A incorporação desse modo de autenticação originou da necessidade de um cliente de conceder acesso ao 4YouSee Manager aos seus funcionários, dado que o mesmo já utiliza a tecnologia Azure Active Directory para gerenciar e prover recursos para seus usuários em seu ambiente empresarial, de forma integrada.
foi definida a autenticação via SAML para realização da criação e validação dos usuários dentro do Manager, dadas as suas credenciais provindas do Azure AD.
Configuração de Aplicativo Empresarial no Azure Active Directory para Login Único no 4YouSee Manager
O primeiro passo para configurar o processo de login único no Manager via padrão SAML é a criação de um aplicativo empresarial externo dentro do Azure Azure Active Directory (AD). Atualmente só é possível fazer essa configuração por meio do Azure AD. Para tanto, você (ou o seu parceiro) deve seguir os passos abaixo para completar essa tarefa:
- Seção 1, Criar aplicativo empresarial no Azure AD, é destinada à pessoa responsável por gerenciar os usuários que terão acesso ao aplicativo 4YouSee Manager, bem como a criação e configuração desse aplicativo empresarial dentro do Azure AD.
- Seção 2, Configurar dados para login único no 4YouSee Manager, se destina ao Administrador do ambiente do cliente no 4YouSee Manager, que fará a configuração espelhada naquela feita na seção 1, para prover a possibilidade de logon único via SAML com Azure AD.
1) Criar aplicativo empresarial no Azure AD
Para criar um aplicativo no azure AD é necessário Acessar a página de aplicativos empresariais, como ilustrado abaixo:
Em seguida, clique em “Novo aplicativo”:
Depois disso, dê um nome ao aplicativo e selecione a opção adequada, como ilustrado abaixo:
Feito isso, você precisa atribuir usuários a esse aplicativo, seguindo o primeiro passo da tela seguinte à criação do mesmo, como abaixo:
Caso você não tenha usuário criado, você deve encontrar a opção “Usuários” no Azure AD, e criar um usuário para isso. Vale ressaltar que você pode adicionar um usuário membro ou um usuário convidado, como no exemplo abaixo:
Ao final da criação do usuário, retorne ao seu aplicativo empresarial recém criado, e clique no primeiro passo exibido para atribuição de usuário. Na página seguinte, adicione este usuário ao seu aplicativo, selecionando-o e confirmando. Em seguida clique em “Atribuir”.
Próximo passo é a configuração do Login Único. Volte para a tela onde constam os passos para configuração do aplicativo empresarial que você criou, e clique no segundo passo “Configurar Login Único”. Na página seguinte, clique em “SAML”, como abaixo:
Nessa página, no primeiro passo, você precisa definir o “Identificador (ID da Entidade)” e uma “Url de Resposta (URL do Serviço do Consumidor de Declaração)”, para envio do XML com as configurações via SAML a serem recebidas no 4YouSee Manager para autenticação. Perceba que ambos são obrigatórios.
Uma boa prática para o formato do Identificador é utilizar a URL do aplicativo para o qual a página é redirecionada após a autenticação, como vemos abaixo, para o ambiente fictício https://testesaml.4yousee.com.br:
Quanto à URL de Resposta, você precisa entrar em contato com o Administrador encarregado da configuração dos dados para tratamento do pedido de autenticação SAML no 4YouSee Manager, para que ele/ela forneça essa URL, pois ela é ponto de entrada da requisição de autenticação, onde são comparados os dados recebidos via arquivo XML no padrão SAML com os informados na configuração no 4YouSee Manager. Vale ressaltar que deve ser uma URL segura (https):
Os demais campos deste passo são opcionais. Clique em salvar.
Isso conclui a configuração no Azure AD. No entanto, na próxima seção, você (Administrador de usuários de aplicativo empresarial no Azure AD) verá que ainda precisará fornecer dados constantes nesta página para o Administrador do ambiente do cliente no 4YouSee Manager. Nela falaremos sobre essa configuração no 4YouSee Manager.
2) Configurar dados para login único no 4YouSee Manager
Nesta seção, são descritos os passos necessários para que o Administrador do ambiente do cliente no 4YouSee Manager forneça as configurações do aplicativo empresarial no Azure AD, para assim serem espelhadas no ambiente do cliente no 4YouSee Manager.
O Administrador do ambiente do cliente no 4YouSee Manager deve acessar a página “Parâmetros” (admin/parametro.php). Nessa página, utilize a barra de busca e digite “SAML_AUTH”. Clique no parâmetro exibido e edite seu valor de 0 para 1, salvando ao fim, clicando em “Alterar”.
Feito isso, vá em “Informações da Conta”, clicando no ícone de usuário. Na página que abrir (admin/conta.php), clique no menu “Configurações”. Em seguida, clique na aba “Autenticação SAML”.
Depois em informações da conta, escolha o menu "Autentificação SAML" e marque o checkbox ao lado de “Habilitar integração SAML” para que possa editar os campos posteriores.
Marque o checkbox ao lado de “Habilitar integração SAML” para que possa editar os campos posteriores. Em “Url de autenticação”, você deve informar a “URL de metadados de federação de aplicativos”, presente na tela de configuração do aplicativo no Azure AD. Caso não tenha acesso ao Azure AD, peça ao responsável pela configuração do aplicativo empresarial por esse dado, que está constante no passo 3 da configuração do aplicativo empresarial criado por ele, como ilustrado abaixo:
O campo seguinte é o “Token”. Esse campo também deve ser idêntico ao “Identificador (ID da Entidade)”, configurado no Azure AD. Novamente, peça à pessoa responsável por esse dado, caso não tenha acesso ao Azure AD. Esse dado está constante no passo 1 da mesma página da imagem imediatamente acima.
O próximo passo é acessar o Grupo padrão do Manager.
Esse é o grupo ao qual os usuários que irão logar via SAML (com Azure AD) pertencerão, (caso não estejam mapeados no mapeamento abaixo).
Esse é o grupo ao qual os usuários que irão logar via SAML (com Azure AD) pertencerão. Como Administrador do ambiente do cliente no Manager, você deve selecionar um grupo adequado para um usuário autenticado com Azure AD utilizar. Caso não tenha feito isso ainda, você pode ir no menu “Grupos de Usuários”, como indicado abaixo, e criar um novo.
Atenção: O grupo padrão não é de preenchimento obrigatório, porém, se não for preenchido só poderão entrar no sistema usuários cujo grupo está mapeado no passo seguinte.
O campo seguinte te possibilitará mapear quais usuários de um grupo do Azure AD pertencerão a qual grupo do manager.
Ao clicar no sinal de adicionar:
Será aberto um modal para preenchimento do mapeamento de um grupo:
- No campo UUID Grupo Azure AD é necessário colocar o UUID do grupo na Azure AD que gostaria de mapear;
- No campo Prioridade define;
- No campo Grupo você seleciona qual grupo no Manager os usuários que pertencem a tal UUID Group Azure AD irá pertencer;
- No campo Descrição você pode dar uma descrição para sua organização;
Por fim podemos avançar e salvar o formulário, clicando em "Avançar" e em seguida “Alterar”.
Isso conclui a configuração do login único do lado do 4YouSee Manager. Na seção seguinte você poderá testar esse processo.
Caso alguma configuração no Azure AD ou no 4YouSee Manager esteja incorreta, ou não seja correspondente nos dois ambientes, você se deparará com a seguinte mensagem: “As credenciais registradas no 4Yousee Manager não correspondem às fornecidas para realizar a autenticação. Por favor, contate o administrador do sistema.”