Neste módulo é possível integrar provedores de autenticação externa que sejam compatíveis com o protocolo SAML 2.0 (Security Assertion Markup Language) e que possam funcionar como um ponto único de autenticação ou SSO (Single Sign-On), além de fornecer autenticação multifator (esse recurso é fornecido diretamente pelo provedor).
Observe que você precisa ter os usuários importados ou pré-criados para que o console os autentique. Esse processo pode ser feito importando usuários do LDAP, importando usuários por meio de arquivos de texto ou criando manualmente arquivos de texto.
Para a autenticação dos usuários, o endereço de e-mail será utilizado para identificá-los dentro do sistema, recomenda-se que cada usuário tenha um endereço exclusivo.
1. Para configurar provedores de autenticação, acesse o Console de Gerenciamento do ASMS no Configurações gerais No menu principal, selecione o ícone Autenticação externa. Na visualização de informações, selecione o Novo e na visualização de detalhes preencha as informações solicitadas.
| Campo | Descrição |
|---|---|
| Fornecedor | Nome a atribuir ao prestador; Este nome é o nome que aparecerá na tela de autenticação do console correspondente. |
| Consolar | Tipo de console a ser integrado. |
| Console URL | URL do console público. Esse valor deve ser fornecido ao seu provedor de autenticação como um Identificador (ID da entidade). Exemplo: https://dominio.com/asmsadministrator |
| Login URL | URL de logon do provedor de autenticação. Esses dados devem ser obtidos diretamente do fornecedor. |
| Logout URL | Valide o console para o qual a configuração é necessária e, para cada console, observe a seguinte estrutura: Administração: URL do console de administração /logout.aspx Especialista: URL do console especializado /logout Cliente: URL do console do cliente /logout Especialista em dispositivos móveis: URL do console especializado /logout Cliente móvel: URL do console do cliente /logout. Exemplo: https://login.microsoftonline.com/xxxxxx-xxxx-xxxx-xxxx-xxxxxxxxx/saml2 |
| Identificador de identidade | ID de identidade do provedor de autenticação. Esses dados devem ser obtidos diretamente do fornecedor. |
| Informações sobre o produto | Os seguintes dados devem ser fornecidos ao seu provedor de autenticação para configurar a relação de confiança entre as duas partes: - URL de login * - URL de logout *  Esses endereços são gerados a partir do Console URL, você deve salvar as configurações para que sejam permanentes, pois se você não fizer isso e executar o processo novamente, elas podem mudar. |
| Estado | Habilite a integração usando o seletor em EM |
2. Quando terminar de configurar as informações do provedor, clique em Salvar para confirmar as alterações feitas
3. Dependendo do seu provedor de autenticação, você deve seguir as etapas correspondentes:
ADFS
Obter dados do fornecedor
1. Identificador de identidade: Em uma instalação padrão, seu valor corresponde a https://dominio/adfs/services/trust
Esse identificador pode ser obtido diretamente do servidor ADFS abrindo o console Gerenciamento do AD FS, no menu principal, selecione o Serviço e, no menu Ações, selecione o Editar propriedades do serviço de federação à direita.
2. Login URL: Em uma instalação padrão, seu valor corresponde a **https://dominio/adfs/ls/
É possível obtê-lo diretamente do servidor ADFS abrindo o console Gerenciamento do AD FS, no menu principal, selecione o Serviço e Extremidade.
3. Logout URL: Em uma instalação padrão, seu valor corresponde a https://dominio/adfs/ls/?wa=wsignout1.0
Você pode executar o mesmo procedimento para obter o Login URL e adicione o valor ?wa=wsignout1.0
Esses dados devem ser inseridos ao criar um provedor de autenticação externo no Console de Gerenciamento do ASMS. Exibir configurações de autenticação externa.
