Dúvida
Como realizar a integração com AzureAD via SAML para utilização nos Portais Unificados?
Ambiente
TOTVS Educacional - Educacional - Portal - A partir da versão 12.1.2506
Entendendo a linguagem SAML
A Linguagem de Marcação para Asserção de Segurança (SAML) é um padrão amplamente utilizado para garantir que aplicativos e serviços externos possam verificar a identidade de um usuário de maneira confiável, assegurando que ele realmente seja quem afirma ser. Por meio desse protocolo, é possível implementar a tecnologia de login único (SSO), que permite que o usuário se autentique uma única vez e, a partir dessa autenticação, tenha acesso a diversos aplicativos e sistemas sem precisar se reautenticar em cada um deles. Isso simplifica a experiência do usuário, melhora a segurança e reduz a sobrecarga administrativa relacionada ao gerenciamento de senhas. Para realizar a configuração, é necessário realizar algumas configurações.
Solução
O primeiro passo é possuir uma conta criada no Microsoft Outlook: https://signup.live.com/signup. Tendo uma conta criada, precisamos registrar ela no Microsoft Azure: https://portal.azure.com/auth/login/. Caso não possua uma assinatura no Microsoft Azure, é necessário realizá-la.
Neste exemplo, vamos utilizar uma Avaliação Gratuita, clicando no botão "Iniciar" no box "Começar com uma avaliação gratuita do Azure". Ao clicar nele, o Azure oferecerá a opção de assinatura gratuita (Try Azure for Free), onde liberam uma quantidade de créditos para utilização e a opção paga (Pay as you go), onde pagamos pelo que utilizamos.
Realizando a assinatura desejada, vamos preencher alguns dados pessoais, além de outras informações, e cadastrar um método de pagamento conforme instruções da própria página, dando o aceite nos Termos solicitados pela Azure. Teremos um ID criado no Microsoft Entra. O Microsoft Entra é uma família de produtos de identidade e acesso à rede. Ele permite que as organizações implementem uma estratégia de segurança de Confiança Zero e criem uma malha de confiança que verifica identidades, valida as condições de acesso, verifica permissões, criptografa canais de conexão e monitora o comprometimento.
Após a assinatura, dentro do Microsoft Azure, localize os Aplicativos Empresariais nos Serviços do Azure.
Dentro dos Aplicativos Empresariais, clique em "Novo Aplicativo".
Dentro da Galeria do Microsoft Entra ID, clique em "Criar seu próprio aplicativo"
Descreva um nome para o Aplicativo e clique no botão "Criar". Após a criação, seremos redirecionados para a página do Aplicativo criado. Nesse artigo, estaremos descrevendo como criar um Aplicativo para uso nos Portais Unificados do Educacional, portanto, uma regra somente será criada no Azure. Caso deseje utilizar a integração SSO para o RM.EXE, deverão ser criados 2 Aplicativos, 1 para o RM.EXE e outro para o Portal. Saiba mais: Integração do RM com Azure AD via SAML.
Dentro do cadastro do Aplicativo criado, clique na opção "2 - Configurar logon único".
Na próxima etapa, selecione o método de logon único chamado "SAML".
Após acessar o Aplicativo, é necessário realizar algumas configurações.
A primeira delas será no box 1, "Configuração Básica de SAML". Para isso, clique no botão "Editar".
Após clicar no botão "Editar", será aberta a tela das Configurações Básicas. Devemos definir um Identificador no campo "Identificador (ID da Entidade)". Este valor será utilizado para identificar o emissor de uma solicitação, resposta ou afirmação. Não é necessário definir um Identificador Secundário (através do botão "Adicionar um Identificador"), mas caso seja definido, será necessário marcar um como primário na coluna chamada "Padrão", marcando seu checkbox.
Ainda na tela das Configurações Básicas, vamos definir uma URL de Resposta (URL do Consumidor de Declaração). Essa URL será responsável por receber a resposta de login do IDP (Azure AD), ou seja, é onde o Aplicativo espera receber o token de autenticação. Isso também é chamado de “Serviço do Consumidor de Declaração” (ACS) no SAML.
A URL padrão é: http://localhost/FRAMEHTML/web/app/Edu/loginportais/RMCloudPass/SSOSaml2?ProviderId=1 (Caso seja utilizado SSL no ambiente, a URL de Resposta deverá ser preenchida com HTTPS). Onde está escrito "Localhost" devemos inserir o domínio do ambiente e ao final da URL, precisamos inserir o complemento '?ProviderId=1'. Após o preenchimento, clique no botão "Salvar".
