Todas configurações a seguir podem ser feitas no Windows e Linux.
1 - Descompactar dentro do diretório do Application Server o arquivo sso.zip para Windows ou sso.zip para Linux.
Conteúdo descompactado:
libsamlsp.dll (Windows) ou libsamlsp.so (Linux) -> Biblioteca dinâmica que contém todas as funcionalidades do SAML Service Provider.
sso -> Diretório de uso exclusivo da libsamlsp.
Estrutura do diretório sso:
sso
|- etc ( Arquivos de configuração do SAML, certificados e chaves privadas )
|- lib ( Libs necessárias para a execução da libsamlsp )
|- share
|- xml ( Arquivos schema para validar os XML's de configuração e os assertions )
|- var
|- cache ( Cópia local dos arquivos de configuração dos IDP's configurados )
|- log ( Arquivos de log da libsamlsp, libsaml, libxmltooling, libxml-security, libxerces )
2 - Copiar o arquivo invoker-applet.zip para o diretório "PATH" que é configurado na sessão HTTP do arquivo de configuração do Application Server.
3 - Habilitar o servidor HTTP e HTTPS no Application Server para executar os testes.
(Opcional) Dentro da sessão HTTP ou HTTPS insira a linha "SAMLSessionName=Nome a sua escolha", este é o nome do cookie de sessão do Service Provider, se esta linha não for inserida, o Service Provider vai criar um cookie de sessão com um nome padrão.
Exemplo da coinfiguração do arquivo .ini
[HTTP] ENABLE=1 PORT=80 SessionTimeout=36000 SAMLSessionName=localhost_http_80 [HTTPS] ENABLE=1 PORT=443 PATH=D:\Desenvolvimento\Protheus\web\ws SessionTimeout=36000 SAMLSessionName=localhost_https_443 [localhost/webex] ENABLE=1 PATH=\Totvs\bin\appserver\web\ws ENVIRONMENT=SEU_AMBIENTE INSTANCENAME=webex RESPONSEJOB=job_webex [job_webex] enable=1 type=webex instances=1,5,1,1 INSTANCENAME=webex environment=SEU_AMBIENTE ONSTART=STARTWEBEX ONCONNECT=CONNECTWEBEX ONEXIT=FINISHWEBEX [ONSTART] jobs=job_webex REFRESHRATE=30
5 - Configurando o Service Provider usando o servidor:
5.1 - Alterar o entityID do ServiceProvider: setSAMLID.
5.2 - Alterar o entityID do IdentityProvider: setSAMLID.
5.3 - Configurar o Service Provider para recuperar automaticamente o arquivo de configuração do Identity Provider: setIDPConf.
5.4 - Inserir e configurar o Service Provider para utilizar sua versão de certificado digital no formato PEM X.509: setSPCert.
Se não tiver um certificado e chave for formato X.509, crie um certificado auto-assinado usando o OpenSSL.
openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem
Serão criados os arquivos "key.pem" e "certificate.pem", no formato X.509 base 64 ASCII com validade de 365 dias.
Copie os arquivos .pem para o diretório RootPath do seu ambiente.
Exemplo de um programa ADVPL ou TLPP para configurar o Service Provider para utilizar o Identity Provider da Shibboleth num site de testes gratuito.
#include 'protheus.ch'
#include 'fileio.ch'
user function setIdpShib()
local error
// http://tdn.totvs.com/display/tec/setSAMLID
if setSAMLID("https://localhost/webex/", 1, @error) == .F.
ConOut("Error setSAMLID: " + error)
return
endif
// http://tdn.totvs.com/display/tec/setSAMLID
if setSAMLID("https://samltest.id/saml/idp", 2, @error) == .F.
ConOut("Error setSAMLID: " + error)
return
endif
// http://tdn.totvs.com/display/tec/setIDPConf
if setIDPConf("https://samltest.id/saml/idp", "samltest.id.metadata.xml", @error) == .F.
ConOut("Error setIDPConf: " + error)
return
endif
// http://tdn.totvs.com/display/tec/setSPCert
if setSPCert("certfile.pem", readFile("certificate.pem"), "keyfile.pem", readFile("key.pem"), @error) == .F.
ConOut("Error setSPCert: " + error)
return
endif
return
static function readFile(FileName)
local FileSize
Local Readed
local Register := ""
local hArq := FOpen(FileName)
If hArq == -1
ConOut("Error:" + Str(FError()) + ", Error opening file '" + FileName + "'")
return nil
EndIf
FileSize := FSEEK(hArq, 0, FS_END)
FSEEK(hArq, 0, FS_SET)
Readed := fRead(hArq, @Register, FileSize)
If Readed <> FileSize
ConOut("Error:" + Str(FError()) + ", Error reading file '" + FileName + "'")
return nil
Endif
fclose(hArq)
return Register
6 - Execute a user function setIdpShib no smartclient, usando a função inicial U_SETIDPSHIB.
A execução criará os seguintes arquivos no diretório sso/etc: serviceprovider.xml , certfile.pem e keyfile.pem.
7 - Configurando o Identity Provider para fornecer identidades para o Service Provider.
OBS. O Service Provider tem um serviço que retorna um arquivo XML com sua configuração, esta configuração é extraída a partir do arquivo de configuração do Service Provider ( Item 6 ), portanto, este procedimento deve obrigatoriamente ser feito após finalizar a configuração do Service Provider.