Configurando a relação de confiança
1. Inicie o console Gerenciamento do AD FS no servidor em que o ADFS está instalado, clique com o botão direito do mouse no Relações de confiança de terceira parte confiávelSelecionar Adicionar confiança de terceira parte confiável…
2. Selecionar Reconhecimento de sinistros e clique em Começar.
2. Selecionar Inserir dados sobre a terceira parte confiável manualmente, depois em Próximo.
3. Insira um nome descritivo e registre as informações adicionais. Clique Próximo.
4. Você pode clicar em Próximo Em El Paso Configurar certificado para deixar os padrões.
5. Selecionar Habilitar o suporte para o protocolo WebSSO SAML 2.0 e insira o Login URL No console, clique em Próximo
6. Insira o Console URLclique Adicionar e mais tarde em Próximo.
7. Selecione o tipo de política de acesso a ser aplicada, com base em seus requisitos de segurança, clique em Próximo.
8. Você pode ver o resumo das configurações de clique em Próximo.
9. Verifique se a opção está selecionada Configurar a política de emissão de declarações para este aplicativo para configurar políticas para a emissão de Reivindicações que eles devem ser usados para integração; Clique Fechar para concluir o assistente.
10. Você encontrará uma nova janela para configurar as políticas, clique em Adicionar regra.
11. Selecione o modelo Sen Atributos LDAP como Declarações clique Próximo.
12. Insira um nome para a regra, selecione Diretório ativo No Repositório de atributosSelecionar Endereços de e-mail no lado esquerdo da mesa e ID do nome do lado direito; Conclua a criação da regra clicando no ícone Acabar.
13. Para concluir o Assistente de Edição de Diretiva, clique no ícone OKEY.
14. Para adicionar o endereço de logout do console, edite o provedor criado no ADFS, clique com o botão direito do mouse no nome do provedor na opção Propriedades. Você também pode fazer isso escolhendo o nome do provedor e clicando com o botão esquerdo nele.
15. Selecione a opção de guia Extremidade e clique no ícone Adicionar SAML… .
16. Selecionar SAML Logout No Tipo de endpointposterior Redirecionar No Ligação e, finalmente, digite o endereço Logout URL do console correspondente.
17. Haga clic en el botón OK y cierre la ventana de propiedades, haga clic de nuevo en el botón OK.
Azure Active Directory
Obter dados do fornecedor
Primeiro, crie um aplicativo empresarial por meio do portal do Azure.
Selecione a opção Crie seu próprio aplicativo e na janela que você habilitar, digite um nome para o aplicativo e verifique se a opção está habilitada Integrar outros aplicativos que não estão na galeria; Em seguida, clique no ícone Criar. Aguarde um momento enquanto o aplicativo é criado.
Depois que o aplicativo for criado, selecione o ícone Logon únicoe, em seguida, selecione SAML como Método de logon único.
Na página Configurando o logon único com SAML, clique no ícone Configuração básica do SAML para editar as configurações.
No Configuração básica do SAML, siga estas etapas:
Adicione um identificador e digite o Console URL ASMS.
Posteriormente, adicione um URL de resposta e digite na caixa de texto o Login URL do console do ASMS.
Exemplos:
- URL do identificador:
https://dominio.com/asmsadministrator/ - URL de resposta:
https://dominio.com/asmsadministrator/api/externalauth/XXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXX/login
Conclua a configuração selecionando o botão Salvar.
Agora você pode copiar os seguintes valores:
Login URL que corresponde ao campo Login URL nas configurações de autenticação externa do Console de Gerenciamento do ASMS.
Azure AD ID que corresponde ao campo Identificador de identidade nas configurações de autenticação externa do Console de Gerenciamento do ASMS.
Para o campo URL de logout, use o seguinte endereço:
https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
Lembre-se de conceder permissões aos usuários que podem acessar o aplicativo por meio do Usuários e grupos.
Validação de login
* O usuário que faz login deve estar previamente configurado para que possa entrar no console correspondente.
Na janela de login do console que foi configurado, você encontrará um botão com o nome do provedor configurado na parte inferior da janela.
Clicar no botão redireciona você para o provedor de autenticação, onde você pode inserir os dados de login correspondentes.
Ao final do processo de autenticação, você será redirecionado automaticamente para o console e poderá ver o usuário autenticado refletido.