Esse valor de Provider representa o ID do cadastro do Aplicativo SAML no RM, que no caso desse exemplo será o valor 1. Se o Aplicativo SAML no RM for cadastrado com outro código, basta alterar seu valor ao final dessa URL. Os campos URL de Logon, Estado de Retransmissão e URL de Logoff são opcionais, não sendo necessário preenchê-los para funcionamento da integração com o Portal.
Após as configurações, as configurações do box "Configuração Básica de SAML" ficarão da seguinte maneira.
Seguindo as configurações do Logon Único com SAML, vamos chegar ao segundo box chamado "Atributos e Declarações". Nesta etapa iremos configurar o Atributo. Basta clicar no botão "Editar" na guia de Atributos e Declarações".
Após clicar em 'Editar', clique na linha que está presente no box "Declaração Necessária".
Dentro da Declaração, é necessário alterar o Identificador Exclusivo do Usuário (ID do Nome) para a opção "user.mail" no campo "Atributo de Origem". Por padrão, o Identificador Exclusivo do Usuário (ID do Nome) vem com o valor user.userprincipalname, porém a chave utilizada para fazer o match do usuário entre o Identity Provider (Azure AD) e o provedor de serviços (RM) é o e-mail.
Ainda nas configurações dos Atributos e Declarações, clique no botão "Adicionar nova Declaração".
Inclua uma Declaração com o nome "ExecutablePath". No campo "Atributo de Origem" inclua o valor "" (são duas aspas). O Atributo não precisa conter valor, apenas estando na requisição o sistema conseguirá seguir o fluxo de login correto, o comportamento do provedor de serviços (RM) é o mesmo caso o atributo possua valor. Caso o atributo ExecutablePath não seja adicionado no Aplicativo, a integração poderá seguir um fluxo de login SSO incorreto.
Após salvar, os Atributos e Declarações ficarão da seguinte maneira. As configurações devem permanecer exatamente da forma abaixo, pois é por meio deste identificador que o match do usuário entre o Azure AD e o RM será feito.
A última configuração a ser realizada no Logon com base em SAML é no box 3 chamado "Certificados SAML". Nesta opção, o Certificado SAML será mostrado com o status "Ativo", sua Data de Expiração (3 anos por padrão), o E-mail de Notificação e a URL de Metadados de Federação de Aplicativo, que é o arquivo que será inserido no RM para realizar a integração.
No botão "Editar" teremos as opções abaixo, onde não é necessário fazer alterações.
Voltando á tela inicial do box Certificado SAML, clique no botão "Baixar" que está logo a frente da opção "XML de Metadados de Federação".
Abra o arquivo baixado em algum editor de TXT. Dentro do arquivo, procure pela tag chamada "X509Certificate". O conteúdo presente dentro dessa tag no arquivo deverá ser copiado para ser inserido posteriormente no cadastro do Aplicativo SAML cadastrado no RM.EXE. O arquivo possui várias tags com o nome "X509Certificate". Para localizar o conteúdo da tag que deverá ser copiado, identifique a tag chamada "Signature". Dentro dela teremos a tag "X509Certificate", de onde copiaremos seu conteúdo, conforme exemplo abaixo.
Após as configurações no Aplicativo do Microsoft Azure, vamos cadastrar o Aplicativo SAML no RM. Através do menu Gestão | Comunicação | Aplicativos SAML. Para os Portais Unificados do Educacional, não é necessário fazer a configuração do SAML nos Parâmetros Globais. Se for utilizar o Login com Azure também no RM.EXE, deverá cadastrar um Aplicativo separado no Microsoft Azure.
Clique no botão Incluir (+) para cadastrar um novo Aplicativo SAML.
A tabela que guardará seu cadastro será a GSAMLPROVIDERSAPPS.
Dentro do cadastro do Aplicativo, vamos realizar algumas configurações. A primeira delas é marcar a flag "Ativo", que indicará se aquele Aplicativo SAML cadastrado será utilizado. No primeiro campo chamado "Nome do Provider", daremos um nome ao nosso Aplicativo, que neste exemplo foi "Azure SAML". No segundo campo chamado "URL de Retorno" vamos inserir a URL no seguinte formato: http://localhost/FrameHTML/web/app/edu/loginportais/#/loginsso (Caso seja utilizado SSL no ambiente, a URL de Retorno deverá ser preenchida com HTTPS). Onde está escrito "Localhost" devemos inserir o domínio do ambiente. Não é necessário inserir uma Porta após o domínio, mesmo que o ambiente esteja em nosso Cloud TOTVS, pois a Porta já fica configurada no ambiente Cloud. Os campos "Relay State" e "URL de Logout do Provider" não são necessários de preenchimento, podendo ficarem em branco.
