Configurando a autenticação de login

Integração de provisionamento SCIM com Okta como IdP

Adicionando integração SCIM (System for Cross-domain Identity Management):

1. Em Okta Admin Console, selecione a guia General e defina SCIM como o método de provisionamento.

   

2. Selecione a guia Provisioning e clique no botão Edit.

   

3. No modo de edição das configurações, selecione todas as ações de provisionamento (Import.. e opções Push..) e HTTP Header como o modo Authentication.

   

4. Copie () a entrada Base URL da seção Provisioning da página Authentication do Painel da Empresa e cole-a no campo SCIM Connector base URL do Okta.

   Copie () a entrada API Token da seção Provisioning da página Authentication do Painel da Empresa e cole-a no campo Authorization do Okta (em HTTP HEADER).

   

5. Especifique userName como o Unique identifier field for users do Okta.

   

6. Clique no botão Test Connector Configuration (veja acima) e verifique se a conexão está funcionando. Se o teste de configuração for bem-sucedido, feche a janela de teste e então salve a configuração ().

   

7. Selecione To App na árvore de navegação à esquerda e depois a opção Edit.

   Habilite as opções Create Users, Update User Attributes e Deactivate Users, e depois clique em Save.

   

Usuários, provisionamento e desprovisionamento de grupos:

1. Selecione a guia Push Groups e depois clique no botão Refresh App Groups.

   

2. Selecione a opção de página Directory » Groups no menu principal.

   

   Em Grupos, você deverá ver tanto a aplicação Groups quanto Workspaces como entradas de grupo.

   

3. Crie grupos 'nativos' do Okta com o mesmo nome que o(s) grupo(s)/workspace(s) da aplicação – neste exemplo, os grupos Administrators e Workspace importados.

   

4. Selecione um grupo Okta criado e depois clique no botão Manage Apps. Na janela Assign Applications to <group name>, atribua a Aplicação SCIM ao grupo e clique em ao concluir.

   

5. Volte para a página Groups e selecione a guia Push Groups. Selecione Find groups by name option no menu do botão Push Groups.

   

6. Digite o nome do grupo (aqui, Group Administrators) e depois escolha a opção Link Group para vinculá-lo ao grupo da aplicação. Salve essa configuração de vínculo ().

   

Gerenciando usuários e grupos

Agora você já deve conseguir adicionar membros aos grupos existentes da aplicação ou removê-los deles.

1. Crie um novo usuário do Okta (Directory » People e, em seguida, selecione Add Person). Certifique-se de que o usuário tenha um endereço de e-mail exclusivo que não exista no AltiumLive.

2. Adicione o novo usuário a um Grupo do Okta que esteja atribuído ao aplicativo SCIM (Directory » Groups, selecione um grupo e, em seguida, use Assign People).

3. Verifique se o usuário aparece no Company Dashboard.

Para criar um novo grupo de usuários por meio do aplicativo SCIM, crie um novo grupo do Okta na página Groups () e, em seguida, na guia Push Groups, localize o nome do novo grupo e escolha a opção Create Group (em vez de 'Link Group').

O aplicativo SCIM configurado deve permitir que você:

• Altere o nome / sobrenome e o e-mail de um usuário.

• Altere a associação de um Grupo.

• Altere o nome de um Grupo.

• Crie um grupo.

• Exclua um grupo – desvincule o grupo em Push Groups com a opção delete from app.

• Ative ou desative um usuário – um usuário ativado receberá um e-mail de ativação.

Os Workspaces são semelhantes aos Grupos de usuários no Okta, mas suportam apenas o gerenciamento de associação. Você não pode criar um novo workspace nem renomear um já existente.

Depois de adicionar ou remover um usuário de um grupo de Workspace, você pode verificar o resultado pela interface do Altium 365 Workspace.

• O novo usuário SCIM deve conseguir fazer login usando SSO

• O novo usuário SCIM deve ser convidado automaticamente para o Workspace.

• Um convite por e-mail não será enviado ao usuário.

Integração com o aplicativo SAML do Microsoft Entra ID

:

1. Faça login no Microsoft Entra admin center.

2. Selecione Identity e, em seguida, a opção Enterprise applications.

   

3. Crie seu próprio aplicativo.

   

4. Selecione Users and groups e, em seguida, Add user/group.

   

   

   

    

5. Selecione Single sign-on, Step 1 e, em seguida, Edit.

   

   

    

6. Copie () as entradas Entity ID e Single Sign On URL da seção Altium Sign-On Settings da página Authentication do Company Dashboard. Cole as strings copiadas nos campos Entity ID e Assertion Consumer Service URL na área SAML Configuration do aplicativo Microsoft Entra. Certifique-se de que as caixas Default estejam marcadas para esses campos e, em seguida, salve a configuração.

