Configurar a autenticação de início de sessão único
Os administradores do Enterprise Server podem configurar e ativar capacidades de Single Sign-On (SSO) para o seu servidor. O sistema de configuração de backend permite aos administradores estabelecer, testar, ativar e desativar a capacidade de SSO para os utilizadores do servidor. A opção SSO está disponível ao iniciar sessão na interface do navegador do Enterprise Server. Quando configurado para os utilizadores do servidor, o SSO oferece a conveniência de aceder ao servidor utilizando o mesmo conjunto de credenciais aplicado aos sistemas da sua empresa.
Para mais informações sobre o acesso à interface do navegador do Enterprise Server, consulte a página Explorar a Interface Baseada no Navegador.
SAML Single Sign-On
Quando configurado e ativado no Enterprise Server, o sistema SSO estabelece identidades autorizadas a partir do Identity Provider (IdP) indicado pela sua empresa, por exemplo Okta, OneLogin, etc., com as comunicações de asserção de identidade baseadas na norma Security Assertion Markup Language (SAML 2.0). A interface de início de sessão SSO da sua empresa, caso ainda não exista, baseia-se normalmente num modelo ou exemplo fornecido pelo IdP – isto desencadeia as trocas de asserção de autenticação baseadas em SAML e fornece acesso aos serviços da empresa.
Quando a opção SAML é selecionada na lista pendente SSO na página Admin – Settings – Authentication da interface do navegador, a página apresenta os URLs pré-configurados para o serviço SSO do Enterprise Server (Altium Metadata Configuration) e a opção de carregar ou introduzir manualmente os dados de ligação de autorização do seu IdP (SAML Identity Provider Configuration).
Os metadados de configuração do IdP devem estar disponíveis junto do seu Identity Provider assim que este esteja configurado para integração com os serviços da sua empresa – veja abaixo exemplos de integração de IdP. Para configurar o sistema SAML SSO no Enterprise Server (caso ainda não tenha sido concluído), utilize o botão
para localizar e carregar o ficheiro XML de configuração SAML IdP gerado pelo IdP da sua empresa. Um ficheiro XML de IdP carregado é analisado pelo sistema para extrair os principais campos de configuração (X509 Certificate, URL Identity Provider Issuer e IdP Single Sign-On URL). Em alternativa, adicione manualmente os elementos individuais (certificado de segurança e URLs) da configuração aos campos correspondentes.
O SSO não é ativado até ser executado um teste de integração, que é iniciado pelo botão
. Isto verifica o processo de identidade SSO e o início de sessão SSO da sua empresa. Assim que a configuração for testada com êxito, pode guardar as definições clicando no botão
, aplicando-as efetivamente ao Enterprise Server.
Exemplos de Integração de Identity Provider
Expanda a secção recolhível abaixo para ver um exemplo passo a passo do processo de integração do OneLogin como Identity Provider.
Integration with OneLogin
-
Inicie sessão no OneLogin como administrador.
-
Selecione Applications e depois Add Apps.
-
Pesquise por 'SAML' e selecione a opção de aplicação IdP SAML Test Connector (Advanced).
-
Especifique um nome para a aplicação (Display Name). Isto serve apenas para fins de apresentação.
-
Clique no botão Save.
-
Copie as entradas Entity ID e Single Sign-On URL (Assertion Consumer Service) da página Admin – Settings – Authentication da interface do navegador do Enterprise Server para os campos conforme especificado abaixo.
Na configuração da aplicação OneLogin:
-
Cole o Entity ID acima (nome do fornecedor de serviço) como URL Audience (EntityID).
-
Cole o Single Sign-On URL acima (Assertion Consumer Service) como ACS (Consumer) URL Validator.
-
Cole também o Single Sign-On URL (Assertion Consumer Service) como ACS (Consumer) URL.
-
Os campos RelayState, Recipient, Single Logout URL e Login URL podem ficar em branco.
-
-
Certifique-se de que a opção SAML nameID format está definida como Email e que SAML signature element está definido como Both. Clique no botão Save para confirmar as definições.
-
Clique no botão More Actions e depois na opção de menu SAML Metadata para transferir os metadados SAML do Identity Provider como ficheiro XML.
-
Este ficheiro de metadados será carregado na página Admin – Settings – Authentication da interface do navegador do Enterprise Server para configurar o serviço SSO do OneLogin – veja abaixo.
-
Se a preferência for configurar manualmente o serviço SSO do OneLogin no Enterprise Server, os parâmetros necessários podem ser encontrados selecionando a opção de menu SSO na interface da aplicação OneLogin.
-
-
Os passos seguintes serão adicionar utilizadores e atribuir a aplicação a esses utilizadores.
Expanda a secção recolhível abaixo para ver um exemplo passo a passo do processo de integração do Okta como Identity Provider.
Integration with Okta
-
Inicie sessão no Okta como administrador.