O campo chamado "URL de Login do Provider" deverá ser preenchido com o endereço da "URL de Acesso do Usuário" presente nas Propriedades do Aplicativo cadastrado no Azure. Para localizá-lo, dentro do Microsoft Azure clique em Aplicativos Empresariais.
Dentro dos Aplicativos Empresariais, selecione o Aplicativo que foi configurado para o SAML conforme passos anteriores e clique no botão "Gerenciar" | "Propriedades" ao lado esquerdo.
Dentro das Propriedades, copie a URL do campo "URL de Acesso do Usuário".
Voltando para tela de cadastro do Aplicativo SAML no RM, cole a "URL de Acesso do Usuário" no campo "URL de Login do Provider". O último campo a ser configurado se chama "Metadados". Nos passos anteriores, orientamos sobre como obter ele baixando o arquivo "XML de Metadados de Federação" no Aplicativo cadastrado no Azure e copiando o conteúdo da tag "X509Certificate". Copie o conteúdo da tag e insira no campo Metadados. Após essas ações, o Aplicativo estará pronto para utilização.
Dentro do cadastro do usuário, seja Aluno, Professor, Responsável Financeiro/Acadêmico ou Agente de Atendimento do Portal Gestão Educacional, é necessário informar o email parametrizado no Microsoft Azure.
O controle dos Usuários é realizado dentro do Aplicativo no Azure na guia "Usuários e Grupos".
Antes do acesso ao Portal, é necessário validar se as configurações referentes ao ARR (Application Request Routing) e URL Rewrite estão realizadas no IIS, assim como a configuração para o arquivo de Host do RM. Estando o ambiente em nosso Cloud TOTVS, a configuração é realizada por nosso suporte ao Cloud. Saiba Mais: Configuração para Login Unificado dos Portais
O link de acesso aos Portais Unificados é http://localhost/FrameHTML/web/app/edu/loginportais/#/. (Caso seja utilizado SSL no ambiente, a URL de Retorno deverá ser preenchida com HTTPS). Onde está escrito "Localhost" devemos inserir o domínio do ambiente. Após as configurações, teremos o botão na tela de login Portais Unificados "Acessar com + 'Nome do Aplicativo SAML cadastro no RM'". No exemplo abaixo o botão se chama "Acessar com Azure SAML". Esse botão não será exibido individualmente na tela dos demais Portais Educacionais. O usuário também poderá logar com o Usuário/Senha do RM caso não utilize o Login com Azure AD.
No primeiro acesso, o usuário deverá informar E-mail e Senha no Portal Microsoft Azure. Ao logar no Portal, o sistema fará uma validação dos acessos do Usuário. Se o usuário logado tiver apenas o acesso à um Portal, isso é, ser apenas uma persona, o usuário será redirecionando diretamente para o Portal de destino. Se o usuário logado tiver mais de uma persona associado ao seu usuário, como por exemplo Professor e Responsável Acadêmico/Financeiro), serão apresentadas as opções de acesso para o Portal do Professor e Portal do Aluno.
Os Portais que estarão disponíveis dependerão das características do usuário que está fazendo login. Portal do Aluno: Se for Aluno, o usuário deve estar vinculado à entidade "Aluno" (SALUNO). Se forem Pais (Pai e Mãe), Responsáveis (Acadêmico/Financeiro), os mesmos deverão estar associados ao cadastro do Aluno. Portal do Professor: o usuário deve estar vinculado à entidade "Professor" (SPROFESSOR). Portal Gestão Educacional: o usuário deve ter algum Perfil de acesso às funcionalidades existentes no PGE e às Filiais. Em resumo, se o usuário for somente Aluno, ao logar ele será direcionado logado diretamente ao Portal do Aluno. Se o usuário for somente Professor, ao logar ele será direcionado logado diretamente ao Portal do Professor. Se o usuário logado for somente Funcionário, ao logar ele será direcionado logado diretamente ao Portal de Gestão Educacional. Se o usuário estiver associado a esses três papéis, ao logar no Portal Unificado, serão mostrados três cards com as opções para o usuário selecionar em qual Portal deseja entrar.
Saiba Mais: Login Unificado dos Portais (Aluno, Professor e PGE)
0 Comentários