Configurar a autenticação de início de sessão

Integração de provisioning SCIM com o Okta como IdP

Adicionar integração SCIM (System for Cross-domain Identity Management):

1. Em Okta Admin Console selecione o separador General e defina SCIM como método de provisioning.

   

2. Selecione o separador Provisioning e clique no botão Edit.

   

3. No modo de edição das definições, selecione todas as ações de provisioning (opções Import.. e Push..) e HTTP Header como modo Authentication.

   

4. Copie () a entrada Base URL da secção Provisioning da página Authentication do Company Dashboard e cole-a no campo SCIM Connector base URL do Okta.

   Copie () a entrada API Token da secção Provisioning da página Authentication do Company Dashboard e cole-a no campo Authorization do Okta (em HTTP HEADER).

   

5. Especifique userName como Unique identifier field for users do Okta.

   

6. Clique no botão Test Connector Configuration (ver acima) e certifique-se de que a ligação está a funcionar. Se o teste de configuração for bem-sucedido, feche a janela Test e depois guarde a configuração ().

   

7. Selecione To App na árvore de navegação à esquerda e depois a opção Edit.

   Ative as opções Create Users, Update User Attributes e Deactivate Users e depois clique em Save.

   

Provisioning e desprovisioning de utilizadores e grupos:

1. Selecione o separador Push Groups e depois clique no botão Refresh App Groups.

   

2. Selecione a opção de página Directory » Groups no menu principal.

   

   Em Groups, deverá ver tanto a aplicação Groups como Workspaces como entradas de grupo.

   

3. Crie grupos Okta 'nativos' com o mesmo nome que o(s) grupo(s) de aplicação/workspace(s) — neste exemplo, os grupos Administrators e Workspace importados.

   

4. Selecione um grupo Okta criado e depois clique no botão Manage Apps. Na janela Assign Applications to <group name>, atribua a aplicação SCIM ao grupo e clique em quando terminar.

   

5. Volte à página Groups e selecione o separador Push Groups. Selecione Find groups by name option no menu do botão Push Groups.

   

6. Introduza o nome do grupo (aqui, Group Administrators) e depois escolha a opção Link Group para o associar ao grupo da aplicação. Guarde essa configuração de associação ().

   

Gerir utilizadores e grupos

Agora já deverá conseguir adicionar membros aos grupos de aplicação existentes ou remover membros dos mesmos.

1. Crie um novo utilizador Okta (Directory » People, depois selecione Add Person). Certifique-se de que o utilizador tem um endereço de e-mail único que não exista no AltiumLive.

2. Adicione o novo utilizador a um Grupo do Okta que esteja atribuído à aplicação SCIM (Directory » Groups, selecione um grupo e, em seguida, utilize Assign People).

3. Verifique se o utilizador aparece no Company Dashboard.

Para criar um novo grupo de utilizadores através da aplicação SCIM, crie um novo grupo Okta na página Groups () e, depois, no separador Push Groups, localize o nome do novo grupo e escolha a opção Create Group (em vez de 'Link Group').

A aplicação SCIM configurada deve permitir-lhe:

• Alterar o primeiro nome / apelido e o e-mail de um utilizador.

• Alterar a associação de um Grupo.

• Alterar o nome de um Grupo.

• Criar um grupo.

• Eliminar um grupo – desvincule o grupo em Push Groups com a opção delete from app.

• Ativar ou desativar um utilizador – um utilizador ativado receberá um e-mail de ativação.

Os Workspaces são semelhantes aos Grupos de utilizadores no Okta, mas apenas suportam a gestão de membros. Não é possível criar um novo workspace nem mudar o nome de um existente.

Depois de adicionar ou remover um utilizador de um grupo Workspace, pode verificar o resultado através da interface do Workspace no Altium 365.

• O novo utilizador SCIM deverá conseguir iniciar sessão utilizando SSO

• O novo utilizador SCIM deverá ser automaticamente convidado para o Workspace.

• Não será enviado um convite por e-mail ao utilizador.

Integração com a aplicação SAML do Microsoft Entra ID

:

1. Inicie sessão no Microsoft Entra admin center.

2. Selecione Identity e depois a opção Enterprise applications.

   

3. Crie a sua própria aplicação.

   

4. Selecione Users and groups e depois Add user/group.

   

   

   

    

5. Selecione Single sign-on, Step 1 e depois Edit.

   

   

    

6. Copie () as entradas Entity ID e Single Sign On URL da secção Altium Sign-On Settings da página Authentication do Company Dashboard. Cole as cadeias copiadas nos campos Entity ID e Assertion Consumer Service URL na área de Configuração SAML da aplicação Microsoft Entra. Certifique-se de que as caixas Default estão assinaladas para estes campos e, em seguida, guarde a configuração.

   

7. Transfira o Federation Metadata XML criado.

   

8. Carregue o Federation Metadata XML na página Authentication do Company Dashboard (na área 2. SAML Identity Provider configuration da secção Altium Sign-On Settings) e depois teste a ligação de integração SAML.