-
Clique na ligação/botão Admin e depois no botão Add Application em Applications da empresa.
-
Clique no botão Create New App.
-
Selecione SAML 2.0 como Sign-on method.
-
Especifique um App name. Isto serve apenas para fins de apresentação.
-
Tome nota das entradas Single Sign On URL (Assertion Consumer Service) e Entity ID na página Admin – Settings – Authentication da interface do navegador do Enterprise Server.
-
Copie e cole a entrada Single Sign-On URL do Enterprise Server no campo Single sign on URL das SAML Settings do Okta.
-
Copie e cole a entrada Entity ID do Enterprise Server no campo Audience URI das SAML Settings do Okta.
Não é necessária uma entrada Default RelayState.
-
Defina os restantes campos da seguinte forma:
-
Name ID format é
EmailAddress. -
Application username é (Okta)
Email. -
Na secção ATTRIBUTE STATEMENTS, defina o campo Name como:
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddresse Value como:user.email
-
-
Clique no botão Next e selecione a opção ..Okta customer adding an internal app.
-
Clique no botão Finish.
-
Clique na ligação Identity Provider metadata e guarde o XML de metadados no seu computador, ou clique no botão View Setup Instructions para opções de configuração manual.
-
Na secção SAML Identity Provider configuration da página Admin – Settings – Authentication da interface do navegador do Enterprise Server, carregue o ficheiro XML de metadados guardado ou configure as secções individuais manualmente – veja acima.
-
Expanda a secção recolhível abaixo para ver um exemplo passo a passo do processo de integração do Microsoft Entra ID como Identity Provider.
Integration with Microsoft Entra ID
-
Inicie sessão no Microsoft Entra admin center.
-
Selecione Identity e depois a opção Enterprise applications.
-
Crie a sua própria aplicação.
-
Selecione Users and groups e depois Add user/group.
-
Selecione Single sign-on, Step 1 e depois Edit.
-
Copie Entity ID e Single Sign-On URL da página Admin – Settings – Authentication da interface do navegador do Enterprise Server. Cole as cadeias copiadas nos campos Entity ID e Assertion Consumer Service URL na área SAML Configuration da aplicação Microsoft Entra. Certifique-se de que as caixas Default estão assinaladas para estes campos e depois guarde a configuração.
-
Transfira o Federation Metadata XML criado.
-
Carregue o Federation Metadata XML para a página Admin – Settings – Authentication da interface do navegador do Enterprise Server e depois teste a ligação de integração SAML – veja acima.
Expanda a secção recolhível abaixo para ver um exemplo passo a passo do processo de integração do JumpCloud como Identity Provider.
Integration with JumpCloud
-
Na interface do JumpCloud, selecione SSO na árvore de navegação e, em seguida, o botão Add New Application na página SSO.
-
Introduza '
saml' na janela de configuração Search para localizar e instalar o Custom SAML App.
-
Dê um nome à sua instância do Custom SAML App – neste exemplo, a etiqueta é
Altium.
-
Mude para o separador SSO na interface de configuração do JumpCloud e introduza as definições de Entidade/URL a partir da página Admin – Settings – Authentication da interface do navegador do Enterprise Server, conforme mostrado.
-
Introduza o endpoint do JumpCloud IDP URL e ative a opção Declare Redirect Endpoint.
-
Utilize a opção Export Metadata para transferir o ficheiro XML de metadados SAML resultante.
-
Carregue o ficheiro XML de metadados para a página Admin – Settings – Authentication da interface do navegador do Enterprise Server e, em seguida, teste a ligação de integração SAML – ver acima.
Expanda a secção recolhível abaixo para ver um exemplo passo a passo do processo de integração do Microsoft Administrative Domain Federated Services (AD FS) como Fornecedor de Identidade.
Integration with Microsoft AD FS
-
Abra a aplicação AD FS Management (normalmente Start → Windows Administrative Tools → AD FS Management).
-
Navegue até Relying Party Trusts e clique na opção Add Relying Party Trust... (1).
-
Na janela pop-up, certifique-se de que seleciona Claims aware (2) e clique em Start (3).
-
Na etapa Select Data Source selecione Enter data about the relying party manually (1) e clique em Next (2).
-
Forneça um nome de apresentação para a relação de confiança. Este exemplo utiliza
AltiumLivecomo nome de apresentação.
-
Dependendo da sua configuração de segurança, poderá especificar um certificado opcional de encriptação de token. Para os fins deste guia, não iremos utilizar nenhum.
-
Na etapa Configure URL, certifique-se de que seleciona a opção Enable support for the SAML 2.0 WebSSO protocol (1) e introduza Single Sign-On URL copiado da página Admin – Settings – Authentication da interface do navegador do Enterprise Server no campo Relying party SAML 2.0 SSO service URL: (2). Clique em Next (3).
