Configurar a autenticação de início de sessão único

Updated: January 29, 2026 | Applies to version: 8.0

Os administradores do Enterprise Server podem configurar e ativar capacidades de Single Sign-On (SSO) para o seu servidor. O sistema de configuração de backend permite aos administradores estabelecer, testar, ativar e desativar a capacidade de SSO para os utilizadores do servidor. A opção SSO está disponível ao iniciar sessão na interface do navegador do Enterprise Server. Quando configurado para os utilizadores do servidor, o SSO oferece a conveniência de aceder ao servidor utilizando o mesmo conjunto de credenciais aplicado aos sistemas da sua empresa.

Se a utilização de SSO for imposta (a opção Enforce SSO (not applied to access from localhost) estiver ativada na página Admin – Settings – Authentication da interface do navegador), aos utilizadores será apresentada a página de início de sessão SSO imediatamente após acederem ao endereço do Enterprise Server.
O acesso SSO também pode ser utilizado ao ligar ao Workspace do Enterprise Server a partir do Altium Designer. Para mais informações, consulte a página Aceder ao Seu Workspace.

Quando EDMS.UnifiedLogin estiver no estado Público - atualize o parágrafo abaixo com o código-fonte do excerto 'Open Beta Feature Moves to Public'.

Tenha em atenção que a abordagem de ‘unified login’ para ligar ao Workspace do seu Enterprise Server através de um navegador externo tem de ser utilizada para que seja possível usar a funcionalidade de acesso SSO no Altium Designer. Esta funcionalidade está em Open Beta e disponível quando a opção EDMS.UnifiedLogin estiver ativada na caixa de diálogo Definições Avançadas do Altium Designer.

Para mais informações sobre o acesso à interface do navegador do Enterprise Server, consulte a página Explorar a Interface Baseada no Navegador.

Ao utilizar um Identity Provider interno, o Enterprise Server tem de confiar no certificado HTTPS utilizado por esse Identity Provider. Caso contrário, ocorrerá um erro ao tentar estabelecer uma ligação ao mesmo a partir do Enterprise Server. Os Identity Providers dos principais fornecedores (Okta, Entra ID, etc.) têm, por predefinição, certificados fidedignos adequados.

SAML Single Sign-On

Quando configurado e ativado no Enterprise Server, o sistema SSO estabelece identidades autorizadas a partir do Identity Provider (IdP) indicado pela sua empresa, por exemplo Okta, OneLogin, etc., com as comunicações de asserção de identidade baseadas na norma Security Assertion Markup Language (SAML 2.0). A interface de início de sessão SSO da sua empresa, caso ainda não exista, baseia-se normalmente num modelo ou exemplo fornecido pelo IdP – isto desencadeia as trocas de asserção de autenticação baseadas em SAML e fornece acesso aos serviços da empresa.

Quando a opção SAML é selecionada na lista pendente SSO na página Admin – Settings – Authentication da interface do navegador, a página apresenta os URLs pré-configurados para o serviço SSO do Enterprise Server (Altium Metadata Configuration) e a opção de carregar ou introduzir manualmente os dados de ligação de autorização do seu IdP (SAML Identity Provider Configuration).

Os metadados de configuração do IdP devem estar disponíveis junto do seu Identity Provider assim que este esteja configurado para integração com os serviços da sua empresa – veja abaixo exemplos de integração de IdP. Para configurar o sistema SAML SSO no Enterprise Server (caso ainda não tenha sido concluído), utilize o botão para localizar e carregar o ficheiro XML de configuração SAML IdP gerado pelo IdP da sua empresa. Um ficheiro XML de IdP carregado é analisado pelo sistema para extrair os principais campos de configuração (X509 Certificate, URL Identity Provider Issuer e IdP Single Sign-On URL). Em alternativa, adicione manualmente os elementos individuais (certificado de segurança e URLs) da configuração aos campos correspondentes.

O SSO não é ativado até ser executado um teste de integração, que é iniciado pelo botão . Isto verifica o processo de identidade SSO e o início de sessão SSO da sua empresa. Assim que a configuração for testada com êxito, pode guardar as definições clicando no botão (), aplicando-as efetivamente ao Enterprise Server.