   

7. Baixe o Federation Metadata XML criado.

   

8. Carregue o Federation Metadata XML na página Authentication do Company Dashboard (na região 2. SAML Identity Provider configuration da seção Altium Sign-On Settings) e, em seguida, teste a conexão de integração SAML.

Provisionamento:

1. Na tela de gerenciamento do aplicativo Microsoft Entra, selecione Provisioning no painel esquerdo e, em seguida, o botão Get started.

2. Defina Provision MODE como Automatic.

3. Copie () as entradas Base URL e API Token da seção Provisioning da página Authentication do Company Dashboard e cole-as nos campos Tenant URL e Secret Token , respectivamente.

   

4. Clique no botão Test Connection de Provisioning do Microsoft Entra e, se as credenciais forem autorizadas com sucesso, Save a configuração.

   

5. Na seção Mappings, há dois conjuntos selecionáveis de mapeamentos de atributos – um para objetos Group e outro para objetos User.

   

6. Selecione cada mapeamento para revisar os atributos que são sincronizados do Microsoft Entra ID com seu aplicativo. Os atributos selecionados como Matching properties são usados para corresponder os usuários e grupos do seu aplicativo em operações de atualização. Selecione Save para confirmar quaisquer alterações.

   

   Opcionalmente, você pode desativar a sincronização de objetos de grupo desabilitando o mapeamento Groups.

7. Em Settings, o campo Scope define quais usuários e grupos são sincronizados. Selecione Sync only assigned users and groups (recomendado) para sincronizar apenas os usuários e grupos atribuídos na página Users and groups.

   

8. Quando sua configuração estiver concluída, defina Provisioning Status como On.

   

9. Selecione Save para iniciar o serviço de provisionamento do Microsoft Entra.

Integração com o JumpCloud como Provedor de Identidade

1. Na interface do JumpCloud, selecione SSO na árvore de navegação e, em seguida, o botão Add New Application na página SSO.

   

2. Digite 'saml' na janela de configuração Search para localizar e instalar o Custom SAML App.

   

3. Dê um nome à sua instância do Custom SAML App – neste exemplo, o rótulo é 'Altium'.

   

4. Mude para a guia SSO na interface de configuração do JumpCloud. Copie () as entradas Entity ID e Single Sign On URL da seção Altium Sign-On Settings da página Authentication do Company Dashboard e cole-as nos campos SP Entity ID e Default URL , respectivamente.

   

5. Insira o endpoint do JumpCloud IDP URL e habilite a opção Declare Redirect Endpoint.

   

6. Mude para a guia Identity Management na interface do JumpCloud. Copie () as entradas Base URL e API Token da seção Provisioning da página Authentication do Company Dashboard e cole-as nos campos Base URL e Token Key , respectivamente. Insira também um endereço de e-mail de teste apropriado.

   

7. Execute um Test Connection, que exibirá uma mensagem de confirmação no canto superior direito da página (como mostrado abaixo).

   

8. Desative (desmarque) a opção Group Management e, em seguida, Activate a configuração.

   

   Observação: se você receber um erro de conexão como 'There was a problem activating Identity Management' na parte superior da página ou 'Test filter user: unable to get or create user from service' na parte inferior da página, tente inserir um endereço de e-mail de teste diferente e, em seguida, selecionar Activate novamente.

9. De volta à guia SSO da interface do JumpCloud, use a opção Export Metadata para baixar o arquivo XML de metadados SAML resultante.

   

10. Na página Authentication do Company Dashboard, importe o arquivo XML de metadados baixado e, em seguida, execute um teste de integração com o botão Test Sign On. Um resultado de teste de integração bem-sucedido deverá então ser exibido. Após a confirmação da conexão, você poderá habilitar a opção Altium Sign-On Settings e, em seguida, a opção SSO na seção Authentication methods.

Autenticação SAML SSO com Microsoft Administrative Domain Federated Services (AD FS)

Siga as etapas descritas abaixo para configurar o login da sua organização no Altium 365 para usar sua instância do AD FS para autenticação SSO.

Pré-requisitos

• Acesso administrativo à Company Account da organização no Altium 365.

• Acesso administrativo à instância do AD FS.

Configurando o AD FS

1. Abra o aplicativo AD FS Management (normalmente Start → Windows Administrative Tools → AD FS Management).

2. Navegue até Relying Party Trusts e clique na opção Add Relying Party Trust... (1).

3. Na janela pop-up, certifique-se de selecionar Claims aware (2) e clique em Start (3).

   

4. Na etapa Select Data Source, selecione Enter data about the relying party manually (1) e clique em Next (2).

   

5. Forneça um nome de exibição para a confiança. Este exemplo usa AltiumLive como nome de exibição.

   

6. Dependendo da sua configuração de segurança, você pode especificar um certificado opcional de criptografia de token. Para os fins deste guia, não usaremos um.

   

7. Na etapa Configure URL, certifique-se de selecionar a opção Enable support for the SAML 2.0 WebSSO protocol (1) e inserir https://identity.live.altium.com/AssertionConsumerService no campo Relying party SAML 2.0 SSO service URL: (2). Clique em Next (3).