Aprovisionamento:

1. No ecrã de gestão da aplicação Microsoft Entra, selecione Provisioning no painel esquerdo e depois o botão Get started.

2. Defina Provision MODE como Automatic.

3. Copie () as entradas Base URL e API Token da secção Provisioning da página Authentication do Company Dashboard e cole-as nos campos Tenant URL e Secret Token , respetivamente.

   

4. Clique no botão Test Connection de Aprovisionamento do Microsoft Entra e, se as credenciais forem autorizadas com sucesso, Save a configuração.

   

5. Na secção Mappings, existem dois conjuntos selecionáveis de mapeamentos de atributos – um para objetos de Grupo e outro para objetos de Utilizador.

   

6. Selecione cada mapeamento para rever os atributos que são sincronizados do Microsoft Entra ID para a sua aplicação. Os atributos selecionados como propriedades de correspondência são utilizados para fazer corresponder os utilizadores e grupos na sua aplicação para operações de atualização. Selecione Save para confirmar quaisquer alterações.

   

   Opcionalmente, pode desativar a sincronização de objetos de grupo desativando o mapeamento de Groups.

7. Em Settings, o campo Scope define quais os utilizadores e grupos sincronizados. Selecione Sync only assigned users and groups (recomendado) para sincronizar apenas os utilizadores e grupos atribuídos na página Users and groups.

   

8. Quando a sua configuração estiver concluída, defina Provisioning Status como On.

   

9. Selecione Save para iniciar o serviço de aprovisionamento do Microsoft Entra.

Integração com o JumpCloud como Fornecedor de Identidade

1. Na interface do JumpCloud, selecione SSO na árvore de navegação e depois o botão Add New Application na página SSO.

   

2. Introduza 'saml' na pesquisa da janela de configuração para localizar e depois instalar o Custom SAML App.

   

3. Dê um nome à sua instância do Custom SAML App – neste exemplo, a designação é 'Altium'.

   

4. Mude para o separador SSO na interface de configuração do JumpCloud. Copie () as entradas Entity ID e Single Sign On URL da secção Altium Sign-On Settings da página Authentication do Company Dashboard e cole-as nos campos SP Entity ID e Default URL , respetivamente.

   

5. Introduza o endpoint do JumpCloud IDP URL e ative a opção Declare Redirect Endpoint.

   

6. Mude para o separador Identity Management na interface do JumpCloud. Copie () as entradas Base URL e API Token da secção Provisioning da página Authentication do Company Dashboard e cole-as nos campos Base URL e Token Key , respetivamente. Introduza também um endereço de e-mail de teste adequado.

   

7. Efetue um Test Connection, que apresentará uma mensagem de confirmação no canto superior direito da página (como mostrado abaixo).

   

8. Desative (desmarque) a opção Group Management e depois Activate a configuração.

   

   Nota: Se receber um erro de ligação como 'There was a problem activating Identity Management' no topo da página ou 'Test filter user: unable to get or create user from service' na parte inferior da página, tente introduzir um endereço de e-mail de teste diferente e depois selecionar Activate novamente.

9. De volta ao separador SSO na interface do JumpCloud, utilize a opção Export Metadata para transferir o ficheiro XML de metadados SAML resultante.

   

10. Na página Authentication do Company Dashboard, importe o ficheiro XML de metadados transferido e depois execute um teste de Integração com o botão Test Sign On. Deverá então ser apresentado um resultado de teste de integração bem-sucedido. Após a confirmação da ligação, pode ativar a opção Altium Sign-On Settings e depois a opção SSO na secção Authentication methods.

Autenticação SAML SSO com Microsoft Administrative Domain Federated Services (AD FS)

Siga os passos descritos abaixo para configurar o início de sessão da sua organização Altium 365 de modo a utilizar a sua instância AD FS para autenticação SSO.

Pré-requisitos

• Acesso administrativo à Company Account da organização no Altium 365.

• Acesso administrativo à instância AD FS.

Configurar o AD FS

1. Abra a aplicação AD FS Management (normalmente Start → Windows Administrative Tools → AD FS Management).

2. Navegue para Relying Party Trusts e clique na opção Add Relying Party Trust... (1).

3. Na janela pop-up, certifique-se de que seleciona Claims aware (2) e clique em Start (3).

   

4. No passo Select Data Source selecione Enter data about the relying party manually (1) e clique em Next (2).

   

5. Forneça um nome de apresentação para a confiança. Este exemplo utiliza AltiumLive como nome de apresentação.

   

6. Dependendo da sua configuração de segurança, pode especificar um certificado opcional de encriptação de token. Para os efeitos deste guia, não iremos utilizar nenhum.

   

7. No passo Configure URL certifique-se de que seleciona a opção Enable support for the SAML 2.0 WebSSO protocol (1) e introduza https://identity.live.altium.com/AssertionConsumerService no campo Relying party SAML 2.0 SSO service URL: (2). Clique em Next (3).