Se o SSO for posteriormente desativado, manualmente ou em resposta a uma alteração de configuração, o botão fica disponível para que o processo de teste possa ser repetido.

Exemplos de Integração de Identity Provider

Expanda a secção recolhível abaixo para ver um exemplo passo a passo do processo de integração do OneLogin como Identity Provider.

Integration with OneLogin

Inicie sessão no OneLogin como administrador.
Selecione Applications e depois Add Apps.
Pesquise por 'SAML' e selecione a opção de aplicação IdP SAML Test Connector (Advanced).
Especifique um nome para a aplicação (Display Name). Isto serve apenas para fins de apresentação.
Clique no botão Save.
Copie () as entradas Entity ID e Single Sign-On URL (Assertion Consumer Service) da página Admin – Settings – Authentication da interface do navegador do Enterprise Server para os campos conforme especificado abaixo.

Na configuração da aplicação OneLogin:
- Cole o Entity ID acima (nome do fornecedor de serviço) como URL Audience (EntityID).
- Cole o Single Sign-On URL acima (Assertion Consumer Service) como ACS (Consumer) URL Validator.
- Cole também o Single Sign-On URL (Assertion Consumer Service) como ACS (Consumer) URL.
- Os campos RelayState, Recipient, Single Logout URL e Login URL podem ficar em branco.
Certifique-se de que a opção SAML nameID format está definida como Email e que SAML signature element está definido como Both. Clique no botão Save para confirmar as definições.
Clique no botão More Actions e depois na opção de menu SAML Metadata para transferir os metadados SAML do Identity Provider como ficheiro XML.
- Este ficheiro de metadados será carregado na página Admin – Settings – Authentication da interface do navegador do Enterprise Server para configurar o serviço SSO do OneLogin – veja abaixo.
- Se a preferência for configurar manualmente o serviço SSO do OneLogin no Enterprise Server, os parâmetros necessários podem ser encontrados selecionando a opção de menu SSO na interface da aplicação OneLogin.
Os passos seguintes serão adicionar utilizadores e atribuir a aplicação a esses utilizadores.

Expanda a secção recolhível abaixo para ver um exemplo passo a passo do processo de integração do Okta como Identity Provider.

Integration with Okta

Inicie sessão no Okta como administrador.
Clique na ligação/botão Admin e depois no botão Add Application em Applications da empresa.
Clique no botão Create New App.
Selecione SAML 2.0 como Sign-on method.
Especifique um App name. Isto serve apenas para fins de apresentação.
Tome nota das entradas Single Sign On URL (Assertion Consumer Service) e Entity ID na página Admin – Settings – Authentication da interface do navegador do Enterprise Server.
Copie () e cole a entrada Single Sign-On URL do Enterprise Server no campo Single sign on URL das SAML Settings do Okta.
Copie () e cole a entrada Entity ID do Enterprise Server no campo Audience URI das SAML Settings do Okta.

Não é necessária uma entrada Default RelayState.
Defina os restantes campos da seguinte forma:
- Name ID format é EmailAddress.
- Application username é (Okta) Email.
- Na secção ATTRIBUTE STATEMENTS, defina o campo Name como: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress e Value como: user.email
Clique no botão Next e selecione a opção ..Okta customer adding an internal app.
Clique no botão Finish.
- Clique na ligação Identity Provider metadata e guarde o XML de metadados no seu computador, ou clique no botão View Setup Instructions para opções de configuração manual.
- Na secção SAML Identity Provider configuration da página Admin – Settings – Authentication da interface do navegador do Enterprise Server, carregue o ficheiro XML de metadados guardado ou configure as secções individuais manualmente – veja acima.

Expanda a secção recolhível abaixo para ver um exemplo passo a passo do processo de integração do Microsoft Entra ID como Identity Provider.

Integration with Microsoft Entra ID

Inicie sessão no Microsoft Entra admin center.
Selecione Identity e depois a opção Enterprise applications.
Crie a sua própria aplicação.
Selecione Users and groups e depois Add user/group.
Selecione Single sign-on, Step 1 e depois Edit.
Copie () Entity ID e Single Sign-On URL da página Admin – Settings – Authentication da interface do navegador do Enterprise Server. Cole as cadeias copiadas nos campos Entity ID e Assertion Consumer Service URL na área SAML Configuration da aplicação Microsoft Entra. Certifique-se de que as caixas Default estão assinaladas para estes campos e depois guarde a configuração.
Transfira o Federation Metadata XML criado.
Carregue o Federation Metadata XML para a página Admin – Settings – Authentication da interface do navegador do Enterprise Server e depois teste a ligação de integração SAML – veja acima.

