Autenticação no Microsoft Azure via SAML 2.0

O SE Suite possui a autenticação integrada via SAML 2.0 na plataforma Azure, da Microsoft, homologado. O Microsoft Azure é uma plataforma destinada à execução de aplicativos e serviços, baseada nos conceitos da computação em nuvem. Os conceitos e a forma de funcionamento da autenticação nesta plataforma são muito parecidos com o modelo apresentado anteriormente, diferindo apenas na ordem da troca dos arquivos de metadados entre o sistema e o serviço (para o Azure, deve ser gerado primeiramente o arquivo de metadados do SE Suite). Veja, a seguir, como configurar a autenticação via SAML 2.0 na plataforma Azure:

1.Para configurar a autenticação de usuários via SAML, acesse o componente Configuration

Authentication (CM008), selecione, no menu lateral, Authentication Options e marque a opção SAML 2.0.

2.Selecione, no menu lateral, Authentication services

SAML 2.0 e adicione uma nova configuração. Na tela que será aberta, informe no campo ID um identificador para esta configuração. Depois, clique no botão Generate new certificate, informe a quantidade de anos de validade deste certificado e, depois, clique no botão Generate para gerar o certificado.

3.Ainda em Service Provider Metadata (SP), clique no botão Download metadata file para fazer o download do arquivo metadados. Salve a configuração clicando em Apply.

IMPORTANTE!

▪O upload do arquivo de metadados do provedor de identidade será feito posteriormente, nesta mesma tela.

▪Se o menu "SAML 2.0" estiver desabilitado, verifique se o campo SAML 2.0 está marcado na seção "Opções de autenticação".

4.Em seguida, acesse a plataforma do Azure Active Directory e realize as configurações descritas abaixo:

IMPORTANTE!

Para realizar as configurações a seguir, deve-se ter uma aplicação empresarial previamente cadastrada na plataforma Azure Active Directory. Caso ainda não haja uma aplicação empresarial cadastrada, veja como cadastrar uma em Configuração de provisionamento via SCIM com plataforma Azure Active Directory Configurando uma aplicação empresarial no Azure Active Directory.

i.No Azure Active Directory, localize a aplicação empresarial clicando no menu lateral esquerdo Enterprise applications;

ii.Selecione All applications para que sejam listadas as aplicações empresariais registradas;

iii.Localize a aplicação empresarial para a qual deseja configurar a autenticação SAML 2.0.

5.Selecione a aplicação empresarial e, em seguida, no menu lateral esquerdo, acesse Single sign-on e selecione o método SAML.

6.Na sequência, clique em Upload metadata file, carregue o arquivo de metadados “SESUITE_metadata.xml” cujo download foi feito anteriormente pelo SE Suite na tela de configuração do SAML 2.0 e adicione-o clicando em Add.

Obs.: Caso o arquivo apresente duas URLs iguais, será necessário remover uma delas e depois salvar.

Feito isso, os campos Identifier (Entity ID), Reply URL (Assertion Consumer Service URL) e Logout Url, na seção “Basic SAML Configuration”, devem ser automaticamente preenchidos terminando em ".../softexpert/selogin", ".../softexpert/saml" e “.../softexpert/selogin/samlsso”, respectivamente.

7.Após ter carregado o arquivo de metadados, deve-se clicar no link Download, na seção "SAML Signing Certificate", em "Federation Metadata XML", para realizar o download das configurações.

8.No SE Suite, acesse o componente Configuration

Authentication (CM008), localize a configuração SAML e edite-a. Em Identity Provider Metadata, clique no botão Import metadata file e informe o arquivo de configuração XML obtido do Azure. Salve a configuração.

9.Em seguida, é necessário configurar o atributo que será utilizado pelo Azure para autenticar via SAML 2.0 com o login do usuário cadastrado no SE Suite, na autenticação integrada.

Por padrão, o SE Suite, na autenticação integrada via SAML 2.0, utiliza o atributo configurado no claim name Unique User Identifier (Name ID) para autenticar os usuários.

É necessário verificar se o atributo configurado no claim name Unique User Identifier (Name ID) é o mesmo que foi utilizado como login no provisionamento de usuários (LDAP, SCIM, Web Service, entre outros) ou no cadastro manual de usuário pelo SE Suite. Caso não seja o mesmo, é necessário alterar o atributo deste claim ou cadastrar um novo claim e, posteriormente, configurá-lo no cadastro do SAML 2.0, no SE Suite.

Para criar um novo claim no Azure, basta selecionar a aplicação empresarial desejada, acessar o menu Single sign-on da aplicação empresarial, localizar a seção User Attributes & Claims e clicar em Edit para editar. Em seguida, clique no botão Add new claim para adicionar um novo claim, informe o nome desejado para este novo claim e selecione o atributo desejado para ele.

No SE Suite, para configurar a autenticação integrada para um novo claim, é necessário informar o nome deste novo claim no campo Credential ID, na configuração do SAML 2.0.

IMPORTANTE!

Seja qual for o tipo de provisionamento utilizado (LDAP, SCIM, Web Service, entre outros), ou cadastro manual de usuários diretamente pelo cadastro no SE Suite, o atributo configurado para autenticação nas configurações do SAML da aplicação empresarial no Azure Active Directory deve ser equivalente ao valor que está registrado no login do usuário no SE Suite.