Versões comparadas

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

Objetivo


       Este documento é demonstra como integrar o sistema RM com o AD FS como provedor de Identidade.

Introdução


          O AD FS, Active Diretory Federation Services, permite o compartilhamento da informação de identidade em um ampla variedade de aplicativos utilizando o padrão SAML que é suportado na linha RM.

Configurando o Aplicativo Confiável no AD FS


         Abaixo são demonstrados os passos para a criação da entidade confiável para a Linha RM dentro do AD FS.

Deck of Cards
idPasso a Passo
Card
idPasso 1
labelPasso 1
titlePasso 1

Ao acessar a configuração do AD FS, selecione "Add Relying Party Trust" para acesso ao assistente de configuração.

Acione o botão "Start".

Card
idPasso 2
labelPasso 2
titlePasso 2
Selecione a opção "Enter data about the relying party manually" para inserir os dados sobre a Linha RM.

Acione o botão "Next".

Card
idPasso 3
labelPasso 3
titlePasso 3

 Informe um nome para identificar o aplicativo

Card
idPasso 4
labelPasso 4
titlePasso 4

  Selecione a opção: "AD FS profile"


Card
idPasso 5
labelPasso 5
titlePasso 5

  Neste ponto, acione "Next"


Card
idPasso 6
labelPasso 6
titlePasso 6

Neste passo, deve-se informar a URL do serviço responsável por processar o SingleSignOn do RM:
https://<Endereço do Host>/RMCloudPass/SSOSaml2

O AD FS exige que este serviço esteja exposto via SSL. Mais detalhes sobre como configurar o RM Host para expor serviços via SSL em: Habilitar SSL/TLS no Host


Card
idPasso 7
labelPasso 7
titlePasso 7

  Selecione a opção: "I do not want to configure multifactor..."


Card
idPasso 8
labelPasso 8
titlePasso 8

  


Card
idPasso 9
labelPasso 9
titlePasso 9

  


Card
idPasso 10
labelPasso 10
titlePasso 10

  Selecione a caixa de seleção para abrir a edição de regras


Card
idPasso 11
labelPasso 11
titlePasso 11

  Selecione a opção: "Add rule..."


Card
idPasso 12
labelPasso 12
titlePasso 12

  Selecione a opção: "Send LDAP Attributes as Claims"


Card
idPasso 13
labelPasso 13
titlePasso 13

Defina um nome para a regra e selecione o mapeamento conforme a imagem abaixo. O mapeamento para o SSO no RM é feito pelo e-mail do usuário.


Card
idPasso 14
labelPasso 14
titlePasso 14

   Selecione a opção: "Add rule..."


Card
idPasso 15
labelPasso 15
titlePasso 15

  Selecione a opção: "Tranform an Incoming Claim"


Card
idPasso 16
labelPasso 16
titlePasso 16

Defina um nome para a regra e selecione os parâmetros conforme a imagem abaixo.


Metadado do AD FS


        Abaixo temos um exemplo do metadados SAML que deve ser importado no RM:

Bloco de código
languagexml
firstline1
titleMetadata
linenumberstrue
<?xml version="1.0" encoding="UTF-8"?>
<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://<URI do Portal Corpore .NET>" ID="_32a417e2-1378-405d-8757-94bcba2db823">
<IDPSSODescriptor protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
<KeyDescriptor use="signing">
<KeyInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<X509Data>
	<X509Certificate>MIIC4DCCAcigAwIBAg...</X509Certificate>
</X509Data>
</KeyInfo>
</KeyDescriptor>
<SingleSignOnService Location="https://<Servidor AD FS>/adfs/ls/idpinitiatedsignon.aspx?loginToRp=<Identificador do RP>" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"/>
<SingleSignOnService Location="https://<Servidor AD FS>/adfs/ls/idpinitiatedsignon.aspx?loginToRp=Totvs" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>
<SingleLogoutService Location="https://<Servidor AD FS>/adfs/ls/?wa=wsignout1.0" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"/>
<SingleLogoutService Location="https://<Servidor AD FS>/adfs/ls/?wa=wsignout1.0" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" />
</IDPSSODescriptor>
</EntityDescriptor>

Repare que as URI's devem estar configuradas de acordo com seu ambiente.

Aviso
titleAtenção
  • O atributo entityID do elemento EntityDescriptor deve estar definido com a URL do Portal Corpore.NET.
  • Nas URI's de SingleSignOnService, o parâmetros LoginToRp deve receber o nome da Relying Party configurado no Passo 3 do Item "Configurando o aplicativo confiável no AD FS".

Importando o metadado do AD FS no RM


        Após obter o metadados personalizado, ele deve ser importado no RM em: Ambiente → Parâmetros → Parâmetros Globais → Integração SAML

Aviso
titleAtenção

Até o momento, a integração com o AD FS foi homologada somente com o Portal Corpore.NET

Informações
iconfalse
Informações
iconfalse

Produto: Framework

Informações
iconfalse

Versão: 12.1.18 e superiores

Informações
iconfalse

Processo: Integração SAML

Informações
iconfalse
Informações
iconfalse

Status: Finalizado

Informações
iconfalse

Data:  

Informações
iconfalse

Autores:

Carlos Roberto Pereira Garcia

Carlos Philippe de Farias Marques

Diogo Damiani Ferreira

Stella Gleyse Macedo Vilaca