Expanda a secção recolhível abaixo para ver um exemplo passo a passo do processo de integração do JumpCloud como Identity Provider.

Integration with JumpCloud

Na interface do JumpCloud, selecione SSO na árvore de navegação e, em seguida, o botão Add New Application na página SSO.
Introduza 'saml' na janela de configuração Search para localizar e instalar o Custom SAML App.
Dê um nome à sua instância do Custom SAML App – neste exemplo, a etiqueta é Altium.
Mude para o separador SSO na interface de configuração do JumpCloud e introduza as definições de Entidade/URL a partir da página Admin – Settings – Authentication da interface do navegador do Enterprise Server, conforme mostrado.
Introduza o endpoint do JumpCloud IDP URL e ative a opção Declare Redirect Endpoint.
Utilize a opção Export Metadata para transferir o ficheiro XML de metadados SAML resultante.
Carregue o ficheiro XML de metadados para a página Admin – Settings – Authentication da interface do navegador do Enterprise Server e, em seguida, teste a ligação de integração SAML – ver acima.

Expanda a secção recolhível abaixo para ver um exemplo passo a passo do processo de integração do Microsoft Administrative Domain Federated Services (AD FS) como Fornecedor de Identidade.

Integration with Microsoft AD FS

Tem de ter acesso administrativo à instância do AD FS.

Abra a aplicação AD FS Management (normalmente Start → Windows Administrative Tools → AD FS Management).
Navegue até Relying Party Trusts e clique na opção Add Relying Party Trust... (1).
Na janela pop-up, certifique-se de que seleciona Claims aware (2) e clique em Start (3).
Na etapa Select Data Source selecione Enter data about the relying party manually (1) e clique em Next (2).
Forneça um nome de apresentação para a relação de confiança. Este exemplo utiliza AltiumLive como nome de apresentação.
Dependendo da sua configuração de segurança, poderá especificar um certificado opcional de encriptação de token. Para os fins deste guia, não iremos utilizar nenhum.
Na etapa Configure URL, certifique-se de que seleciona a opção Enable support for the SAML 2.0 WebSSO protocol (1) e introduza Single Sign-On URL copiado da página Admin – Settings – Authentication da interface do navegador do Enterprise Server no campo Relying party SAML 2.0 SSO service URL: (2). Clique em Next (3).
Na etapa Configure Identifiers, forneça um identificador para esta relação de confiança no campo de introdução (1). O identificador deve ser retirado da entrada Entity ID localizada na região Altium Metadata Configuration da página Admin – Settings – Authentication da interface do navegador do Enterprise Server. Certifique-se de que clica no botão Add (2).

O resultado deverá ser semelhante ao seguinte. Clique em Next.
Dependendo da sua configuração de segurança, poderá escolher políticas opcionais de controlo de acesso na etapa seguinte. Para este exemplo, não iremos selecionar quaisquer políticas adicionais e continuaremos com a opção Permit everyone.
Reveja a configuração e selecione Next.
Nem todas as definições estão disponíveis durante a configuração da relação de confiança. Para permitir que SHA-1 seja utilizado como algoritmo de hash seguro, clique com o botão direito no nome da Relying Party Trust que acabou de adicionar e selecione Properties.
Na janela de propriedades, selecione o separador Advanced (1) e defina SHA-1 como algoritmo de hash seguro (2). Clique em OK para guardar as alterações.
De volta à janela AD FS Management, selecione a Relaying Party Trust que adicionou e selecione a opção Edit Claim Issuance Policy....
Na janela Edit Claim Issuance Policy selecione Add Rule...
Na etapa Choose Rule Type do assistente, certifique-se de que Send LDAP Attributes as Claims está selecionado e, em seguida, clique em Next.
Forneça um Claim rule name (1), selecione Active Directory como o Attribute store (2), e selecione um LDAP Attribute (3) do ID que contém o nome de utilizador do utilizador do Enterprise Server. Este atributo tem de ser mapeado para Name ID no Outgoing Claim Type (3). Clique em Finish (4).

