Configurar o Single Sign-On (SSO)

Este artigo descreve os recursos de Single Sign-On (SSO) da plataforma e como sua organização pode ativar o SSO. Se você tem interesse em ativar o SSO na sua organização, entre em contato com seu representante de sucesso do cliente.

Visão geral

Oferecemos suporte a SAML 2.0 para Single Sign-On (SSO). O Security Assertion Markup Language (SAML) cria endpoints que oferecem aos usuários da organização um único URL para fazer login e selecionar os aplicativos que eles têm autorização para usar. Isso garante uma camada adicional de segurança e simplifica a autenticação do usuário, eliminando outras solicitações de login ao trocar de aplicativos durante uma sessão específica.

As vantagens de usar o SSO incluem:

  • Melhor experiência do usuário
  • Redução no custo operacional interno
  • Gerenciamento centralizado de usuários
  • Segurança aprimorada para sistemas empresariais
  • Adesão aos regulamentos de conformidade (SOX, HIPPA)

Suporte padrão

  • Oferecemos suporte ao OASIS Security Assertion Markup Language (SAML) v2.0 padrão para single sign-on
  • O SAML v2.0 permite integração com vários provedores de identificação comuns, incluindo Microsoft Active Directory (via ADFS), Tivoli Federated Identity Manager, Okta e outras plataformas de identificação federada

Suposições gerais

  • Vamos executar a função de PS (provedor de serviço) no relacionamento de confiança do SAML v2.0
  • Exigimos arquivos de metadados do IDP (provedor de identidade) em conformidade com SAML v2.0 do IDP. O arquivo de metadados do IDP conterá:
    • O local de endpoint do SingleSignOnService
    • O certificado público X.509 usado para assinatura de asserção (se aplicável)
  • Vamos fornecer um arquivo de metadados do PS que contém o seguinte:
    • O endpoint do provedor de serviço

Processo de desenvolvimento

Um fluxo de trabalho de integração típico é o seguinte:

  • Verifique com seu representante de conta atribuído quais opções de configuração serão usadas
  • Nós fornecemos o URL do arquivo de metadados do PS
  • Você fornece o arquivo de metadados do IDP
  • O teste e a remediação da integração ocorrem até que as partes interessadas indicadas confirmem que a integração foi bem-sucedida. Ambos os tipos de acesso, iniciado pelo IDP e pelo PS, devem ser testados. Neste ponto, uma janela de produção é acordada.

Configurações compatíveis

No momento, oferecemos suporte às seguintes configurações de SAML:

  • Logout único (SLO)
    • Desativado – não oferecemos suporte ao SLO
  • Formato do NameID
    • urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress (PADRÃO)
    • urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
    • urn:oasis:names:tc:SAML:2.0:nameid-format:encrypted
    • urn:oasis:names:tc:SAML:2.0:nameid-format:persistent
    • urn:oasis:names:tc:SAML:2.0:nameid-format:transient
    • urn:oasis:names:tc:SAML:2.0:nameid-format:entity
  • As asserções são assinadas
    • Não / Sim (PADRÃO)
  • As solicitações de autenticação são assinadas
    • Não
  • Provisionar novos usuários
    • Desativado (PADRÃO) / Ativado
  • Atualizar os atributos de usuário existentes
    • Desativado (PADRÃO) / Ativado
  • Vinculação da solicitação de autenticação preferida:
    • Post (PADRÃO) / Redirecionar

Perguntas sobre a configuração

O primeiro passo para começar a usar o SSO é coordenar uma reunião com seu representante de sucesso do cliente para responder às seguintes perguntas sobre configuração e SSO:

  1. O que você vai usar como identificador exclusivo dos usuários no seu sistema?
    • Nossa plataforma suporta o uso de um endereço de e-mail ou um identificador global exclusivo (GUID) externo.
    • A configuração mais comum é usar um GUID externo, em vez de um endereço de e-mail, para reduzir quaisquer problemas se ou quando o endereço de e-mail de alguém mudar no futuro. Além disso, o ID do funcionário é mais usado como GUID externo.
  2. Você quer atualizar as informações do usuário no momento da autenticação?
    • Se sim, quais campos você planeja incluir e todos os campos estão disponíveis no sistema de SSO? Além disso, como você vai nomear esses campos na asserção SAML e como esses campos serão mapeados nos campos da plataforma?
  3. Você quer criar novos usuários na plataforma no momento da autenticação se o usuário ainda não tiver uma conta na plataforma?
    • Se sim, quais campos você planeja incluir e todos os campos estão disponíveis no sistema de SSO? Além disso, como você vai nomear esses campos na asserção SAML e como esses campos serão mapeados nos campos da plataforma?
  4. Todos os usuários que precisam de acesso à plataforma poderão acessar sua solução de SSO?
    • Se não, você vai precisar de uma experiência de login duplo que aceite o formato nome de usuário/senha, além das opções de login do SSO?

Configurar o SSO

Quando soubermos seus requisitos de SSO, poderemos continuar e iniciar a configuração. As próximas etapas incluem:

  1. Vamos fornecer o XML de metadados do PS.
  2. Você vai configurar o SSO do seu lado e fornecer à nossa equipe o XML de metadados do IDP.
  3. Vamos aplicar seu XML de metadados do IDP para concluir a configuração.
  4. Você vai testar o usuário e validar o ambiente.
  5. Após a validação, nós e sua equipe vamos combinar o cronograma de implementação da produção.

Artigos relacionados

Fale conosco