Configurando a autenticação no AD FS com SAML 2.0 |
Nesta seção, será apresentado um passo a passo para demonstrar a configuração de todas as partes envolvidas na autenticação. Para isso, considere como base o serviço de identidade instalado em um servidor Windows Server 2012 R2, que tem suporte nativo ao AD FS e ao protocolo de autenticação SAML 2.0:
1.A primeira etapa da configuração consiste em obter os metadados do provedor de identidade. Os dados estão contidos em um único arquivo chamado "FederationMetadata.xml". Este arquivo contém as informações necessárias para que o SE Suite consiga interpretar as mensagens trocadas com o serviço durante o processo de autenticação, como certificados digitais e endereços de acesso. O provedor de identidade fornece uma URL de acesso para que seja possível baixar o arquivo, como exemplificado abaixo:
URL de acesso para download do arquivo de metadados do provedor de identidade:
Exemplo considerando como endereço do servidor do ADFS "trevor.contoso.local":
2.Após obter o arquivo FederationMetadata.xml do serviço de identidade, basta importá-lo para o SE Suite acessando o componente SE Configuração Autenticação (CM008) seção Serviços de autenticação SAML 2.0. Se esta seção estiver desabilitada, basta selecionar o modo de autenticação SAML 2.0, na seção "Opções de autenticação".
3.Feito isso, deve-se gerar o certificado e exportar o arquivo SESUITE_metadata.xml do SE Suite.
O arquivo gerado tem as informações necessárias para que o servidor de identidade (AD FS) consiga interpretar as mensagens enviadas pelo SE Suite durante o processo de autenticação, como, o certificado gerado e as URLs de acesso do sistema. Ele será importado no AD FS.
4.A importação do arquivo SESUITE_metadata.xml no AD FS, é feita pelo AD FS Management. Veja como realizar esta operação: i.No painel Ações, localizado no lado direito da tela, clique na opção Adicionar confiança da terceira parte confiável...
ii.Neste momento, o assistente será aberto. Clique na opção Iniciar. iii.Na etapa Selecionar fonte de dados, selecione a opção "Importar dados sobre a terceira parte confiável de um arquivo" e no campo abaixo, selecione o arquivo SESUITE_metadata.xml. Feito isso, clique em Avançar:
iv.Na etapa Especificar nome para exibição, informe um nome para identificar a configuração. Feito isso, clique em Avançar:
v.Na etapa Configurar a autenticação multifator agora?, selecione a opção "Não definir configurações de autenticação multifator para este objeto de confiança de terceira parte confiável neste momento.". Feito isso, clique em Avançar:
vi.Na etapa Escolher regras de autorização de emissão, selecione a opção "Permitir que todos os usuários acessem esta terceira parte confiável". Feito isso, clique em Avançar:
vii.Confira as informações mostradas na aba Pontos de extremidade da etapa Pronto para adicionar confiança, verificando se a URL mostrada corresponde à URL de acesso ao SE Suite correta. Feito isso, clique em Avançar:
viii. Na etapa Concluir, marque a opção "Abrir a caixa de diálogo Editar Regras de Declaração desta terceira parte confiável ao fechar o assistente" e em seguida, clique em Fechar:
5.Em seguida, deve-se configurar as "Regras de declaração". Se a opção de editar as regras de declaração não foi marcada anteriormente, é possível acessar as regras de declaração acessando o menu Confiança de terceira parte confiável Editar regras de declaração do AD FS Management:
i.Para adicionar uma nova regra, na aba Regras de transformação de emissão da tela que será aberta, clique na opção Adicionar regra:
ii.Na etapa Escolha o tipo de regra, selecione a opção "Enviar atributos LDAP como declarações" e clique em Avançar:
iii.Na etapa Configurar regra de declaração, configure os campos como mostrado na imagem a seguir. Feito isso, clique em Concluir:
iv.Feito isso, a regra criada será apresentada na listagem da aba Regras de transformação de emissão. Clique em OK para finalizar a edição das regras de declaração.
6.A última etapa da configuração da autenticação integrada via SAML 2.0, antes de testar a autenticação, é a configuração dos navegadores:
|