-
Na etapa Configure Identifiers, forneça um identificador para esta relação de confiança no campo de introdução (1). O identificador deve ser retirado da entrada Entity ID localizada na região Altium Metadata Configuration da página Admin – Settings – Authentication da interface do navegador do Enterprise Server. Certifique-se de que clica no botão Add (2).
O resultado deverá ser semelhante ao seguinte. Clique em Next.
-
Dependendo da sua configuração de segurança, poderá escolher políticas opcionais de controlo de acesso na etapa seguinte. Para este exemplo, não iremos selecionar quaisquer políticas adicionais e continuaremos com a opção
Permit everyone.
-
Reveja a configuração e selecione Next.
-
Nem todas as definições estão disponíveis durante a configuração da relação de confiança. Para permitir que
SHA-1seja utilizado como algoritmo de hash seguro, clique com o botão direito no nome da Relying Party Trust que acabou de adicionar e selecione Properties.
-
Na janela de propriedades, selecione o separador Advanced (1) e defina
SHA-1como algoritmo de hash seguro (2). Clique em OK para guardar as alterações.
-
De volta à janela AD FS Management, selecione a Relaying Party Trust que adicionou e selecione a opção Edit Claim Issuance Policy....
-
Na janela Edit Claim Issuance Policy selecione Add Rule...
-
Na etapa Choose Rule Type do assistente, certifique-se de que Send LDAP Attributes as Claims está selecionado e, em seguida, clique em Next.
-
Forneça um Claim rule name (1), selecione
Active Directorycomo o Attribute store (2), e selecione um LDAP Attribute (3) do ID que contém o nome de utilizador do utilizador do Enterprise Server. Este atributo tem de ser mapeado para Name ID no Outgoing Claim Type (3). Clique em Finish (4).
-
Certifique-se de que a política de emissão de declarações é guardada clicando em OK.
-
Transfira o ficheiro
FederationMetadata.xmldo servidor apropriado. -
Carregue o ficheiro XML de metadados para a página Admin – Settings – Authentication da interface do navegador do Enterprise Server e, em seguida, teste a ligação de integração SAML – ver acima.
Expanda a secção recolhível abaixo para ver um exemplo passo a passo do processo de integração do AWS IAM Identity Center como Fornecedor de Identidade:
Integration with AWS IAM Identity Center
-
Vá para IAM Identity Center e adicione uma Aplicação SAML 2.0 Personalizada (Add Application).
-
Preencha as definições do URL de metadados da AWS a partir da sua página Altium SSO. Confirme as definições com Submit.
-
Transfira o ficheiro de metadados da área IAM Identity Center metadata.
-
Vá para Edit attribute mappings.
-
Forneça um atributo que contenha o nome de utilizador do utilizador do Enterprise Server e selecione
unspecifiedpara o Format. -
Crie novos utilizadores na AWS e atribua a aplicação aos utilizadores criados ou a um grupo.
-
Certifique-se de que os mesmos utilizadores existem tanto no lado do Altium como no lado do IAM.
-
Carregue o ficheiro XML de metadados para a página Admin – Settings – Authentication da interface do navegador do Enterprise Server e, em seguida, teste a ligação de integração SAML – ver acima.
Single Sign-On OAuth / OIDC
A capacidade de SSO do seu Enterprise Server também pode ser configurada utilizando a norma OAuth / OIDC. Quando a opção OAuth / OIDC está selecionada na lista pendente SSO na página Admin – Settings – Authentication da interface do navegador, a página permite introduzir os dados fornecidos pelo IdP escolhido.
-
Application Credentials:
-
Client ID – o ID da aplicação do IdP.
-
Client Secret – o segredo da aplicação do IdP.
-
-
Configuration:
-
Scopes to Request – os âmbitos definem o nível de acesso que a sua aplicação está a solicitar ao utilizador.
-
Authentication Endpoint – este endpoint trata da autenticação e do consentimento do utilizador. A sua aplicação redireciona os utilizadores para este endpoint para iniciarem sessão e concederem permissões.
-
Token Endpoint – este endpoint é utilizado para trocar um código de autorização ou token de atualização por um token de acesso. Trata-se de uma comunicação segura de back-channel entre a aplicação e o servidor de autorização.
-
User Profile Endpoint – este endpoint obtém informações do perfil do utilizador (por exemplo, nome, email) utilizando um token de acesso. Os dados devolvidos dependem dos âmbitos concedidos durante a autorização.
-
-
Mappings – no campo Mapped Attribute da tabela, introduza o atributo que será mapeado para o nome de utilizador do utilizador no lado do Enterprise Server.
O SSO não fica ativado até ser executado um teste de integração, que é invocado pelo botão
. Isto verifica o processo de identidade SSO e o início de sessão SSO da sua empresa. Assim que a configuração for testada com sucesso, pode guardar as definições clicando no botão
, aplicando-as efetivamente ao Enterprise Server.
)