   

8. Na etapa Configure Identifiers, forneça um identificador para essa confiança no campo de entrada (1). O identificador deve ser obtido da entrada Entity ID localizada na região SAML Single Sign-On da página Dashboard Authentication. Certifique-se de clicar no botão Add (2).

   

   O resultado deve ficar parecido com o seguinte. Clique em Next.

   

9. Dependendo da sua configuração de segurança, você pode escolher políticas opcionais de controle de acesso na próxima etapa. Para este exemplo, não selecionaremos políticas adicionais e continuaremos com a opção Permit everyone.

   

10. Revise a configuração e selecione Next.

    

11. Nem todas as configurações estão disponíveis durante a configuração da confiança. Para permitir que SHA-1 seja usado como algoritmo de hash seguro, clique com o botão direito no nome do Relying Party Trust que você acabou de adicionar e selecione Properties.

    

12. Na janela de propriedades, selecione a guia Advanced (1) e defina SHA-1 como o algoritmo de hash seguro (2). Clique em OK para salvar as alterações.

    

13. De volta à janela AD FS Management, selecione o Relaying Party Trust que você adicionou e selecione a opção Edic Claim Issuance Policy...

    

14. Na janela Edit Claim Issuance Policy, selecione Add Rule...

    

15. Na etapa Choose Rule Type do assistente, certifique-se de que Send LDAP Attributes as Claims esteja selecionado e, em seguida, clique em Next.

    

16. Forneça um Claim rule name (1), selecione Active Directory como o Attribute store (2) e selecione um LDAP Attribute (3) do ID que contém o nome de usuário da Altium Account. Esse atributo deve ser mapeado para Name ID no Outgoing Claim Type (3). Clique em Finish (4).

    

    Important Note: Neste exemplo, mapeamos Surname ou Last name para conter o valor necessário. Sua configuração pode ser diferente.

    

17. Certifique-se de que a política de emissão de declarações seja salva clicando em OK.

    

Isso conclui a configuração do AD FS.

Configuração do Altium 365

1. Acesse a página Authentication do Company Dashboard e carregue o arquivo FederationMetadata.xml que você baixou anteriormente (consulte a seção Dashboard SSO Configuration abaixo para mais informações). A configuração deve ser importada, e os valores de X509 Certificate, Identity Provider Issuer e IdP Single Sign-On URL devem ficar visíveis. Clique no botão Test Sign On para testar a configuração.

2. Na tela de login, forneça as credenciais do usuário de acordo com os requisitos da sua organização e clique em Sign in.

   

3. A asserção será enviada de volta ao Altium 365. Se a tela mostrar uma mensagem Test SAML connection was successful!, então a configuração foi concluída corretamente. Você pode visualizar a resposta SAML clicando no botão See Response . Clique em Back to Settings para retornar à página Authentication.

4. Na página Authentication, habilite as opções Altium Sign-On Settings e SSO .

Isso conclui a configuração. A partir deste ponto, os usuários da sua organização deverão conseguir fazer login no Altium 365 usando o AD FS da sua organização como IdP de SSO.

Configuração de SSO SAML com Amazon Web Services (AWS) Identity Access Management (IAM) Identity Center

1. Vá para IAM Identity Center e adicione uma aplicação SAML 2.0 personalizada (Add Application).

   

   

2.  Copie () as entradas Entity ID e Single Sign On URL da seção Altium Sign-On Settings da página Authentication do Company Dashboard e cole-as nas configurações de URL de metadados da AWS. Confirme as configurações com Submit.

   

3. Baixe o arquivo de metadados da área IAM Identity Center metadata.

   

4. Vá para Edit attribute mappings.

   

5. Adicione ${user:email} e o Format como unspecified.

   

6. Crie novos usuários na AWS – os nomes dos usuários devem estar no formato user@domain.com.

   Atribua a aplicação aos usuários criados ou a um grupo.

   

7. A opção Provisioning na página Authentication do Company Dashboard deve estar desativada.

   Atualmente, o provisionamento automático de saída via SCIM não é suportado pela AWS.

8. Certifique-se de que os mesmos usuários existam tanto no lado do Altium quanto no lado do IAM. Os usuários devem ser nomeados seguindo o formato user@domain.com.

   

9. Na página Authentication do Company Dashboard, carregue o arquivo XML que você baixou anteriormente (consulte a seção Dashboard SSO Configuration abaixo para mais informações). Clique no botão Test Sign On para testar a configuração.

10. Em seguida, você será redirecionado para a página de login da AWS. Insira suas credenciais de usuário da AWS. Você deverá ser redirecionado de volta ao Dashboard e ver a mensagem Test SAML connection was successful! .

11. Após um teste bem-sucedido, habilite as opções Altium Sign-On Settings e SSO .