O Arquivo XML que contém a configuração do Service Provider pode ser utilizado para configurar o Identity Provider automaticamente, mais adiante, tem um exemplo de como fazer isso com o IDP da Shibboleth.
7.1 - A URL do serviço que retorna o arquivo XML de configuração é a mesma configurada como entityID do SP, só é necessário acrescentar o caminho "/saml2/metadata", utilizando o entityID do exemplo acima a URL ficaria assim: https://localhost/webex/saml2/metadata.
Acessando esta URL a partir do browser, o arquivo XML será baixado na máquina local, o arquivo será salvo com o nome "metadata", o arquivo pode ser renomeado e incluindo a extensão ".xml", e.g. ( metadata.xml ).
Exemplo ( Configurando o Identity Provider da Shibboleth a partir do XML de configuração do Service Provider )
1º Passo:
Baixar o arquivo XML de configuração do Service Provider ( https://localhost/webex/saml2/metadata ).
2º Passo:
Acesse o site do IDP da Shibboleth e faça o upload do XML de configuração do SP ( https://samltest.id/upload.php )
Neste site temos dois passos simples:
Botão "Choose File" ou "Escolher Ficheiro", abre uma janela para selecionar o arquivo de configuração do SP ( Selecione o XML de configuração do SP baixado no 1º Passo).
Botão "Upload", faz o upload e faz a federação do IDP com o SP.
8 - Importante.
Para testar o IDP no site de testes https://samltest.id/saml/idp será necessário editar o arquivo sso\etc\security-policy.xml. Inclua a tag <PolicyRule type="NullSecurity"/> na TAG <Policy id="default" validate="false"> conforme o exemplo abaixo. A mesma não deve ser usada quando estiver usando um provedor IDP em ambiente de produção, pois, ela diminui o nível de segurança.
<SecurityPolicies xmlns="urn:mace:shibboleth:2.0:native:sp:config">
<!-- Each policy defines a set of rules to use to secure messages. -->
<!--
The predefined policy enforces replay/freshness, standard
condition processing, and permits signing and client TLS.
-->
<Policy id="default" validate="false">
<PolicyRule type="MessageFlow" checkReplay="false" expires="3600"/>
<PolicyRule type="Conditions">
<PolicyRule type="Audience"/>
<!-- Enable Delegation rule to permit delegated access. -->
<!-- <PolicyRule type="Delegation"/> -->
</PolicyRule>
<PolicyRule type="ClientCertAuth" errorFatal="true"/>
<PolicyRule type="XMLSigning" errorFatal="true"/>
<PolicyRule type="SimpleSigning" errorFatal="true"/>
<!-- Identified by type="NullSecurity", enables debugging by disabling security and permitting unauthenticated messages to pass successfully into higher layers. -->
<PolicyRule type="NullSecurity"/>
</Policy>
<!--
This policy is a place-holder for use of assertions in metadata
as a way of attaching signed information about particular IdPs.
-->
<Policy id="entity-attributes">
<PolicyRule type="Conditions"/>
<PolicyRule type="XMLSigning" errorFatal="true"/>
</Policy>
<!-- Disables known weak algorithms. -->
<AlgorithmBlacklist includeDefaultBlacklist="true"/>
</SecurityPolicies>
9 - Testando o Service Provider
A URL do serviço SAML é mesma configurada como entityID do SP, só é necessário acrescentar o caminho "/saml2/get/totvssmartclient" ( Desktop ) ou "/saml2/get/url?url_do_serviço_web" ( Web ).
Exemplos:
Desktop:
https://localhost/webex/saml2/get/totvssmartclient/default.htm
ou seja,
entityID/saml2/get/totvssmartclient/default.htm
Atenção
Para versões igual ou superior ao Lobo Guará é necessário inserir a pagina "default.htm" no fim da requisição para abertura do smartclient. Caso isso não seja inserido, o server tentará carregar a página default configurada no appserver.ini e isso poderá ocasionar na não abertura do smartclient.
Web:
9.1 - Criar um programa para testes.
Crie e compile um programa para devolver data e hora
#INCLUDE 'TOTVS.CH' user function horaAtual() return TIME()
Obs. No cenário web, é necessário que a URL do serviço web seja previamente cadastrada (setSAMLSvc) ou inclua os sites a serem acessados no arquivo sso\etc\services.conf.
Caso contrário será apresentado o erro "URL not allowed".
9.2 - Incluir os sites a serem acessados usando a função setSAMLSvc ou editando o arquivo sso\etc\services.conf.
http://localhost/webex/u_horaatual.apw https://localhost/webex/u_horaatual.apw
9.3 - Para testar o ambiente, inicie o Application Server e acesse este link: https://localhost/webex/saml2/get/url?http://localhost/webex/u_horaatual.apw
Obs. Se tudo foi configurado corretamente, quando você executar o passo acima, você será redirecionado para a página de login do IDP, após o login, o IDP vai te redirecionar para página do SP e se o processo de validação da resposta SAML ( assertion ) foi concluído com sucesso, o SmartClient Desktop ou a página web será aberta, caso contrário será apresentado um erro na página.
Veja também: saveIDPXML
Visão Geral
Import HTML Content
Conteúdo das Ferramentas
Tarefas