   

8. No passo Configure Identifiers forneça um identificador para esta confiança no campo de entrada (1). O identificador deve ser obtido a partir da entrada Entity ID localizada na área SAML Single Sign-On da página Dashboard Authentication. Certifique-se de que clica no botão Add (2).

   

   O resultado deverá ser semelhante ao seguinte. Clique em Next.

   

9. Dependendo da sua configuração de segurança, pode escolher políticas opcionais de controlo de acesso no passo seguinte. Para este exemplo, não iremos selecionar quaisquer políticas adicionais e continuaremos com a opção Permit everyone.

   

10. Reveja a configuração e selecione Next.

    

11. Nem todas as definições estão disponíveis durante a configuração da confiança. Para permitir que SHA-1 seja utilizado como algoritmo de hash seguro, clique com o botão direito no nome do Relying Party Trust que acabou de adicionar e selecione Properties.

    

12. Na janela de propriedades, selecione o separador Advanced (1) e defina SHA-1 como algoritmo de hash seguro (2). Clique em OK para guardar as alterações.

    

13. De volta à janela de Gestão AD FS, selecione a Relaying Party Trust que adicionou e selecione a opção Edic Claim Issuance Policy...

    

14. Na janela Edit Claim Issuance Policy selecione Add Rule...

    

15. No passo Choose Rule Type do assistente, certifique-se de que Send LDAP Attributes as Claims está selecionado e, em seguida, clique em Next.

    

16. Forneça um Claim rule name (1), selecione Active Directory como o Attribute store (2) e selecione um LDAP Attribute (3) a partir do ID que contém o nome de utilizador da Altium Account. Este atributo tem de ser mapeado para Name ID no Outgoing Claim Type (3). Clique em Finish (4).

    

    Important Note: Neste exemplo, mapeámos Surname ou Last name para conter o valor necessário. A sua configuração pode ser diferente.

    

17. Certifique-se de que a política de emissão de claims é guardada clicando em OK.

    

Isto conclui a configuração do AD FS.

Configurar o Altium 365

1. Aceda à página Authentication Company Dashboard e carregue o ficheiro FederationMetadata.xml que transferiu anteriormente (consulte a secção Dashboard SSO Configuration abaixo para mais informações). A configuração deverá ser importada e os valores de X509 Certificate, Identity Provider Issuer e IdP Single Sign-On URL deverão estar visíveis. Clique no botão Test Sign On para testar a configuração.

2. No ecrã de início de sessão, introduza as credenciais do utilizador de acordo com os requisitos da sua organização e clique em Sign in.

   

3. A asserção será enviada de volta para o Altium 365. Se o ecrã apresentar uma mensagem Test SAML connection was successful!, então a configuração foi concluída corretamente. Pode ver a resposta SAML clicando no botão See Response . Clique em Back to Settings para regressar à página Authentication.

4. Na página Authentication, ative as opções Altium Sign-On Settings e SSO .

Isto conclui a configuração. A partir deste momento, os utilizadores da sua organização deverão conseguir iniciar sessão no Altium 365 utilizando o AD FS da sua organização como IdP de SSO.

Configuração de SSO SAML com o Amazon Web Services (AWS) Identity Access Management (IAM) Identity Center

1. Vá a IAM Identity Center e adicione uma Aplicação SAML 2.0 Personalizada (Add Application).

   

   

2.  Copie () as entradas Entity ID e Single Sign On URL da secção Altium Sign-On Settings da página Authentication Company Dashboard e cole-as nas definições do URL de metadados da AWS. Confirme as definições com Submit.

   

3. Transfira o ficheiro de metadados da área IAM Identity Center metadata.

   

4. Vá a Edit attribute mappings.

   

5. Adicione ${user:email} e o Format como unspecified.

   

6. Crie novos utilizadores na AWS – os nomes dos utilizadores devem estar no formato user@domain.com.

   Atribua a aplicação aos utilizadores criados ou a um grupo.

   

7. A opção Provisioning na página Authentication Company Dashboard deve estar desativada.

   Atualmente, o aprovisionamento automático de saída através de SCIM não é suportado pela AWS.

8. Certifique-se de que os mesmos utilizadores existem tanto no lado do Altium como no lado do IAM. Os utilizadores devem ser nomeados de acordo com o formato user@domain.com.

   

9. Na página Authentication Company Dashboard, carregue o ficheiro XML que transferiu anteriormente (consulte a secção Dashboard SSO Configuration abaixo para mais informações). Clique no botão Test Sign On para testar a configuração.

10. Em seguida, será redirecionado para a página de início de sessão da AWS. Introduza as suas credenciais de utilizador AWS. Deverá ser redirecionado de volta para o Dashboard e ver a mensagem Test SAML connection was successful!.

11. Após um teste bem-sucedido, ative as opções Altium Sign-On Settings e SSO .