Important Note: Neste exemplo, mapeámos Surname ou Last name para conter o valor necessário. A sua configuração poderá ser diferente.
Certifique-se de que a política de emissão de declarações é guardada clicando em OK.
Transfira o ficheiro FederationMetadata.xml do servidor apropriado.
Carregue o ficheiro XML de metadados para a página Admin – Settings – Authentication da interface do navegador do Enterprise Server e, em seguida, teste a ligação de integração SAML – ver acima.

Expanda a secção recolhível abaixo para ver um exemplo passo a passo do processo de integração do AWS IAM Identity Center como Fornecedor de Identidade:

Integration with AWS IAM Identity Center

Vá para IAM Identity Center e adicione uma Aplicação SAML 2.0 Personalizada (Add Application).
Preencha as definições do URL de metadados da AWS a partir da sua página Altium SSO. Confirme as definições com Submit.
Transfira o ficheiro de metadados da área IAM Identity Center metadata.
Vá para Edit attribute mappings.
Forneça um atributo que contenha o nome de utilizador do utilizador do Enterprise Server e selecione unspecified para o Format.
Crie novos utilizadores na AWS e atribua a aplicação aos utilizadores criados ou a um grupo.
Certifique-se de que os mesmos utilizadores existem tanto no lado do Altium como no lado do IAM.
Carregue o ficheiro XML de metadados para a página Admin – Settings – Authentication da interface do navegador do Enterprise Server e, em seguida, teste a ligação de integração SAML – ver acima.

Single Sign-On OAuth / OIDC

A capacidade de SSO do seu Enterprise Server também pode ser configurada utilizando a norma OAuth / OIDC. Quando a opção OAuth / OIDC está selecionada na lista pendente SSO na página Admin – Settings – Authentication da interface do navegador, a página permite introduzir os dados fornecidos pelo IdP escolhido.

Application Credentials:
- Client ID – o ID da aplicação do IdP.
- Client Secret – o segredo da aplicação do IdP.
Configuration:
- Scopes to Request – os âmbitos definem o nível de acesso que a sua aplicação está a solicitar ao utilizador.
- Authentication Endpoint – este endpoint trata da autenticação e do consentimento do utilizador. A sua aplicação redireciona os utilizadores para este endpoint para iniciarem sessão e concederem permissões.
- Token Endpoint – este endpoint é utilizado para trocar um código de autorização ou token de atualização por um token de acesso. Trata-se de uma comunicação segura de back-channel entre a aplicação e o servidor de autorização.
- User Profile Endpoint – este endpoint obtém informações do perfil do utilizador (por exemplo, nome, email) utilizando um token de acesso. Os dados devolvidos dependem dos âmbitos concedidos durante a autorização.
Mappings – no campo Mapped Attribute da tabela, introduza o atributo que será mapeado para o nome de utilizador do utilizador no lado do Enterprise Server.

O SSO não fica ativado até ser executado um teste de integração, que é invocado pelo botão . Isto verifica o processo de identidade SSO e o início de sessão SSO da sua empresa. Assim que a configuração for testada com sucesso, pode guardar as definições clicando no botão (), aplicando-as efetivamente ao Enterprise Server.

Se o SSO for posteriormente desativado, quer manualmente quer em resposta a uma alteração de configuração, o botão fica disponível para que o processo de teste possa ser repetido.

Ao utilizar o Entra ID, tenha em atenção que este fornece duas versões de API para os endpoints OAuth:

https://login.microsoftonline.com/{tenantId}/.well-known/openid-configuration
https://login.microsoftonline.com/{tenantId}/v2.0/.well-known/openid-configuration

Terá de obter o conjunto correto de endpoints (token/authorize/userinfo) a partir de uma destas variantes. Misturá-los resultará num erro ao tentar estabelecer uma ligação ao Entra ID a partir do Enterprise Server.

Printer-friendly version

AI-localized

If you find an issue, select the text/image and pressCtrl + Enterto send us your feedback.

Configurar a autenticação de início de sessão único

SAML Single Sign-On

Exemplos de Integração de Identity Provider

Single Sign-On OAuth / OIDC

Conteúdo

Was this page helpful?