um Desktop SSO estiver off-line, o Load Balancer se encarrega de direcionar a requisição para o servidor que está online.

Se um SmartSync estiver off-line, a outra instalação continua provendo o serviço de sincronização de usuários.

Pré-Requisitos

Consideramos que o ideal é providenciar um ambiente de alta disponibilidade, com 2 máquinas dedicadas para o SmartSync e Destkop SSO e uma terceira máquina, utilizada para Load Balance no caso do Desktop SSO.

Opcionalmente, o cliente pode optar por utilizar apenas 1 uma máquina, onde ficará instalado o SmartSync e o Desktop SSO, eliminando a máquina de redundância e o Load Balancer.

...

Este servidor, ou servidores caso se opte por alta disponibilidade, devem atender mais alguns requisitos:-

  • Deve possuir acesso à internet, para acesso ao

...

  • fluig Identity

...

  • Deve ter acesso ao domínios ou domínios a serem configurados no SmartSync

...

  • Deve ser providenciado um usuário com privilégios de leitura do AD, para fins de sincronização e autenticação de usuários.

...

  • Este usuário deve ter privilégio de gravação, caso decida-se implantar um projeto com provisionamento e desprovisionamento de usuários no AD.

...

  • Preferencialmente, a máquina onde será instalado o SmartSync / Desktop SSO não deve ser a máquina onde temos instalado o AD / controlador de domínio, evitando expor a mesma a internet.